Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-031 - Importante

Vulnerabilidade no Schannel pode permitir o desvio do recurso de segurança (3046049)

Publicado em: 10.03.2015 | Atualizado em: 24.03.2015

Versão: 1.1

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Windows que facilita a exploração de uma técnica FREAK divulgada, um problema de toda a indústria que não é específico aos sistemas operacionais do Windows. A vulnerabilidade pode permitir que um atacante com intervenção humana (MiTM) force o downgrade do comprimento de chave de uma chave RSA para uma criptografia mais fraca para exportação em uma conexão TLS. Qualquer sistema do Windows que está usando o Schannel para se conectar a um servidor TLS remoto com um pacote de codificação inseguro está afetado.

Essa atualização de segurança foi classificada como Importante para todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda a vulnerabilidade corrigindo as políticas de imposição do pacote de codificação que são usadas quando as chaves do servidor são trocadas entre sistemas clientes e servidores. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre vulnerabilidade.

Esta atualização de segurança também elimina a vulnerabilidade descrita pela primeira vez no Comunicado de Segurança da Microsoft 3046015.

Para obter mais informações sobre essa atualização, consulte o artigo 3046049 da Base de Dados de Conhecimento da Microsoft.

Softwares afetados

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

Sistema operacional Impacto máximo à segurança Avaliação de gravidade agregada Atualizações substituídas
Windows Server 2003
Windows Server 2003 Service Pack 2
(3046049)
Desvio de recurso de segurança Importante 2992611 no MS14-066
Microsoft Windows Server 2003 x64 Edition Service Pack 2
(3046049)
Desvio de recurso de segurança Importante 2992611 no MS14-066
Windows Server 2003 com SP2 para sistemas baseados no Itanium
(3046049)
Desvio de recurso de segurança Importante 2992611 no MS14-066
Windows Vista
Windows Vista Service Pack 2
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Vista x64 Edition Service Pack 2
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008 Service Pack 2 para sistemas baseados em x64
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008 para sistemas Itanium Service Pack 2
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows 7 para Sistemas Service Pack 1 baseados em x64
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008 R2
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows 8 e Windows 8.1
Windows 8 para sistemas baseados em 32 bits
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows 8 para sistemas baseados em x64
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows 8.1 para sistemas baseados em 32 bits
(3046049)
Desvio de recurso de segurança Importante Nenhuma
Windows 8.1 para sistemas baseados em x64
(3046049)
Desvio de recurso de segurança Importante Nenhuma
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2012 R2
(3046049)
Desvio de recurso de segurança Importante Nenhuma
Windows RT e Windows RT 8.1
Windows RT[1] (3046049) Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows RT 8.1[1] (3046049) Desvio de recurso de segurança Importante Nenhuma
Opção de instalação Server Core
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2012 (instalação Server Core)
(3046049)
Desvio de recurso de segurança Importante 3023562 no MS15-010
Windows Server 2012 R2 (instalação Server Core)
(3046049)
Desvio de recurso de segurança Importante Nenhuma

Observação A atualização está disponível para o Windows Technical Preview e o Windows Server Technical Preview. Recomenda-se que os consumidores que estiverem executando esses sistemas operacionais apliquem a atualização, que está disponível no Windows Update.

[1]A atualização está disponível apenas no Windows Update.

Perguntas frequentes de atualização

Após instalar a atualização, as codificações de exportação ainda estão habilitadas no Windows Server 2003; como faço para desabilitá-las?
Para desabilitar as codificações de exportação nos sistemas do Windows Server 2003, siga as orientações fornecidas no Artigo 3050509 da Base de Dados de Conhecimento Microsoft.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de março.

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Softwares afetados Vulnerabilidade de desvio de recurso de segurança do Schannel - CVE-2015-1637 Avaliação de gravidade agregada
Windows Server 2003
Windows Server 2003 Service Pack 2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Microsoft Windows Server 2003 x64 Edition Service Pack 2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2003 com SP2 para sistemas baseados no Itanium
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Vista
Windows Vista Service Pack 2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Vista x64 Edition Service Pack 2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008 Service Pack 2 para sistemas baseados em x64
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008 para sistemas Itanium Service Pack 2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows 7 para Sistemas Service Pack 1 baseados em x64
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008 R2
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows 8 e Windows 8.1
Windows 8 para sistemas baseados em 32 bits
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows 8 para sistemas baseados em x64
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows 8.1 para sistemas baseados em 32 bits
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows 8.1 para sistemas baseados em x64
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2012 R2
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows RT e Windows RT 8.1
Windows RT
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows RT 8.1
(3046049)
Importante
Desvio de recurso de segurança
Importante
Opção de instalação Server Core
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2012 (instalação Server Core)
(3046049)
Importante
Desvio de recurso de segurança
Importante
Windows Server 2012 R2 (instalação Server Core)
(3046049)
Importante
Desvio de recurso de segurança
Importante

Informações sobre a vulnerabilidade

Vulnerabilidade de desvio de recurso de segurança do Schannel - CVE-2015-1637

Existe uma vulnerabilidade no desvio do recurso de segurança no Canal Seguro (Schannel) que é causada por um problema na máquina de estado TLS no qual um sistema cliente aceita uma chave RSA com um comprimento de chave menor do que o comprimento de chave originalmente negociado. A vulnerabilidade facilita a exploração da técnica FREAK divulgada, que é um problema de toda a indústria que não é específico aos sistemas operacionais do Windows.

Em um ataque com intervenção humana (MiTM), um atacante pode fazer o downgrade do comprimento de chave de uma chave RSA para uma criptografia mais fraca para exportação em uma sessão TLS criptografada. O atacante pode então interceptar e descriptografar esse tráfego. Qualquer sistema Windows conectado a um servidor TLS como um cliente é afetado. Um atacante que explore esta vulnerabilidade com êxito pode executar ataques MiTM que podem descriptografar o tráfego criptografado.

A atualização de segurança aborda a vulnerabilidade corrigindo as políticas de imposição do pacote de codificação que são usadas quando as chaves do servidor são trocadas entre sistemas clientes e servidores.

Essa vulnerabilidade foi divulgada de forma pública. Ela recebeu o número CVE-2015-1637 da lista Common Vulnerability and Exposure. Quando esse boletim de segurança foi lançado, a Microsoft ainda não tinha recebido informações que indicassem que este problema tinha sido usado de forma pública para atacar consumidores.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • Um servidor precisa oferecer suporte a criptografias de exportação de troca de chave RSA para que um ataque seja bem sucedido; as criptografias são desativadas nas configurações padrão do Windows Vista/Server 2008 e sistemas operacionais posteriores.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Desativar as criptografias de troca de chave RSA usando o Editor de Objeto de Política de Grupo (Windows Vista e sistemas posteriores apenas)

    Você pode desativar as criptografias de troca de chave RSA no Windows Vista e sistemas posteriores modificando a ordem do Pacote de Codificação de SSL no Editor de Objeto de Política de Grupo.

    Observação Instalando esta atualização (3046049) protege os sistemas da vulnerabilidade descrita neste boletim. Os clientes que implementaram anteriormente esta solução alternativa precisarão seguir as etapas para desfazer a solução alternativa se desejam usar qualquer uma das codificações que foram desativadas anteriormente.

    Para desativar as codificações de troca da chave RSA, é necessário especificar as codificações que o Windows deve usar ao executar as seguintes etapas:

    1. Em um prompt de comando, digite gpedit.msc e pressione Enter para iniciar o Editor de Objeto de Política de Grupo.
    2. Expanda Configuração do computador, Modelos administrativos, Rede e clique em Definições de configuração do SSL.
    3. Em Definições de configuração de SSL, clique duas vezes em Ordem do Pacote de Codificação de SSL.
    4. Na janela Ordem do Pacote de Codificação de SSL, clique em Habilitado.
    5. No painel Opções: clique duas vezes para destacar todo o conteúdo do campo Pacotes de Codificação de SSL e então substitua seu conteúdo com a seguinte lista de codificação:

          TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
          TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
          TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
          TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
          TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
          TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
          TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
          TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
          TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
          TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
          TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
          TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
          TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
          TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
          TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
          TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
          TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
          TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
          TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
          TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
          TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
          TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
          TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
          TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
          TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
      
    6. Clique em OK

    7. Feche o Editor de Objeto de Política de Grupo e reinicie o sistema.

    Impacto da solução alternativa. O Windows falhará em se conectar aos sistemas que não oferecem suporte a nenhuma das codificações listadas na solução alternativa. Para determinar quais codificações estão disponíveis para cada protocolo de criptografia consulte Pacotes de Codificação no Schannel.

    Como desfazer a solução alternativa. Siga estas etapas para desabilitar a configuração de política da Ordem do Pacote de Codificação de SSL:

    1. Em um prompt de comando, digite gpedit.msc e pressione Enter para iniciar o Editor de Objeto de Política de Grupo.
    2. Expanda Configuração do computador, Modelos administrativos, Rede e clique em Definições de configuração do SSL.
    3. Em Definições de configuração de SSL, clique duas vezes em Ordem do Pacote de Codificação de SSL.
    4. Na janela Ordem do Pacote de Codificação de SSL, clique em Desabilitado e clique em OK.
    5. Feche o Editor de Objeto de Política de Grupo e reinicie o sistema.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Resumo executivo.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10.03.15): Boletim publicado.
  • V1.1 (24.03.2015): Boletim revisado para adicionar uma Pergunta frequente direcionando os clientes para o Artigo 3050509 da Base de Dados de Conhecimento Microsoft para obter instruções sobre como desabilitar as codificações de exportação após instalar a atualização nos sistemas do Windows Server 2003.

Página gerada em 23.03.15 16:56Z-07:00.