Una importante vulnerabilidad en Windows Phone 7 ha sido descubierta a la hora de comprobar los certificados X.509 de servidores POP3/IMAP/SMTP a través de SSL.

Según los datos proporcionados por un investigador que permanece anónimo, el sistema operativo no valida correctamente los campos CN (Common Name, Nombre/dominio de Entidad) al no verificar si coincide el dominio del servidor con lo reportado por el campo CN del certificado proporcionado.

Windows Phone 7 es el nuevo sistema operativo de Microsoft destinado a terminales móviles y evolución del anterior Windows Mobile 6 perteneciente a la familia Windows CE. Esta nueva versión supone un rediseño total del sistema operativo, tanto en interfaz como en servicios, enfocándose en una mayor sencillez de uso para el usuario.

El fallo en la implementación de SSL, al que se le ha asignado el código CVE-2012-2993, permitiría engañar al usuario. La víctima creería conectarse a su servidor de correo por SSL, pero podría estar haciéndolo realmente a un servidor de un tercero incluso si comprobase el certificado.

http://2.bp.blogspot.com/-Y5M72RYMxBw/UFmZmG5sRQI/AAAAAAAABHQ/yis9UlnCDpw/s1600/SSL_WP7_1.png

Ejemplo del campo CN y dominio de un servidor en un certificado X.509

A modo de ejemplo, la siguiente es una configuración normal de un servidor de correo en Apache mediante SSL, donde ServerName indica el nombre de dominio del servidor que será comprobado por el certificado:

http://2.bp.blogspot.com/-9TAE78TOwNA/UFmZw9ev76I/AAAAAAAABHY/0EY7dKYQsqU/s1600/SSL_WP7_2.PNG

Si este certificado es inválido (el campo CN del certificado no coincide con el contenido de ServerName) generaría errores.

Estas comprobaciones no son realizadas correctamente por Windows Phone, por lo que un atacante podría montar un servidor de correo SSL fraudulento y hacerse pasar por uno oficial. Si consigue redirigir el dominio (envenenando los DNS, por ejemplo, o a través de cualquier ataque MITM), podría averiguar el login o datos de sesión de la víctima y comprometer su correo a través de certificados arbitrarios, puesto que el terminal no realiza las comprobaciones necesarias.

Microsoft está trabajando en una actualización del sistema que será proporcionada a través de las actualizaciones automáticas OTA desde los servidores oficiales. Fue notificado el 19 de junio de este año, aunque se ha hecho público recientemente.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/09/falsificacion-de-certificados-en.html#comments

Más información:

Vulnerability Note VU#389795
http://www.kb.cert.org/vuls/id/389795

Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar