Modifiche nella verifica della firma Authenticode di Windows
Data di pubblicazione: 10 dicembre 2013 | Data di aggiornamento: 29 luglio 2014
Versione: 1.4
Informazioni generali
Riepilogo
Microsoft comunica la disponibilità di un aggiornamento per tutte le versioni supportate di Microsoft Windows per modificare il modo in cui le firme vengono verificate per file binari con firma in formato Authenticode di Windows. La modifica è inclusa nel bollettino sulla sicurezza MS13-098, ma verrà attivata solo dietro consenso esplicito dell'utente. Se attivata, il nuovo comportamento relativo alla verifica della firma Authenticode di Windows non consentirà più la presenza di informazioni estranee nella struttura WIN_CERTIFICATE e Windows non potrà più riconoscere i file binari non compatibili come firmati. Tenere presente che Microsoft potrebbe rendere questo comportamento predefinito in una versione futura di Microsoft Windows.
Raccomandazione. Microsoft consiglia agli autori dei file eseguibili di allineare tutti i file binari firmati al nuovo standard di verifica assicurandosi che non siano presenti informazioni estranee nella struttura WIN_CERTIFICATE. Microsoft consiglia anche ai clienti di verificare questa modifica in modo appropriato, per valutare quale sarà il comportamento nei propri ambienti. Per ulteriori informazioni, consultare la sezione Interventi consigliati di questo advisory.
Dettagli sull'advisory
Documentazione di riferimento per il problema
Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:
Domande frequenti sull'advisory
-------------------------------
**Qual è lo scopo di questo advisory?**
Lo scopo di questo advisory è quello di informare i clienti di una modifica opzionale al modo in cui Microsoft Windows verifica i file binari con firma Authenticode.
**Perché questo advisory è stato rivisto il 29 luglio 2014?**
Questo advisory è stato rivisto in data 29 luglio 2014 per comunicare la funzionalità di verifica restrittiva della firma Authenticode di Windows qui descritta verrà attivata solo dietro consenso esplicito dell'utente e non sarà predefinita per le versioni supportate di Microsoft Windows.
**In che modo Microsoft implementerà la funzionalità di verifica restrittiva della firma Authenticode di Windows?**
il 10 dicembre 2013, Microsoft ha rilasciato il bollettino sulla sicurezza [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) per distribuire il codice relativo al comportamento di verifica restrittiva della firma Authenticode. In precedenza, era stato comunicato tramite questo advisory che Microsoft avrebbe attivato a partire dal 12 agosto 2014 le modifiche implementate con [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) come funzionalità predefinite. Tuttavia, in seguito alle attività per l'adattamento di questa modifica condotte con i clienti, è emerso che l'impatto sul software esistente sarebbe stato elevato. Pertanto, Microsoft ha deciso di non applicare più tale comportamento come requisito predefinito. Le funzionalità correlate alla verifica restrittiva della firma rimangono tuttavia valide e possono essere attivate a discrezione dell'utente.
**In che modo è possibile attivare la nuova funzionalità di verifica della firma?**
I clienti che desiderano attivare la nuova funzionalità di verifica della firma Authenticode possono farlo impostando una chiave nel Registro di sistema. Una volta impostata la chiave, la verifica della firma Authenticode di Windows non riconoscerà più i file binari con firme Authenticode che contengono informazioni estranee nella struttura WIN\_CERTIFICATE. I clienti possono scegliere di disattivare la funzionalità in qualsiasi momento disabilitando questa chiave nel Registro di sistema. Per istruzioni, vedere **Interventi consigliati** di seguito.
**Dopo aver attivato questa modifica, è necessario effettuare delle operazioni non applicate per impostazione predefinita?**
I clienti che hanno già attivato la funzionalità di verifica restrittiva senza problemi, possono lasciare attivata questa funzionalità. I clienti che hanno riscontrato problemi di compatibilità delle applicazioni con questa nuova funzionalità, o che semplicemente desiderano disattivarla, possono farlo rimuovendo la chiave EnableCertPaddingCheck dal Registro di sistema. Per istruzioni, vedere **Interventi consigliati** di seguito.
**Se non è stata attivata questa modifica, è necessario effettuare delle operazioni non applicate per impostazione predefinita?**
No. La funzionalità di verifica restrittiva installata con [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) rimarrà sul sistema in forma latente finché non viene attivata.
**La nuova funzionalità di verifica influisce sul software già installato?**
La nuova funzionalità di verifica restrittiva, se attivata, si applica principalmente ai file binari (PE) eseguibili con formato di firma Authenticode di Windows. I file binari non firmati con questo formato o che non utilizzano WinVerifyTrust per la verifica delle firme non sono interessati da questo nuovo comportamento. I file binari maggiormente interessati sono i file di installazione PE distribuiti tramite Internet, che sono personalizzati al momento del download. Lo scenario più comune in cui gli utenti possono riscontrare un impatto dovuto a tale modifica è quello di download e installazione delle nuove applicazioni. Ciò accade solo se i clienti hanno scelto di attivare la funzionalità di verifica restrittiva, per cui potrebbero ricevere messaggi di avviso durante l'installazione di nuove applicazioni che non riescono a convalidare le firme.
**La nuova funzionalità di verifica influisce sui criteri AppLocker?**
Per i clienti che hanno scelto di attivare la funzionalità di verifica restrittiva, le regole AppLocker che si basano sui file firmati, o che prevedono un editore specifico, possono essere interessate se la firma su un file non è conforme ai requisiti di verifica restrittiva della firma Authenticode.
**La nuova funzionalità di verifica influisce sui criteri di restrizione del software?**
Per i clienti che hanno scelto di attivare la funzionalità di verifica restrittiva, i criteri di restrizione del software che si basano sui file firmati, o che prevedono un editore specifico, possono essere interessati se la firma su un file non è conforme ai requisiti di verifica restrittiva della firma Authenticode.
**La nuova funzionalità di verifica restrittiva considera i file binari non compatibili. Quali soluzioni sono disponibili?**
Se un file binario viene considerato non compatibile in relazione alla funzionalità di verifica restrittiva della firma Authenticode, ciò non costituisce un problema per i sistemi sui quali non è attivata tale funzionalità poiché Microsoft non la applica per impostazione predefinita. Tuttavia, per correggere i problemi relativi alla mancata convalida dei file binari sui sistemi con la nuova funzionalità di verifica attivata, è necessario che i file binari siano firmati nuovamente in modo rigorosamente conforme al formato della firma Authenticode di Windows e, nello specifico, che non includano informazioni estranee nella struttura WIN\_CERTIFICATE.
**Esiste la possibilità che una firma sia riconosciuta come non compatibile con il processo di verifica restrittivo se vengono utilizzati strumenti di firma non forniti da Microsoft?**
Sì. Per i clienti che scelgono di attivare la funzionalità di verifica restrittiva, l'uso di strumenti di firma non forniti da Microsoft per la firma dei file binari comporta il rischio che le firme vengano considerate non compatibili con la nuova funzionalità di verifica restrittiva. L'uso di prodotti Microsoft o di strumenti di firma forniti da Microsoft, come signtool.exe, garantisce la compatibilità delle firme.
**Che è la firma Authenticode di Windows?**
Authenticode di Windows è un formato di firma digitale utilizzato per determinare l'origine e l'integrità di file di software binari. Authenticode utilizza i dati firmati PKCS (Public-Key Cryptography Standard) 7 e i certificati X.509 per associare un file binario con firma Authenticode all'identità di un autore di software. Il termine "firma Authenticode" fa riferimento a un formato di firma digitale generato e verificato tramite la funzione WinVerifyTrust.
**Che cos'è la verifica della firma Authenticode di Windows?**
La verifica della firma Authenticode di Windows comprende due attività principali: controllo della firma su oggetti specificati e verifica dell'attendibilità. Queste attività vengono effettuate dalla funzione WinVerifyTrust, che esegue un controllo della firma per poi trasferire la domanda a un provider di attendibilità che supporta l'identificatore dell'azione, se esistente. Per informazioni più tecniche riguardanti la funzione WinVerifyTrust, vedere [Funzione WinVerifyTrust](http://msdn.microsoft.com/en-us/library/aa388208(vs.85).aspx).
Per un'introduzione ad Authenticode, vedere [Introduzione alla firma codice](http://msdn.microsoft.com/en-us/library/ms537361(v=vs.85).aspx).
Interventi consigliati
----------------------
- **Analisi dei requisiti tecnici del programma Microsoft Root Certificate**
Per ottenere maggiori informazioni sull'argomento trattato in questo advisory, vedere [Programma Microsoft Root Certificate - Requisiti tecnici](http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements.aspx).
- **Modifica dei processi di firma dei file binari**
Dopo aver analizzato i dettagli tecnici alla base della modifica nel comportamento di verifica della firma Authenticode, Microsoft consiglia ai clienti di assicurarsi che le proprie firme Authenticode non contengano informazioni estranee nella struttura WIN\_CERTIFICATE. Microsoft consiglia inoltre agli autori dei file eseguibili di allineare i file binari con firma Authenticode al nuovo standard di verifica. Gli autori che hanno modificato i processi di firma dei file binari e desiderano attivare la nuova funzionalità possono farlo solo dietro consenso esplicito. Vedere [Programma Windows Root Certificate - Requisiti tecnici](http://social.technet.microsoft.com/wiki/contents/articles/1760.windows-root-certificate-program-technical-requirements.aspx) per informazioni.
- **Verificare il miglioramento della verifica della firma Authenticode**
Microsoft consiglia ai clienti di controllare il comportamento della nuova funzionalità di verifica della firma Authenticode nel proprio ambiente prima di implementarla pienamente. Per attivare i miglioramenti della verifica della firma Authenticode, aggiungere il valore EnableCertPaddingCheck al Registro di sistema come descritto di seguito.
**Avviso** L'esecuzione di questa procedura per l'attivazione delle modifiche alle funzionalità previste dall'aggiornamento [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389) fa sì che i file binari non conformi vengano indicati come non firmati e, pertanto, vengono considerati come non affidabili.
**Nota** L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.
Dopo aver installato l'aggiornamento [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389), attenersi alla seguente procedura:
**Per le edizioni a 32 bit di Microsoft Windows**
incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file reg, ad esempio enableAuthenticodeVerification.reg.
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
```
Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso.
**Nota** È necessario riavviare il sistema per rendere operative queste modifiche.
**Per le edizioni a 64 bit di Microsoft Windows**
incollare il seguente testo in un editor di testo come Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file .reg, ad esempio enableAuthenticodeVerification64.reg.
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
```
Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso.
**Nota** È necessario riavviare il sistema per rendere operative queste modifiche.
**Impatto dell'attivazione delle modifiche alle funzionalità incluse nell'aggiornamento [MS13-098](http://go.microsoft.com/fwlink/?linkid=325389).** I file binari non conformi vengono indicati come non firmati e, pertanto, vengono considerati come non affidabili.
**Modalità di disattivazione della funzionalità.** Attenersi alla seguente procedura per cancellare il valore del registro di sistema precedentemente aggiunto.
Per le versioni a 32 bit di Microsoft Windows, incollare il testo seguente in un editor di testo, ad esempio Blocco Note. Successivamente, salvare il file utilizzando l'estensione di nome file reg, ad esempio disableAuthenticodeVerification.reg.
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=-
```
Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso.
**Nota** È necessario riavviare il sistema per rendere operative queste modifiche.
Per le versioni a 64 bit di Microsoft Windows, incollare il testo seguente in un editor di testo, ad esempio Blocco note. Successivamente, salvare il file utilizzando l'estensione di nome file .reg, ad esempio disableAuthenticodeVerification64.reg.
```
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=-
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"=-
```
Questo file .reg può essere applicato a singoli sistemi facendo doppio clic su di esso.
**Nota** È necessario riavviare il sistema per rendere operative queste modifiche.
Ulteriori interventi consigliati
Proteggere il proprio PC
Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.
Tenere il software Microsoft aggiornato
Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.
Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni, vedere Supporto Tecnico Microsoft.
I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni, vedere Supporto internazionale.
Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni
V1.0 (10 dicembre 2013): Pubblicazione dell'advisory.
V1.1 (13 dicembre 2013): Sono state corrette le informazioni sulla chiave del Registro di sistema nell'operazione consigliata indicata come Verificare il miglioramento della verifica della firma Authenticode. I clienti che hanno applicato o progettano di applicare la soluzione alternativa dovrebbero analizzare le informazioni aggiornate.
V1.2 (11 febbraio 2014): Nuovo rilascio dell'advisory come promemoria ai clienti che le modifiche latenti implementate con MS13-098 saranno attive dal 10 giugno 2014. Dopo questa data, Windows non riconoscerà più i file binari non conformi come firmati. Vedere le sezioni Raccomandazione e Interventi consigliati in questo advisory per ulteriori informazioni.
V1.3 (21 maggio 2014): L'advisory è stato rivisto per includere la nuova data del 12 agosto 2014 per la modifica relativa ai file binari non conformi che non saranno più riconosciuti come firmati. Anziché dal 10 giugno 2014, le modifiche latenti implementate con MS13-098 saranno attive dal 12 agosto 2014.
V1.4 (29 luglio 2014): Microsoft ha rivisto questo advisory per comunicare che non verrà più applicata la funzionalità di verifica restrittiva della firma come funzionalità predefinita per le versioni supportate di Microsoft Windows. Questa opzione sarà disponibile come funzionalità con consenso esplicito. Per ulteriori informazioni, vedere la sezione Domande frequenti sull'advisory.