Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 3009008

Vulnerabilidade no SSL 3.0 Pode Permitir Divulgação de Informações

Publicado em: 14.10.14 | Atualizado em: 14 de abril de 2015

Versão: 3.0

Informações Gerais

Sinopse

A Microsoft tem conhecimento de informações detalhadas que foram publicadas descrevendo um novo método para explorar uma vulnerabilidade no SSL 3.0. Essa é uma vulnerabilidade de toda a indústria afetando o próprio protocolo SSL 3.0 e não é específico do sistema operacional Windows. Todas as versões com suporte do Microsoft Windows implementam este protocolo e são afetadas por essa vulnerabilidade. A Microsoft não está ciente de ataques que tentam usar a vulnerabilidade relatada no momento. Levando em conta o cenário de ataque, essa vulnerabilidade não é considerada de alto risco para clientes.

Estamos trabalhando ativamente com os parceiros em nosso programa Microsoft Active Protections Program (MAPP) para fornecer informações que eles possam usar para oferecer proteção mais ampla aos clientes.

A Microsoft está anunciando que com o lançamento da atualização de segurança 3038314 em 14 de abril de 2015, o SSL 3.0 fica desabilitado por padrão no Internet Explorer 11. A Microsoft também está anunciando que o SSL 3.0 será desabilitado por todos os serviços online da Microsoft durante os próximos meses. Recomendamos que os consumidores migrem os cliente e serviços para protocolos de segurança mais seguros, como TLS 1.0, TLS 1.1 ou TLS 1.2.

Fatores atenuantes:

  • O invasor deve fazer diversas centenas de solicitações de HTTPS antes que seja bem-sucedido.
  • O TLS 1.0, TLS 1.1, TLS 1.2 e todos os pacotes de criptografia que não usam o modo CBC não são afetados.

Recomendação. Consulte a seção Ações Sugeridas deste comunicado de segurança para ver soluções alternativas para desabilitar o SSL 3.0. A Microsoft recomenda os clientes usarem essas soluções alternativas para testar seus serviços e clientes para uso do SSL 3.0 e começar a migrar.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Dados de Conhecimento da Microsoft: 3009008
Referência CVE CVE-2014-3566

Softwares afetados

Esse comunicado descreve o seguinte software:

Softwares afetados

Sistema operacional
Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas Itanium Service Pack 2
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas baseados em x64
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas baseados em x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Opção de instalação Server Core
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2012 (instalação Server Core)
Windows Server 2012 R2 (instalação Server Core)

Perguntas frequentes do comunicado

Estou usando uma versão do Internet Explorer diferente da versão 11. Como posso proteger meu sistema desta vulnerabilidade?
O SSL 3.0 só foi desabilitado no Internet Explorer 11 em todas as edições com suporte do Microsoft Windows. Se você está usando uma versão diferente do Internet Explorer, consulte a seção Soluções alternativas sugeridas para obter soluções alternativas que podem ser aplicadas ao seu sistema para protegê-lo desta vulnerabilidade.

Qual é o escopo do comunicado?
O propósito deste comunicado é notificar os clientes de que a Microsoft está ciente das informações detalhadas descrevendo um novo método para explorar uma vulnerabilidade que afeta o SSL 3.0. Esta é uma vulnerabilidade de divulgação de informações. Essa vulnerabilidade é uma vulnerabilidade de divulgação de informações.

De que forma o invasor pode explorar a vulnerabilidade?
Em um ataque com intervenção humana (MITM), um invasor pode fazer o downgrade de uma sessão TLS criptografada, forçando os clientes a usarem o SSL 3.0 para, em seguida, forçar o navegador a executar código mal-intencionado. Esse código envia diversas solicitações a um site da Web HTTPS comprometido, onde os cookies serão enviados automaticamente se existir uma sessão autenticada anterior. Essa é uma condição necessária para explorar a vulnerabilidade. O invasor pode interceptar esse tráfego HTTPS e, explorando uma vulnerabilidade na criptografia de bloco CBC no SSL 3.0, pode descriptografar partes do tráfego criptografado (por exemplo, cookies de autenticação).

Para que um invasor pode usar esta vulnerabilidade?
Um invasor que explorar com êxito esta vulnerabilidade pode descriptografar partes do tráfego criptografado.

O que provoca a vulnerabilidade?
A vulnerabilidade é causada pela falta de codificação de bloco CBC enchimento verificação em SSL 3.0.

O que é SSL?
O SSL (Secure Sockets Layer) é um protocolo criptográfico que oferece segurança de comunicação na Internet. O SSL criptografa os dados transportados pela rede, usando criptografia para privacidade e um código de autenticação de mensagem com chave para confiabilidade de mensagem.

O que é TLS?
O TLS (Transport Layer Security) é um protocolo padrão usado para fornecer comunicações seguras pela Web na Internet ou em intranets. Ele permite que os clientes autentiquem servidores ou que os servidores autentiquem clientes. Ele também fornece um canal seguro criptografando as comunicações. O TLS é a última versão do protocolo de SSL (Secure Sockets Layer).

O TLS é afetado por esse problema?
Não. Esse problema é específico do SSL 3.0.

Este é um problema de classe industrial?
Sim. A vulnerabilidade reside no projeto do protocolo SSL 3.0 e não se limita à implementação da Microsoft.

Ações sugeridas

Aplicar soluções alternativas

As soluções alternativas se referem a uma configuração ou alteração de configuração que não corrige o problema subjacente, mas que ajuda a bloquear vetores de ataque conhecidos antes de uma atualização de segurança ser disponibilizada.

  • Desabilitar SSL 3.0 e habilitar TLS 1.0, TLS 1.1 e TLS 1.2 no Internet Explorer

    Você pode desabilitar o protocolo SSL 3.0 no Internet Explorer modificando as configurações de Segurança Avançada no Internet Explorer.

    Para alterar a versão padrão do protocolo que deverá ser usado para solicitações de HTTPS, execute as seguintes etapas:

    1. No menu Ferramentas do Internet Explorer, clique em Opções daInternet.
    2. Na caixa de diálogo Opções daInternet, clique na guia Avançado.
    3. Na categoria Segurança, desmarque UsarSSL3.0 e marque Usar TLS 1.0, Usar TLS 1.1 e Usar TLS 1.2 (se disponível).
    4. Observação é importante marcar versões consecutivas. Não marcar versões consecutivas (por exemplo, marcar TLS 1.0 e 1.2, mas não marcar 1.1) pode resultar em erros de conexão.
    5. Clique em OK.
    6. Saia e reinicie o Internet Explorer.

Aviso Após a aplicação desta solução alternativa, o Internet Explorer não conseguirá se conectar a servidores Web que ofereçam suporte apenas ao SSL 3.0 e não aos TLS 1.0, TLS 1.1 e TLS 1.2.

Observação

Consulte o artigo 3009008 da Base de Dados de Conhecimento da Microsoft para usar a solução Microsoft Fix it automatizada para desabilitar o SSL 3.0 apenas no Internet Explorer.

Como desfazer a solução alternativa. Siga estas etapas para habilitar o SSL 3.0 no Internet Explorer.

  1. No menu Ferramentas do Internet Explorer, clique em Opções daInternet.
  2. Na caixa de diálogo Opçõesda Internet, clique na guia Avançado.
  3. Na categoria Segurança, selecione UsarSSL3.0.
  4. Clique em OK.
  5. Saia e reinicie o Internet Explorer.
  • Desabilite SSL 3.0 e habilite TLS 1.0, TLS 1.1 e TLS 1.2 para o Internet Explorer na Política de Grupo

    Você pode desabilitar o suporte para o protocolo SSL 3.0 no Internet Explorer através da Política de Grupo modificando Desativar Objeto da Política de Grupo de Suporte à Criptografia.

    1. Abra o Gerenciamento da Política de Grupo.
    2. Selecione o objeto da política de grupo a ser modificado, clique com o botão direito do mouse e selecione Editar.
    3. No Editor do Gerenciamento da Política de Grupo, navegue para a seguinte configuração:

      Configuração do Computador -> Modelos Administrativas -> Componentes do Windows -> Internet Explorer -> Painel de Controle da Internet -> Página Avançada -> Desativar o suporte à criptografia

    4. Clique duas vezes em Desativar Suporte à Criptografia para editar a configuração.

    5. Clique em Habilitado.
    6. Na janela Opções, altere a configuração das combinações do Protocolo de Segurança para "Usar TLS 1.0, TLS 1.1 e TLS 1.2".
    7. Observação é importante marcar versões consecutivas. Não marcar versões consecutivas (por exemplo, marcar TLS 1.0 e 1.2, mas não marcar 1.1) pode resultar em erros de conexão.
    8. Clique em OK.
**Observação** Os administradores devem se certificar de que esta política de grupo tenha sido aplicada corretamente conectando o GPO à UO apropriada em seu ambiente.

**Aviso** Após a aplicação desta solução alternativa, o Internet Explorer não conseguirá se conectar a servidores Web que ofereçam suporte apenas ao SSL 3.0 e não aos TLS 1.0, TLS 1.1 e TLS 1.2.

**Como desfazer a solução alternativa**. Siga estas etapas para desabilitar a configuração de diretiva do SSL 3.0:

1.  Abra o Gerenciamento da Política de Grupo.  
2.  Selecione o objeto da política de grupo a ser modificado, clique com o botão direito e selecione **Editar.**  
3.  No Editor do Gerenciamento da Política de Grupo, navegue à seguinte configuração:

    Configuração do computador -> Modelos Administrativos -> Componentes do Windows -> Internet Explorer -> Painel de Controle da Internet -> Página Avançada -> Desativar suporte a criptografia

4.  Clique duas vezes em **Desativar Suporte a Criptografia** para editar a configuração.  
5.  Clique em **Desabilitado.**  
6.  Clique em **OK.**
  • Desabilitar SSL 3.0 no Windows

    Para Software do Servidor

    É possível desabilitar o suporte para o protocolo SSL 3.0 no Windows seguindo estas etapas:

    1. Clique em Iniciar, em Executar, digite regedt32 ou regedit e clique em OK.
    2. No Editor do Registro, localize a seguinte chave do Registro:

          HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
      

      Observação Se o caminho do Registro completo não existe, você pode criá-lo ao expandir as chaves disponíveis e ao usar a opção Nova -> chave do menu Editar.

    3. No menu Editar, clique em AdicionarValor.

    4. Na lista Tipo deDados, clique em DWORD.
    5. Na caixa Nome doValor, digiteHabilitado e clique em OK.

      Observação Se esse valor estiver presente, clique duas vezes nele para editar o valor atual.

    6. Na caixa de diálogo Editar Valor DWORD (32 bits), digite 0.

    7. Clique em OK. Reinicie o computador.

Observaçãoessa solução alternativa desabilitará o SSL 3.0 para todos os softwares de servidor instalados em um sistema, incluindo IIS.

Observaçãodepois de aplicar essa solução alternativa, o cliente que confia apenas no SSL 3.0 não poderá se comunicar com o servidor.

Como desfazer a solução alternativa. Siga estas etapas para desativar o SSL 3.0 no software de servidor do Windows:

  1. Abra o Editor do Registro.
  2. Localize e clique na seguinte subchave do Registro:

          HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
    
  3. No menu Editar, clique em Excluir.
  4. Clique em Sim quando solicitado.
  5. Saia do Editor do Registro.
  6. Reinicie o sistema.


    Para Software Cliente

    É possível desabilitar o suporte para o protocolo SSL 3.0 no Windows seguindo estas etapas:

  7. Clique em Iniciar, em Executar, digite regedt32 ou regedit e clique em OK.

  8. No Editor do Registro, localize a seguinte chave do Registro:

          HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
    

    Observação Se o caminho do Registro completo não existe, você pode criá-lo ao expandir as chaves disponíveis e ao usar a opção Nova -> chave do menu Editar.

  9. No menu Editar, clique em AdicionarValor.

  10. Na lista Tipo deDados, clique em DWORD.
  11. Na caixa Nome doValor, digiteHabilitado e clique em OK.

    Observação Se esse valor estiver presente, clique duas vezes nele para editar o valor atual.

  12. Na caixa de diálogo Editar Valor DWORD (32 bits), digite 0.

  13. Clique em OK. Reinicie o computador.

Observaçãoessa solução alternativa desabilitará o SSL 3.0 para todos os softwares clientes instalados em um sistema.

Observaçãodepois de aplicar essa solução alternativa, os aplicativos clientes nesse computador não poderão se comunicar com outros servidores que suportam apenas SSL 3.0.

Como desfazer a solução alternativa. Siga estas etapas para desativar o SSL 3.0 no software cliente do Windows:

  1. Abra o Editor do Registro.
  2. Localize e clique na seguinte subchave do Registro:

         HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
    
  3. No menu Editar, clique em Excluir.

  4. Clique em Sim quando solicitado.
  5. Saia do Editor do Registro.
  6. Reinicie o sistema.

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

span id="ID0E3NAC" />

Agradecimentos

A Microsoft agradece às seguintes pessoas por trabalharem conosco, ajudando a proteger os clientes:

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14.10.14): Comunicado publicado.
  • V1.1 (15 de outubro de 2014): Comunicado revisado para incluir uma solução alternativa para desabilitar o protocolo SSL 3.0 no Windows.
  • V2.0 (29.10.14): Comunicado revisado para anunciar a desaprovação do SSL 3.0, para esclarecer as instruções de solução alternativa para desabilitar o SSL 3.0 nos servidores e clientes do Windows e para anunciar a disponibilidade de uma solução Microsoft Fix it para o Internet Explorer. Para obter mais informações, consulte o artigo 3009008 da Base de Dados de Conhecimento da Microsoft.
  • V2.1 (9 de dezembro de 2014): A Microsoft está anunciando a disponibilidade dos avisos de fallback do SSL 3.0 no Internet Explorer 11. Para obter mais informações, consulte o artigo 3013210 da Base de Dados de Conhecimento da Microsoft.
  • V2.2 (10 de fevereiro de 2015): A Microsoft está anunciando que as tentativas de reversão do SSL 3.0 estão desabilitadas por padrão no Internet Explorer 11. Para obter mais informações, consulte o artigo 3021952 da Base de Dados de Conhecimento da Microsoft.
  • V2.3 (16.02.2015): Comunicado revisado para anunciar a data planejada para desabilitar o SSL 3.0 por padrão no Internet Explorer 11.
  • V3.0 (14 de abril de 2015) Comunicado revisado irá anunciar com o lançamento da atualização de segurança 3038314 em 14 de abril de 2015, que o SSL 3.0 fica desabilitado por padrão no Internet Explorer 11, e adicionar instruções para como desfazer as soluções alternativas.

Página gerada em 07.04.14 14:32Z-07:00.