Comunicado de Segurança da Microsoft (2661254)

Por que esse comunicado foi revisado em 9 de outubro de 2012? 
A Microsoft revisou esse comunicado pelos seguintes motivos:

• Para oferecer o novo lançamento da atualização KB2661254 para Windows XP para solucionar um problema que envolve determinados certificados digitais gerados pela Microsoft sem os atributos adequados de data/hora. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2749655.
• Para anunciar que a atualização KB2661254 para todos os lançamentos com suporte do Microsoft Windows agora é oferecida por atualização automática.

Os clientes do Windows XP que instalaram a atualização devem reimplementar a atualização para evitar problemas descritos no Comunicado de Segurança da Microsoft 2749655. Outros clientes que já instalaram com êxito a atualização do centro de download não precisam reimplementar a atualização para ficarem protegidos pelo problema descrito nesse comunicado.

Por que este comunicado foi revisado no dia 11 de setembro de 2012? 
A Microsoft revisou esse comunicado a fim de esclarecer que aplicativos e serviços que usam chaves RSA para criptografia e ativam a função CertGetCertificateChain podem ser afetados por essa atualização. Exemplos desses aplicativos e serviços incluem, mas não se limitam a, e-mails criptografados, canais de criptografia SSL/TLS, aplicativos assinados e ambientes privados de PKI.

Para obter mais informações sobre o possível impacto a clientes e problemas conhecidos que os clientes podem enfrentar ao instalar essa atualização, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

Qual é o escopo do comunicado? 
O propósito deste comunicado é notificar os clientes sobre uma atualização que está disponível para todas as versões com suporte do Microsoft Windows que precisarão de certificados com chaves RSA maiores ou iguais a 1024 bits. Os certificados com chaves RSA menores do que 1024 bits podem ser derivados em um curto espaço de tempo e podem permitir que um invasor os duplique e use de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários. Esta atualização foi completamente testada e tem qualidade suficiente para a liberação. A atualização foi lançada no Centro de Download para permitir que os clientes avaliem seu ambiente e fornecer a oportunidade de reemitir os certificados necessários antes da distribuição mais ampla via Microsoft Update.

Como um invasor pode usar certificados de forma fraudulenta? 
O invasor pode duplicar o certificado e usá-lo de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários.

Como um invasor pode duplicar um certificado? 
Um certificado digital pode ser criado apenas pela pessoa que possui a chave privada do certificado. Um invasor pode tentar adivinhar a chave privada e usar técnicas matemáticas para determinar se uma suposição está correta. A dificuldade de ser bem-sucedido na suposição da chave privada é proporcional ao número de bits usados na chave. Portanto, quanto maior a chave, mais tempo levará para um invasor adivinhar a chave privada. Usando hardware moderno, chaves com menos de 1.024 bits de comprimento podem ser adivinhados com êxito em um curto período de tempo. Uma vez que o invasor adivinhe a chave privada, ele pode duplicar o certificado e usá-lo de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários.

O que é um ataque de intermediário? 
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que é um certificado digital? 
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela - quem a possui, com que propósito ela pode ser usada, quando ela expira, etc.

Como eu me preparo para este lançamento? 
Consulte a seção Ações recomendadas para obter uma lista de ações a serem executadas na preparação da implantação desta atualização.

Quando a Microsoft lançará esta atualização no Microsoft Update? 
A Microsoft planeja lançar esta atualização via Microsoft Update em outubro de 2012.

O que a atualização KB2661254 faz? 
Em todos os lançamentos com suporte do Microsoft Windows, a atualização KB2661254 requer que os certificados com chaves RSA usem uma chave de 1024 bits ou maior. Os certificados que usam algoritmos criptográficos diferentes de RSA não são afetados por essa atualização. Os produtos da Microsoft ou de terceiros que ativam a função CertGetCertificateChain não serão mais certificados confiáveis com chaves RSA com menos de 1024 bits. Essa função constrói um contexto de cadeia de certificado começando do fim do certificado e voltando, se possível, para um certificado raiz confiável. Quando a cadeia é validada, cada certificado é examinado a fim de garantir que ele tenha uma chave RSA com, no mínimo, 1024 bits. Se algum certificado da cadeia tiver uma chave RSA com menos de 1024 bits, o certificado final não será confiável.

Além disso, a atualização poderá ser configurada para fazer o registro quando os certificados forem bloqueados pela atualização. Para obter mais informações sobre como habilitar esse recurso de registro, consulte a seção Ações recomendadas deste Comunicado. Para obter uma lista completa de cenários sobre como essa atualização bloqueará o uso de chaves RSA com menos de 1024 bits, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

Esta atualização se aplica ao Windows 8 Release Preview ou Windows Server 2012 Release Candidate? 
Não. Esta atualização não se aplica ao Windows 8 Release Preview nem ao Windows Server 2012 Release Candidate porque esses sistemas operacionais já incluem a funcionalidade que requer que certificados com chaves RSA usem chave com 1024 bits ou maiores.

E se eu encontrar um certificado com uma chave RSA com menos de 1024 bits? 
Os clientes que identificarem certificados com chaves RSA com menos de 1024 bits nos respectivos ambientes deverão solicitar certificados maiores à respectiva autoridade de certificação. Os clientes que gerenciarem os próprios ambientes PKI deverão criar pares novos de chaves maiores e emitirem certificados novos usando essas chaves. Os clientes devem fazer a avaliação usando uma chave de tamanho suficiente para atender aos seus requisitos de criptografia de dados que podem exceder o mínimo necessário para esta atualização.

O que é uma autoridade de certificação (CA)? 
Uma autoridade de certificação (CA) é responsável por atestar a identidade de usuários, computadores e organizações. O CA autentica uma entidade e garante essa identidade emitindo um certificado digitalmente assinado. O CA também pode gerenciar, revogar e renovar certificados.

Uma autoridade de certificação pode consultar o seguinte:

• Uma organização que garante a identidade de um usuário final
• Um servidor que é usado pela organização para emitir e gerenciar certificados

Para versões com suporte do Microsoft Windows

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para instalações de empresas ou administradores, ou usuários finais que querem instalar a atualização KB2661254 manualmente, a Microsoft recomenda aos clientes que baixem a atualização e avaliem o impacto de requerer que os certificados com chaves RSA usem chaves de 1024 bits ou maiores. Consulte o Artigo 2661254 (em inglês) da Microsoft Knowledge Base para obter links de download para os pacotes de atualização ou pesquise o Microsoft Update Catalog quanto a pacotes de atualização.

As instalações de administradores e corporativas devem avaliar seu ambiente quanto à existência de chaves RSA inferiores a 1024 bits de tamanho e emitir novamente estes certificados. Para obter informações sobre aplicativos e serviços afetados por essa atualização, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

Os clientes que previamente aplicaram a atualização original KB2661254, antes de 9 de outubro de 2012, precisam aplicar os pacotes de atualização relançados para evitar um problema com certificados digitais descritos no Comunicado de Segurança da Microsoft 2749655. Consulte as Perguntas frequentes de Comunicado para obter mais informações.