Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2661254

Atualização para comprimento mínimo de chave de certificado

Publicado: terça-feira, 14 de agosto de 2012 | Atualizado: terça-feira, 9 de outubro de 2012

Versão: 2.0

Informações Gerais

Sinopse

A Microsoft está anunciando a disponibilidade de uma atualização do Windows que restringe o uso de certificados RSA com menos de 1.024 bits. As chaves privadas usadas nesses certificados podem ser derivadas e podem permitir que um invasor duplique e use os certificados de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários.

Ob servação Esta atualização afeta aplicativos e serviços que usam chaves RSA para criptografia e ativam a função CertGetCertificateChain. Esses aplicativos e serviços não serão mais certificados confiáveis com chaves RSA com menos que 1024 bits. Exemplos de aplicativos e serviços afetados incluem, mas não se limitam a, e-mails criptografados, canais de criptografia SSL/TLS, aplicativos assinados e ambientes privados de PKI. Os certificados que usam algoritmos criptográficos diferentes de RSA não são afetados por essa atualização. Para obter informações sobre aplicativos e serviços afetados por essa atualização, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

A atualização está disponível no Centro de Download e também no Microsoft Update Catalog para todas as versões com suporte do Microsoft Windows. Além disso, a partir de 9 de outubro de 2012, essa atualização será oferecida via atualização automática e pelo serviço Microsoft Update.

Recomendação. A Microsoft recomenda que os clientes instalem a atualização o mais rápido possível. Consulte a seção Ações sugeridas deste comunicado para obter mais informações. Para clientes que aplicaram a atualização 2661254 para Windows XP antes do relançamento de 9 de outubro de 2012, a Microsoft recomenda aplicar a atualização relançada imediatamente. Consulte as Perguntas frequentes do Comunicado para obter mais informações sobre a atualização relançada.

Problemas conhecido s. O Artigo 2661254 (em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta as soluções recomendadas para esses problemas.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2661254

Dispositivos e softwares afetados

Este comunicado descreve o seguinte software:

Sistema operacional
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas Service Pack 1 baseados no Itanium
Opção de instalação de núcleo de servidor
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação do núcleo do servidor)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação do núcleo do servidor)
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação do Núcleo do servidor)

Por que esse comunicado foi revisado em 9 de outubro de 2012? 
A Microsoft revisou esse comunicado pelos seguintes motivos:

  • Para oferecer o novo lançamento da atualização KB2661254 para Windows XP para solucionar um problema que envolve determinados certificados digitais gerados pela Microsoft sem os atributos adequados de data/hora. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2749655.
  • Para anunciar que a atualização KB2661254 para todos os lançamentos com suporte do Microsoft Windows agora é oferecida por atualização automática.

Os clientes do Windows XP que instalaram a atualização devem reimplementar a atualização para evitar problemas descritos no Comunicado de Segurança da Microsoft 2749655. Outros clientes que já instalaram com êxito a atualização do centro de download não precisam reimplementar a atualização para ficarem protegidos pelo problema descrito nesse comunicado.

Por que este comunicado foi revisado no dia 11 de setembro de 2012? 
A Microsoft revisou esse comunicado a fim de esclarecer que aplicativos e serviços que usam chaves RSA para criptografia e ativam a função CertGetCertificateChain podem ser afetados por essa atualização. Exemplos desses aplicativos e serviços incluem, mas não se limitam a, e-mails criptografados, canais de criptografia SSL/TLS, aplicativos assinados e ambientes privados de PKI.

Para obter mais informações sobre o possível impacto a clientes e problemas conhecidos que os clientes podem enfrentar ao instalar essa atualização, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

Qual é o escopo do comunicado? 
O propósito deste comunicado é notificar os clientes sobre uma atualização que está disponível para todas as versões com suporte do Microsoft Windows que precisarão de certificados com chaves RSA maiores ou iguais a 1024 bits. Os certificados com chaves RSA menores do que 1024 bits podem ser derivados em um curto espaço de tempo e podem permitir que um invasor os duplique e use de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários. Esta atualização foi completamente testada e tem qualidade suficiente para a liberação. A atualização foi lançada no Centro de Download para permitir que os clientes avaliem seu ambiente e fornecer a oportunidade de reemitir os certificados necessários antes da distribuição mais ampla via Microsoft Update.

Como um invasor pode usar certificados de forma fraudulenta? 
O invasor pode duplicar o certificado e usá-lo de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários.

Como um invasor pod e duplicar um certificado? 
Um certificado digital pode ser criado apenas pela pessoa que possui a chave privada do certificado. Um invasor pode tentar adivinhar a chave privada e usar técnicas matemáticas para determinar se uma suposição está correta. A dificuldade de ser bem-sucedido na suposição da chave privada é proporcional ao número de bits usados na chave. Portanto, quanto maior a chave, mais tempo levará para um invasor adivinhar a chave privada. Usando hardware moderno, chaves com menos de 1.024 bits de comprimento podem ser adivinhados com êxito em um curto período de tempo. Uma vez que o invasor adivinhe a chave privada, ele pode duplicar o certificado e usá-lo de forma fraudulenta para falsificar o conteúdo, executar ataques de phishing ou executar ataques intermediários.

O que é um ataque de intermediário? 
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

O que é um certificado digital? 
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública com informações sobre ela - quem a possui, com que propósito ela pode ser usada, quando ela expira, etc.

Como eu me preparo para este lançamento? 
Consulte a seção Ações recomendadas para obter uma lista de ações a serem executadas na preparação da implantação desta atualização.

Quando a Microsoft lançará esta atualização no Microsoft Update? 
A Microsoft planeja lançar esta atualização via Microsoft Update em outubro de 2012.

O que a atual ização KB2661254 faz? 
Em todos os lançamentos com suporte do Microsoft Windows, a atualização KB2661254 requer que os certificados com chaves RSA usem uma chave de 1024 bits ou maior. Os certificados que usam algoritmos criptográficos diferentes de RSA não são afetados por essa atualização. Os produtos da Microsoft ou de terceiros que ativam a função CertGetCertificateChain não serão mais certificados confiáveis com chaves RSA com menos de 1024 bits. Essa função constrói um contexto de cadeia de certificado começando do fim do certificado e voltando, se possível, para um certificado raiz confiável. Quando a cadeia é validada, cada certificado é examinado a fim de garantir que ele tenha uma chave RSA com, no mínimo, 1024 bits. Se algum certificado da cadeia tiver uma chave RSA com menos de 1024 bits, o certificado final não será confiável.

Além disso, a atualização poderá ser configurada para fazer o registro quando os certificados forem bloqueados pela atualização. Para obter mais informações sobre como habilitar esse recurso de registro, consulte a seção Ações recomendadas deste Comunicado. Para obter uma lista completa de cenários sobre como essa atualização bloqueará o uso de chaves RSA com menos de 1024 bits, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

Esta atualização se aplica ao Windows 8 Release Preview ou Windows Server 2012 Release Candid ate? 
Não. Esta atualização não se aplica ao Windows 8 Release Preview nem ao Windows Server 2012 Release Candidate porque esses sistemas operacionais já incluem a funcionalidade que requer que certificados com chaves RSA usem chave com 1024 bits ou maiores.

E se eu encontrar um certificado com uma chave RSA com menos de 1024 bits? 
Os clientes que identificarem certificados com chaves RSA com menos de 1024 bits nos respectivos ambientes deverão solicitar certificados maiores à respectiva autoridade de certificação. Os clientes que gerenciarem os próprios ambientes PKI deverão criar pares novos de chaves maiores e emitirem certificados novos usando essas chaves. Os clientes devem fazer a avaliação usando uma chave de tamanho suficiente para atender aos seus requisitos de criptografia de dados que podem exceder o mínimo necessário para esta atualização.

O que é uma autoridade de certificação (CA)? 
Uma autoridade de certificação (CA) é responsável por atestar a identidade de usuários, computadores e organizações. O CA autentica uma entidade e garante essa identidade emitindo um certificado digitalmente assinado. O CA também pode gerenciar, revogar e renovar certificados.

Uma autoridade de certificação pode consultar o seguinte:

  • Uma organização que garante a identidade de um usuário final
  • Um servidor que é usado pela organização para emitir e gerenciar certificados

Para versões com suporte do Microsoft Windows

A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

Para instalações de empresas ou administradores, ou usuários finais que querem instalar a atualização KB2661254 manualmente, a Microsoft recomenda aos clientes que baixem a atualização e avaliem o impacto de requerer que os certificados com chaves RSA usem chaves de 1024 bits ou maiores. Consulte o Artigo 2661254 (em inglês) da Microsoft Knowledge Base para obter links de download para os pacotes de atualização ou pesquise o Microsoft Update Catalog quanto a pacotes de atualização.

As instalações de administradores e corporativas devem avaliar seu ambiente quanto à existência de chaves RSA inferiores a 1024 bits de tamanho e emitir novamente estes certificados. Para obter informações sobre aplicativos e serviços afetados por essa atualização, consulte o artigo 2661254 (em inglês) da Microsoft Knowledge Base.

Os clientes que previamente aplicaram a atualização original KB2661254, antes de 9 de outubro de 2012, precisam aplicar os pacotes de atualização relançados para evitar um problema com certificados digitais descritos no Comunicado de Segurança da Microsoft 2749655. Consulte as Perguntas frequentes de Comunicado para obter mais informações.

Ações adicionais sugeridas

  • Identifique os certificados RSA com ch aves com menos de 1.024 bits em uso na empresa

    Consulte o Artigo 2661254 (em inglês) da Microsoft Knowledge Base para obter instruções detalhadas sobre como localizar certificados RSA que estão atualmente em uso na empresa.

  • Procure os cenários no artigo 2661254 (em inglês) da Microsoft Knowledge Base para saber quando esta atualização bloqueará os certificados

    Veja o artigo 2661254 (em inglês) da Microsoft Knowledge Base para obter uma lista de cenários sobre quando esta atualização bloqueará certificados com chaves RSA com menos de 1024 bits.

  • Habilite o registro do certificado para ajudar a identificar o uso de chaves RSA com menos de 1024 bits

    Por padrão, registrar não está habilitado. O registro pode ser habilitado para ajudar a identificar o uso de chaves RSA com menos de 1.024 bits de comprimento, configurando o diretório de registro no Registro.

    Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    Windows Registry Editor Ve rsão 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\ EncodingType 0\ CertDllCreateCertificateChainEngine \ Config ] " WeakSignatureLogDir "

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, consulte Ferramentas e configurações principais da Diretiva de Grupo.

    Impacto da solução alternativa: Habilitar o registro no sistema de produção pode causar problemas de desempenho e deve ser usado com cuidado. Atenção especial deve ser dada ao diretório no qual o registro está habilitado para evitar exceder o limite. Este diretório também deve ser configurado para permitir que todos os sistemas apropriados gravem nesse local. Os clientes nunca devem permitir que usuários anônimos gravem em compartilhamentos dentro da organização.

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (14 de agosto de 2012): Comunicado publicado.
  • V1.1 (14 de agosto de 2012): A Sinopse foi corrigida para ajudar a esclarecer que, depois de aplicar esta atualização, os clientes precisam usar certificados com chaves RSA maiores do que ou igual a 1024 bits.
  • V1.2 (11 de setembro de 2012): Esclarecido que aplicativos e serviços que usam chaves RSA para criptografia e ativam a função CertGetCertificateChain podem ser afetados por essa atualização. Exemplos desses aplicativos e serviços incluem, mas não se limitam a, e-mails criptografados, canais de criptografia SSL/TLS, aplicativos assinados e ambientes privados de PKI.
  • V2.0 (9 de outubro de 2012): Comunicado revisado oferecer o relançamento da atualização KB2661254 para Windows XP e anunciar que a atualização KB2661254 para todos os lançamentos com suporte de Microsoft Windows agora é oferecida por meio das atualizações automáticas. Os clientes que previamente aplicaram a atualização original KB2661254 para o Windows XP precisam aplicar o pacote de atualização relançado para evitar um problema com certificados digitais descrito no Comunicado de Segurança da Microsoft 2749655.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2015 Microsoft