Comunicado de Segurança da Microsoft 3009008

Vulnerabilidade no SSL 3.0 pode permitir a divulgação não autorizada de informações

Publicado: terça-feira, 14 de outubro de 2014 | Atualizado: April 14, 2015

Versão: 3.0

Informações Gerais

Resumo executivo

A Microsoft está ciente das informações detalhadas que foram publicadas descrevendo um novo método para explorar uma vulnerabilidade no SSL 3.0. Esta é uma vulnerabilidade em todo o setor que afeta o próprio protocolo SSL 3.0 e não é específica do sistema operacional Windows. Todas as versões suportadas do Microsoft Windows implementam este protocolo e são afetadas por esta vulnerabilidade. A Microsoft não está ciente de ataques que tentam usar a vulnerabilidade relatada no momento. Considerando o cenário de ataque, essa vulnerabilidade não é considerada de alto risco para os clientes.

Estamos trabalhando ativamente com parceiros em nosso Microsoft Active Protections Program (MAPP) para fornecer informações que eles possam usar para fornecer proteções mais amplas aos clientes.

A Microsoft está anunciando que, com o lançamento da atualização de segurança 3038314 em 14 de abril de 2015, o SSL 3.0 está desabilitado por padrão no Internet Explorer 11. A Microsoft também está anunciando que o SSL 3.0 será desativado em todos os serviços online da Microsoft nos próximos meses. Recomendamos que os clientes migrem clientes e serviços para protocolos de segurança mais seguros, como TLS 1.0, TLS 1.1 ou TLS 1.2.

Fatores atenuantes:

• O invasor deve fazer várias centenas de solicitações HTTPS antes que o ataque possa ser bem-sucedido.
• TLS 1.0, TLS 1.1, TLS 1.2 e todos os conjuntos de codificação que não usam o modo CBC não são afetados.

Recomendação. Consulte a seção Ações sugeridas deste comunicado para obter soluções alternativas para desabilitar o SSL 3.0. A Microsoft recomenda que os clientes usem essas soluções alternativas para testar seus clientes e serviços para o uso do SSL 3.0 e começar a migrar de acordo.

Detalhes do Comunicado

Referências de edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências	Identificação
Artigo da Base de Dados de Conhecimento	3009008
Referência CVE	CVE-2014-3566

Softwares afetados

Este comunicado aborda o seguinte software.

Softwares afetados

|**Sistema Operacional**| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2| |Windows Server 2003 com SP2 para sistemas baseados em Itanium| |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2| |Windows Server 2008 para sistemas de 32 bits Service Pack 2| |Windows Server 2008 para sistemas baseados em x64 Service Pack 2| |Windows Server 2008 para sistemas baseados em Itanium Service Pack 2| |Windows 7 para sistemas de 32 bits Service Pack 1| |Windows 7 para sistemas baseados em x64 Service Pack 1| |Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1| |Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1| |Windows 8 para sistemas de 32 bits| |Windows 8 para sistemas baseados em x64| |Windows 8.1 para sistemas de 32 bits| |Windows 8.1 para sistemas baseados em x64| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Opção de instalação Server Core**| |Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)| |Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)| |Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)| |Windows Server 2012 (instalação Server Core)| |Windows Server 2012 R2 (instalação Server Core)|

 

Perguntas frequentes sobre o Advisory

Estou usando uma versão do Internet Explorer diferente de 11. Como posso proteger o meu sistema contra esta vulnerabilidade?
SSL 3.0 só foi desabilitado no Internet Explorer 11 em todas as edições com suporte do Microsoft Windows. Se você estiver usando uma versão diferente do Internet Explorer, consulte a seção Soluções alternativas sugeridas para obter soluções alternativas que você pode aplicar ao seu sistema para protegê-lo contra essa vulnerabilidade.

Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que a Microsoft está ciente de informações detalhadas que descrevem um novo método para explorar uma vulnerabilidade que afeta o SSL 3.0. Esta vulnerabilidade é uma vulnerabilidade de divulgação não autorizada de informações.

Como um invasor pode explorar a vulnerabilidade?
Em um ataque man-in-the-middle (MiTM), um invasor pode fazer downgrade de uma sessão TLS criptografada, forçando os clientes a usar SSL 3.0 e, em seguida, forçar o navegador a executar código mal-intencionado. Esse código envia várias solicitações para um site HTTPS de destino, onde os cookies são enviados automaticamente se existir uma sessão autenticada anterior. Esta é uma condição necessária para explorar esta vulnerabilidade. O invasor poderia então interceptar esse tráfego HTTPS e, explorando uma fraqueza na cifra de bloco CBC no SSL 3.0, poderia descriptografar partes do tráfego criptografado (por exemplo, cookies de autenticação).

Para que um invasor pode usar essa vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá descriptografar partes do tráfego criptografado.

O que causa a vulnerabilidade?
A vulnerabilidade é causada pela falta de verificação de preenchimento de codificação de bloco CBC no SSL 3.0.

O que é SSL?
Secure Sockets Layer (SSL) é um protocolo criptográfico que fornece segurança de comunicação através da Internet. O SSL criptografa os dados transportados pela rede, usando criptografia para privacidade e um código de autenticação de mensagem com chave para confiabilidade da mensagem.

O que é TLS? 
Transport Layer Security (TLS) é um protocolo padrão usado para fornecer comunicações seguras da Web na Internet ou em intranets. Ele permite que os clientes autentiquem servidores ou, opcionalmente, servidores para autenticar clientes. Ele também fornece um canal seguro, criptografando as comunicações. TLS é a versão mais recente do protocolo Secure Sockets Layer (SSL).

O TLS é afetado por esse problema?
Não. Esse problema é específico para SSL 3.0.

Esse é um problema de toda a indústria?
Sim. A vulnerabilidade reside no design do protocolo SSL 3.0 e não se limita à implementação da Microsoft.

Ações sugeridas

Aplicar soluções alternativas

As soluções alternativas referem-se a uma configuração ou alteração de configuração que não corrige o problema subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes que uma atualização de segurança esteja disponível.

• Desative o SSL 3.0 e habilite o TLS 1.0, TLS 1.1 e TLS 1.2 no Internet Explorer

  Você pode desabilitar o protocolo SSL 3.0 no Internet Explorer modificando as configurações de Segurança Avançada no Internet Explorer.

  Para alterar a versão padrão do protocolo a ser usada para solicitações HTTPS, execute as seguintes etapas:

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo InternetOptions, clique na guia Avançado.
  3. Na categoria Segurança, desmarque UseSSL3.0 e marque Usar TLS 1.0, Usar TLS 1.1 e Usar TLS 1.2 (se disponível).
  4. Observação É importante verificar versões consecutivas. Não selecionar versões consecutivas (por exemplo, verificar TLS 1.0 e 1.2, mas não verificar 1.1) pode resultar em erros de conexão.
  5. Clique em OK.
  6. Encerre e reinicie o Internet Explorer.

  Observação Depois de aplicar essa solução alternativa, o Internet Explorer não conseguirá se conectar a servidores Web que oferecem suporte apenas a SSL até 3.0 e não oferecem suporte a TLS 1.0, TLS 1.1 e TLS 1.2. 

  Observação:
  Consulte o Artigo 3009008 da Base de Dados de Conhecimento Microsoft para usar a solução automatizada Microsoft Fix it para desabilitar o SSL 3.0 somente no Internet Explorer.

  Como desfazer a solução alternativa. Siga estas etapas para habilitar o SSL 3.0 no Internet Explorer.

  1. No menu Ferramentas do Internet Explorer, clique em Opções da Internet.
  2. Na caixa de diálogo InternetOptions, clique na guia Avançado.
  3. Na categoria Segurança, marque UseSSL3.0.
  4. Clique em OK.
  5. Encerre e reinicie o Internet Explorer.

• Desabilitar o SSL 3.0 e habilitar o TLS 1.0, TLS 1.1 e TLS 1.2 para o Internet Explorer na Diretiva de Grupo

  Você pode desabilitar o suporte para o protocolo SSL 3.0 no Internet Explorer por meio da Diretiva de Grupo modificando o Objeto de Diretiva de Grupo Desativar Suporte à Criptografia.

  1. Abra Gerenciamento de Política de Grupo.

  2. Selecione o objeto de diretiva de grupo a ser modificado, clique com o botão direito do mouse e selecione Editar.

  3. No Editor de Gerenciamento de Diretiva de Grupo, navegue até a seguinte configuração:
     Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Internet Explorer -> Painel de Controle da Internet -> Página Avançada -> Desativar o suporte à criptografia

  4. Clique duas vezes na configuração Desativar suporte à criptografia para editar a configuração.

  5. Clique em habilitado.

  6. Na janela Opções, altere a configuração de combinações de Protocolo Seguro para "Usar TLS 1.0, TLS 1.1 e TLS 1.2".

  7. Observação É importante verificar versões consecutivas. Não selecionar versões consecutivas (por exemplo, verificar TLS 1.0 e 1.2, mas não verificar 1.1) pode resultar em erros de conexão.

  8. Clique em OK.

    Observação Os administradores devem certificar-se de que essa diretiva de grupo seja aplicada adequadamente vinculando o GPO à UO apropriada em seu ambiente.

  Observação Depois de aplicar essa solução alternativa, o Internet Explorer não conseguirá se conectar a servidores Web que oferecem suporte apenas a SSL até 3.0 e não oferecem suporte a TLS 1.0, TLS 1.1 e TLS 1.2. 

  Como desfazer a solução alternativa. Siga estas etapas para desabilitar a configuração de diretiva SSL 3.0:

  1. Abra Gerenciamento de Política de Grupo.

  2. Selecione o objeto de diretiva de grupo a ser modificado, clique com o botão direito do mouse e selecione Editar.

  3. No Editor de Gerenciamento de Diretiva de Grupo, navegue até a seguinte configuração:
     Configuração do Computador -> Modelos Administrativos -> Componentes do Windows -> Internet Explorer -> Painel de Controle da Internet -> Página Avançada -> Desativar o suporte à criptografia

  4. Clique duas vezes na configuração Desativar suporte à criptografia para editar a configuração.

  5. Clique em Desabilitado.

  6. Clique em OK.

• Desativar SSL 3.0 no Windows

  Para software de servidor

  Você pode desabilitar o suporte para o protocolo SSL 3.0 no Windows seguindo estas etapas:

  1. Clique em Iniciar , clique em Executar , digite regedt32 ou digite regedit e, em seguida, clique em OK .
  2. No Editor do Registro, localize a seguinte chave de registro:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

  Observação Se o caminho completo da chave do Registro não existir, você poderá criá-lo expandindo as chaves disponíveis e usando a opção Nova Chave> no menu Editar.

  3. No menu Editar, clique em AddValue.
  4. Na lista DataType, clique em DWORD.
  5. Na caixa ValueName , digite Habilitado e, em seguida, clique em OK . 

  Observação Se esse valor estiver presente, clique duas vezes no valor para editar seu valor atual.

  6. Na caixa de diálogo Editar Valor DWORD (32 bits), digite 0 .
  7. Clique em OK. Reinicie o computador.

   

  Observação Essa solução alternativa desabilitará o SSL 3.0 para todos os softwares de servidor instalados em um sistema, incluindo o IIS.

  Observação Depois de aplicar essa solução alternativa, os clientes que dependem apenas do SSL 3.0 não poderão se comunicar com o servidor.

  Como desfazer a solução alternativa. Siga estas etapas para desabilitar o SSL 3.0 no software de servidor do Windows:

  1. Abra o Editor do Registro.
  2. Localize e clique na seguinte subchave do Registro:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

  3. No menu Editar, clique em Excluir.
  4. Clique em Sim quando solicitado.
  5. Saia do Editor do Registro.
  6. Reinicie o sistema.

  Para Software Cliente

  Você pode desabilitar o suporte para o protocolo SSL 3.0 no Windows seguindo estas etapas:

  1. Clique em Iniciar , clique em Executar , digite regedt32 ou digite regedit e, em seguida, clique em OK .
  2. No Editor do Registro, localize a seguinte chave de registro:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

  Observação Se o caminho completo da chave do Registro não existir, você poderá criá-lo expandindo as chaves disponíveis e usando a opção Nova Chave> no menu Editar.

  3. No menu Editar, clique em AddValue.
  4. Na lista DataType, clique em DWORD.
  5. Na caixa ValueName , digite Habilitado e, em seguida, clique em OK . 

  Observação Se esse valor estiver presente, clique duas vezes no valor para editar seu valor atual.

  6. Na caixa de diálogo Editar Valor DWORD (32 bits), digite 0 .
  7. Clique em OK. Reinicie o computador.

   

  Observação Essa solução alternativa desabilitará o SSL 3.0 para todos os softwares cliente instalados em um sistema.

  Observação Depois de aplicar essa solução alternativa, os aplicativos cliente nesta máquina não poderão se comunicar com outros servidores que oferecem suporte apenas a SSL 3.0.

  Como desfazer a solução alternativa. Siga estas etapas para desabilitar o SSL 3.0 no software cliente Windows:

  1. Abra o Editor do Registro.
  2. Localize e clique na seguinte subchave do Registro:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

  3. No menu Editar, clique em Excluir.
  4. Clique em Sim quando solicitado.
  5. Saia do Editor do Registro.
  6. Reinicie o sistema.

Ações adicionais sugeridas

• Proteja seu PC

  Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.

• Mantenha o software Microsoft atualizado

  Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

• Bodo Möller, da Equipe de Segurança do Google, por trabalhar conosco nesta questão

Outras Informações

Programa de Proteção Ativa da Microsoft (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Feedback

• Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.

Suporte

• Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
• Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
• O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (14 de outubro de 2014): Comunicado publicado.
• V1.1 (15 de outubro de 2014): Comunicado revisado para incluir uma solução alternativa para desabilitar o protocolo SSL 3.0 no Windows.
• V2.0 (29 de outubro de 2014): Comunicado revisado para anunciar a substituição do SSL 3.0, esclarecer as instruções de solução alternativa para desabilitar o SSL 3.0 em servidores Windows e em clientes Windows e anunciar a disponibilidade de uma solução Microsoft Fix it para o Internet Explorer. Para obter mais informações, consulte o artigo 3009008 da Base de Dados de Conhecimento.
• V2.1 (9 de dezembro de 2014): A Microsoft está anunciando a disponibilidade de avisos de fallback SSL 3.0 no Internet Explorer 11. Para obter mais informações, consulte o artigo 3013210 da Base de Dados de Conhecimento.
• V2.2 (10 de fevereiro de 2015): A Microsoft está anunciando que as tentativas de fallback do SSL 3.0 estão desabilitadas por padrão no Internet Explorer 11. Para obter mais informações, consulte o artigo 3021952 da Base de Dados de Conhecimento Microsoft.
• V2.3 (16 de fevereiro de 2015): Comunicado revisado para anunciar a data planejada para desabilitar o SSL 3.0 por padrão no Internet Explorer 11.
• V3.0 (14 de abril de 2015) Comunicado revisado para anunciar com o lançamento da atualização de segurança 3038314 em 14 de abril de 2015 o SSL 3.0 está desabilitado por padrão no Internet Explorer 11 e para adicionar instruções sobre como desfazer as soluções alternativas.

Página gerada em 07/04/2015 14:32Z-07:00.