Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-055 - Importante

Vulnerabilidade no Schannel pode permitir a divulgação não autorizada de informação (3061518)

Publicado em: 12 de maio de 2015

Versão: 1.0

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Windows que facilita a exploração da técnica Logjam divulgada publicamente, um problema em todo o setor que não é específico dos sistemas operacionais do Windows. A vulnerabilidade pode permitir a divulgação não autorizada de informação quando o Canal Seguro (Schannel) permite o uso de um comprimento de chave Diffie-Hellman ephemeral fraca de 512 bits em uma sessão TLS criptografada. Permitir chaves DHE de 512 bits torna as trocas de chave DHE fracas e vulneráveis a vários ataques. Um servidor precisa suportar comprimentos de chave DHE de 512 bits para que um ataque seja bem-sucedido; o comprimento de chave DHE mínimo permitido em configurações padrão de servidores do Windows é 1024 bits.

Essa atualização de segurança foi classificada como Importante para todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda a vulnerabilidade, aumentando o comprimento mínimo permitido da chave DHE para 1024 bits. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3061518 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

Sistema operacional Impacto máximo à segurança Avaliação de gravidade agregada Atualizações substituídas
Windows Server 2003
Windows Server 2003 Service Pack 2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Microsoft Windows Server 2003 x64 Edition Service Pack 2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2003 com SP2 para sistemas baseados no Itanium
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Vista
Windows Vista Service Pack 2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Vista x64 Edition Service Pack 2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008 Service Pack 2 para sistemas baseados em x64
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows 7 para Sistemas baseados em x64 Service Pack 1
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008 R2
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows 8 e Windows 8.1
Windows 8 para sistemas de 32 bits
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031,
3050514 no MS15-052[1]
Windows 8 para sistemas baseados em x64
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031,
3050514 no MS15-052[1]
Windows 8.1 para sistemas de 32 bits
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows 8.1 para sistemas baseados em x64
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031,
3050514 no MS15-052[1]
Windows Server 2012 R2
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows RT e Windows RT 8.1
Windows RT[2] (3061518) Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows RT 8.1[2] (3061518) Divulgação não autorizada de informação Importante 3046049 no MS15-031
Opção de instalação Server Core
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core)
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031
Windows Server 2012 (instalação Server Core)
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031,
3050514 no MS15-052[1]
Windows Server 2012 R2 (instalação Server Core)
(3061518)
Divulgação não autorizada de informação Importante 3046049 no MS15-031

[1]Observe que a atualização 3050514 no MS15-052 está sendo lançada simultaneamente com a 3061518 no MS15-055. Os clientes que pretendem instalar ambas as atualizações manualmente no Windows 8 ou Windows Server 2012 devem instalar a 3050514 no MS15-052 antes de instalar a 3061518 no MS15-055 (isto ocorre automaticamente para clientes que têm as atualizações automáticas habilitadas.) Para obter mais informações, consulte a seção Problemas conhecidos no Artigo 3061518 da Base de Dados de Conhecimento Microsoft.

[2]A atualização está disponível apenas no Windows Update.

Perguntas frequentes de atualização

Esta atualização contém qualquer outra alteração relacionada à segurança para a funcionalidade?
Sim. Esta atualização padroniza as criptografias TLS False Start pelo Windows 8 e Windows 8.1 removendo a otimização False Start durante a negociação de criptografia para as seguintes duas criptografias nos sistemas do Windows 8:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Ela também implementa uma provisão para não permitir o False Start durante a negociação do pacote de criptografia do RC4.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de maio.

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Software Afetado Vulnerabilidade de divulgação de informações do Schannel - CVE-2015-1716 Avaliação de gravidade agregada
Windows Server 2003
Windows Server 2003 Service Pack 2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Microsoft Windows Server 2003 x64 Edition Service Pack 2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2003 com SP2 para sistemas baseados no Itanium
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Vista
Windows Vista Service Pack 2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Vista x64 Edition Service Pack 2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008 Service Pack 2 para sistemas baseados em x64
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows 7 para Sistemas baseados em x64 Service Pack 1
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008 R2
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em Itanium
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows 8 e Windows 8.1
Windows 8 para sistemas de 32 bits
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows 8 para sistemas baseados em x64
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows 8.1 para sistemas de 32 bits
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows 8.1 para sistemas baseados em x64
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2012 R2
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows RT e Windows RT 8.1
Windows RT
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows RT 8.1
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Opção de instalação Server Core
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core)
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core)
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 (instalação Server Core)
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2012 (instalação Server Core)
(3061518)
Importante
Divulgação não autorizada de informação
Importante
Windows Server 2012 R2 (instalação Server Core)
(3061518)
Importante
Divulgação não autorizada de informação
Importante

Informações sobre a vulnerabilidade

Vulnerabilidade de divulgação de informações do Schannel - CVE-2015-1716

Existe uma vulnerabilidade na divulgação não autorizada de informação quando o Canal Seguro (Schannel) permite o uso de um comprimento de chave Diffie-Hellman ephemeral (DHE) fraca de 512 bits em uma sessão TLS criptografada. Permitir chaves DHE de 512 bits torna as trocas de chave DHE fracas e vulneráveis a vários ataques.

A atualização de segurança aborda a vulnerabilidade, aumentando o comprimento mínimo permitido da chave DHE para 1024 bits.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • Um servidor precisa suportar comprimentos de chave DHE de 512 bits para que um ataque seja bem-sucedido; o comprimento de chave DHE mínimo permitido em configurações padrão de servidores do Windows é 1024 bits.

Soluções alternativas

A seguinte solução alternativa pode ser útil em seu caso:

  • Desabilitar os pacotes de criptografia DHE

    Aviso A utilização incorreta do Editor de Registro poderá provocar problemas graves que poderão forçar a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    1. Abra o Editor do Registro.
    2. Acesse as configurações de algoritmo de troca de chaves navegando para o seguinte local do Registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

    3. Selecione a subchave Diffie-Hellman (se ela não existir, crie-a).

    4. Defina o valor de Registro DWORD Enabled para 0 (se ele não existir, crie-o)
    5. Saia do Editor do Registro.

    Como desfazer a solução alternativa.

    1. Abra o Editor do Registro.
    2. Acesse as configurações de algoritmo de troca de chaves navegando para o seguinte local do Registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

    3. Selecione a subchave Diffie-Hellman.

    4. Defina o valor de Registro DWORD Enabled para 1.
    5. Saia do Editor do Registro.

    Impacto da solução alternativa: Sessões de TLS criptografados que dependem das chaves DHE não funcionarão mais, a menos que opções de failover alternativas tenham sido implementadas.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (12.05.15): Boletim publicado.

Página gerada 27.05.15 14:31Z-07:00.