Consultoria de Segurança
Comunicado de Segurança da Microsoft 2868725
Atualização para desabilitar o RC4
Publicado em: 12 de novembro de 2013
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização para edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT para resolver pontos fracos conhecidos no RC4. A atualização suporta a remoção de RC4 como uma cifra disponível em sistemas afetados através de configurações do registro. Ele também permite que os desenvolvedores removam RC4 em aplicativos individuais através do uso do sinalizador SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Essas opções não estão habilitadas por padrão.
Recomendação. A Microsoft recomenda que os clientes baixem e instalem a atualização imediatamente e, em seguida, testem as novas configurações em seus ambientes. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2868725 |
Softwares afetados
Este comunicado aborda o seguinte software.
| Sistema operacional |
|---|
| Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 |
| Windows 8 para sistemas de 32 bits |
| Windows 8 para sistemas baseados em x64 |
| Windows Server 2012 |
| Windows RT |
| Opção de instalação Server Core |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) |
| Windows Server 2012 (instalação Server Core) |
Perguntas frequentes sobre o Advisory
Esta atualização se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1?
Não. Esta atualização não se aplica ao Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 porque esses sistemas operacionais já incluem a funcionalidade para restringir o uso do RC4.
Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que uma atualização está disponível para edições com suporte do Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 e Windows RT que fornece opções adicionais para restringir o uso do RC4. O uso do RC4 em TLS e SSL pode permitir que um invasor execute ataques man-in-the-middle e recupere texto sem formatação de sessões criptografadas.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.
O que a atualização 2868725 faz?
A atualização suporta a remoção de RC4 como uma cifra disponível em sistemas afetados através de configurações do registro. Ele também permite que os desenvolvedores removam RC4 em aplicativos individuais através do uso do sinalizador SCH_USE_STRONG_CRYPTO na estrutura SCHANNEL_CRED. Essas opções não estão habilitadas por padrão. A Microsoft recomenda que os clientes testem quaisquer novas configurações para desabilitar o RC4 antes de implementá-las em seus ambientes.
A atualização afetará a experiência do usuário para o Internet Explorer ou outros aplicativos in-box?
Não. As alterações implementadas com a atualização são transparentes para o usuário e não afetarão a experiência do usuário para o Internet Explorer ou outros aplicativos in-box. No entanto, é possível que alterações subsequentes nas configurações para desabilitar o RC4 possam afetar a experiência do usuário para o Internet Explorer ou outros aplicativos que fazem uso do TLS. Por esta razão, é altamente recomendável que os clientes testem minuciosamente quaisquer novas configurações relacionadas à desativação do RC4.
Como me preparo para esta versão?
Consulte a seção Ações sugeridas deste comunicado para obter uma lista de ações a serem executadas em preparação para a implantação desta atualização.
O que é o Schannel?
O Secure Channel, também conhecido como Schannel, é um provedor de suporte de segurança (SSP) que contém um conjunto de protocolos de segurança que fornecem autenticação de identidade e comunicação segura e privada por meio de criptografia. O Schannel é usado principalmente para aplicativos da Internet que exigem comunicações HTTP (Hypertext Transfer Protocol) seguras. Para obter mais informações, consulte Canal seguro.
O que é TLS?
Transport Layer Security (TLS) é um protocolo padrão usado para fornecer comunicações seguras da Web na Internet ou intranets. Ele permite que os clientes autentiquem servidores ou, opcionalmente, servidores para autenticar clientes. Ele também fornece um canal seguro, criptografando as comunicações. TLS é a versão mais recente do protocolo Secure Sockets Layer (SSL).
O que é RC4?
RC4 é uma cifra de fluxo que é usada em criptografia e descriptografia.
Ações sugeridas
Aplicar a atualização para versões afetadas do Microsoft Windows
A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização 2868725 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.
Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização 2868725 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o Artigo 2868725 da Base de Dados de Conhecimento Microsoft.
Teste completamente novas configurações antes de implementá-las em seu ambiente
Depois de aplicar a atualização, a Microsoft recomenda que os clientes testem quaisquer novas configurações para desabilitar o RC4 antes de implementá-las em seus ambientes. A falha ao testar as novas configurações pode resultar em impacto na experiência do usuário para o Internet Explorer ou outros aplicativos que usam o TLS.
Outras Informações
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de novembro de 2013): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00