Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 3097966

Os certificados digitais divulgados inadvertidamente podem permitir falsificação

Publicado em: 24/09/2015 | Atualizado em: 13/10/2015

Versão: 2.0

Sinopse

Em 24 de setembro de 2015, a Microsoft publicou este comunicado para notificar os clientes sobre quatro certificados digitais acidentalmente divulgados que poderiam ser usados para falsificar conteúdo e para fornecer uma atualização à Lista de certificados confiáveis (CTL) para remover confiança de modo de usuário para os certificados. Conforme reportado, os certificados de entidades finais divulgados não podem ser usados para emitir outros certificados ou representar outros domínios, mas podem ser usados para assinar o código. Além disso, as respectivas autoridades de certificação responsáveis pela emissão revogaram os quatro certificados.

Com a revisão de 13 de outubro de 2015 deste comunicado, a Microsoft anuncia a disponibilidade de uma atualização para todas as versões com suporte do Windows que modificam o componente de integridade de código do Windows para estender a remoção de confiança para certificados que também removem assinatura de código no modo do kernel.

Recomendações. Consulte a seção Ações sugeridas deste comunicado para obter instruções sobre como aplicar as atualizações para versões específicas do Microsoft Windows. Observe que ambas as atualizações de CTL lançadas em 24 de setembro de 2015 e a atualização do Windows lançada em 13 de outubro de 2015 são obrigatórias para que os sistemas afetados se protejam contra esse problema.

Problemas conhecidos. O artigo 3097966 da Base de Dados de Conhecimento Microsoft documenta um problema conhecido no momento que os clientes poderão encontrar ao instalar a atualização de 13 de outubro de 2015. O artigo também documenta uma solução recomendada.

Detalhes do Comunicado

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Dados de Conhecimento: 3097966

Software afetado

Este comunicado aplica-se aos seguintes sistemas operacionais:

Windows Vista
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 Service Pack 2 para sistemas baseados em x64
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
Windows 8
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas baseados em x64
Windows Server 2012
Windows Server 2012
Windows RT
Windows RT[1]
Windows 8.1
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas baseados em x64
Windows Server 2012 R2
Windows Server 2012 R2
Windows RT 8.1
Windows RT 8.1[1]
Windows 10
Windows 10 para sistemas de 32 bits[2]
(3097617)
Windows 10 para sistemas baseados em x64[2]
(3097617)
Opção de instalação Server Core
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação do núcleo do servidor)
Windows Server 2012 (instalação Server Core)
Windows Server 2012 R2 (instalação Server Core)
Dispositivos afetados
Windows Phone 8[1]
Windows Phone 8,1[1]

Observação O Windows Server Technical Preview 3 é afetado. Recomenda-se que os clientes que estão executando esse sistema operacional apliquem a atualização disponível no Windows Update.

[1]Aparelhos com Windows Phone 8 e Windows Phone 8.1 receberam automaticamente a atualização de CTL de 24 de setembro de 2015; no entanto, esses aparelhos não permitem a instalação de drivers de terceiros, mesmo se assinados, então eles não requerem a atualização secundária de 13 de outubro de 2015.

[2]A atualização do Windows 10 é cumulativa. Além de conter atualizações não relacionadas à segurança, ela também contém todas as correções de segurança para todas as vulnerabilidades afetadas do Windows 10 enviadas com o lançamento de segurança do mês. A atualização está disponível pelo Catálogo do Windows Update. Consulte artigo 3097617 da Base de Dados de Conhecimento Microsoft para obter mais informações e links para download.

Perguntas frequentes do comunicado

Por que este comunicado foi revisado em 13 de outubro de 2015?
O comunicado foi revisado em 13 de outubro e 2015 para notificar os clientes de que uma atualização do Windows está disponível que modifica o componente de integridade de código do Windows para estender a remoção de confiança para os quatro certificados digitais para também remover assinatura de código no modo do kernel. Para mais informações e para os links de download, consulte o Artigo 3097966 da Base de Dados de Conhecimento Microsoft. Observe que ambas as atualizações de CTL lançadas em 24 de setembro de 2015 e a atualização do Windows lançada em 13 de outubro de 2015 são obrigatórias para que os sistemas afetados se protejam contra o problema discutido neste comunicado.

Qual é o escopo do comunicado?
O objetivo deste comunicado é informar aos clientes sobre a atualização do Windows e da Lista de certificados confiáveis (CTL) para remover a confiança de modo de usuário e a confiança de assinatura de código no modo do kernel para quatro certificados digitais e que as respectivas autoridades de certificação (CAs) responsáveis pela emissão revogaram os certificados.

O que causou o problema?
O problema foi causado porque a D-Link Corporation publicou inadvertidamente os certificados.

A atualização da CTL aborda outros certificados digitais?
Sim, além de abordar os certificados descritos neste comunicado, a atualização da CTL originalmente lançada em 24 de setembro de 2015 é cumulativa e inclui certificados digitais descritos em comunicados anteriores:

O que é criptografia?
A criptografia é a ciência de proteger informações convertendo-as entre seu estado legível normal (chamado texto sem formatação) e outro em que os dados são ocultados (conhecido como texto codificado ou cifrado).

Em todas as formas de criptografia, um valor conhecido como uma chave é usado junto com um procedimento chamado de algoritmo criptografado para transformar dados de texto sem formatação em texto codificado. No tipo de criptografia mais familiar, criptografia de chave secreta, o texto codificado é revertido a texto sem formatação usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para reverter o texto codificado a texto sem formatação.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um pedaço inviolável de dados que empacota uma chave pública junto com a informação sobre ela (quem a mantém, para que pode ser usada, quando expira, etc.).

Para que são usados os certificados?
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente você não terá que pensar sobre certificados. Talvez você veja uma mensagem informando que determinado certificado está expirado ou é inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)?
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de certificados confiáveis (CTL)?
Deve haver confiança entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se entidades ou pessoas são quem eles alegam ser. Um certificado é publicado para uma entidade por terceiros que são confiáveis pelas outras partes. Assim sendo, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. CryptoAPI implementou uma metodologia para permitir que desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamada assuntos) é chamada lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de Confiança de Certificado.

O que um atacante pode fazer com esses certificados?
Um atacante pode usar certificados para assinar o código de forma fraudulenta.

O que a Microsoft está fazendo para ajudar a resolver este problema?
Embora esse problema não resulte de um problema em um produto da Microsoft, estamos atualizando a CTL e fornecendo uma atualização do Windows para ajudar na proteção dos clientes. A Microsoft continuará investigando o problema e pode fazer alterações futuras à CTL ou lançar uma atualização futura para ajudar a proteger os clientes.

Depois de aplicar a atualização da CTL, como eu posso verificar se os certificados estão no armazenamento de certificados não confiáveis da Microsoft?
Para Windows Vista, Windows 7, Windows Server 2008 e sistemas Windows Server 2008 R2 que usam o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter mais detalhes), e para Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 e sistemas Windows 10, você pode verificar se há no log de aplicativo no Visualizador de Eventos uma entrada com os seguintes valores:

  • Fonte: CAPI2
  • Nível: Informação
  • Identificação do Evento: 4112
  • Descrição: Autoatualização bem-sucedida de lista de certificados rejeitados com a data de vigência: 13/10/2015 (ou posterior).

Para sistemas que não usam o atualizador automático de certificados revogados, no Snap-in de MMC de certificados, verifique se o seguinte certificado foi adicionado à pasta Certificados não confiáveis:

Certificado Emitido por Thumbprint
DLINK CORPORATION Symantec Corporation ‎‎3e b4 4e 5f fe 6d c7 2d ed 70 3e 99 90 27 22 db 38 ff d1 cb
Alpha Networks Symantec Corporation ‎‎73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b
KEEBOX GoDaddy.com, LLC 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c
TRENDnet GoDaddy.com, LLC db 50 42 ed 25 6f f4 26 86 7b 33 28 87 ec ce 2d 95 e7 96 14

Observação Para informações sobre como visualizar certificados com o MMC Snap-in, consulte o artigo do MSDN, Passo a passo: Visualize certificados com oSnap-in de MMC.

Ações sugeridas

  • Aplique a atualização 3097966 lançada em 13 de outubro de 2015

    A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque a atualização 3097966 será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o artigo 3097966 da Base de Dados de Conhecimento Microsoft.

    Para instalações feitas por administradores ou empresas, ou para usuários finais que desejam instalar a atualização 3097966 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualização ou verificando se há atualizações usando o serviço Microsoft Update. Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 3097966 da Base de Dados de Conhecimento Microsoft.

  • Aplique a atualização da CTL lançada em 24 de setembro de 2015 (se ainda não tiver aplicado)

    Um atualizador automático de certificados revogados está incluído em edições com suporte do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 e Windows 10 para dispositivos que estão executando o Windows Phone 8 e Windows Phone 8.1. Para estes sistemas operacionais ou dispositivos, os clientes não precisam tomar nenhuma providência, pois a CTL será atualizada automaticamente.

    Para sistemas com Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que usam o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), os clientes não precisam tomar nenhuma providência, pois esses sistemas estarão automaticamente protegidos.

    Para sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que não têm o atualizador automático de certificados revogados instalado, esta atualização não estará disponível. Para receber esta atualização, os clientes devem instalar o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes). Os clientes nos ambientes desconectados e que executam o Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 podem instalar a atualização 2813430 para receber esta atualização (consulte o Artigo 2813430 da Base de Dados de Conhecimento Microsoft para obter detalhes).

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte o Centro de Segurança e Proteção da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Implantação de atualização de segurança

Para informações sobre a implantação de atualização de segurança, consulte o artigo 3097966 da Base de Dados de Conhecimento Microsoft.

Outras informações

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (24/09/2015): Comunicado publicado.
  • V2.0 (13/10/15): Comunicado revisado para notificar os clientes de que uma atualização está disponível que modifica o componente de integridade de código do Windows para estender a remoção de confiança para os quatro certificados digitais incluídos neste comunicado e também para remover assinatura de código no modo do kernel.

Página gerada 08/10/2015 13:44:00-07:00.