Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2915720

Alterações na verificação de assinatura do Windows Authenticode

Publicado em: terça-feira, 10 de dezembro de 2013 | Atualizado: quarta-feira, 21 de maio de 2014

Versão: 1.3

Informações Gerais

Sinopse

A Microsoft está anunciando a disponibilidade de uma atualização para todas as versões do Windows compatíveis para alterar o modo como as assinaturas são verificadas quanto à assinatura dos binários com o formato de assinatura do Windows Authenticode. A alteração está incluída no Boletim de Segurança MS13-098, mas não será habilitada até 12 de agosto de 2014. Assim que ela for habilitada, o novo comportamento padrão de verificação de assinatura do Windows Authenticode não permitirá mais informações irrelevantes na estrutura WIN_CERTIFICATE. Observe que, a partir de 12 de agosto de 2014, o Windows não reconhecerá mais como assinados os binários que não estiverem em conformidade.

Recomendação. A Microsoft recomenda que, até 12 de agosto de 2014, os autores de executáveis garantam que todos os binários assinados tenham esse novo comportamento de verificação, não contendo informações irrelevantes na estrutura WIN_CERTIFICATE. A Microsoft também recomenda que os clientes testem adequadamente essa alteração para avaliar como será o comportamento em seus ambientes. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências

Identificação

Boletim de Segurança

MS13-098 

Informações Gerais

Introdução à assinatura de código 
Função WinVerifyTrust 
Formato de assinatura executável portátil Authenticode

Informações específicas

Programa de certificado raiz do Windows - Requisitos técnicos

Qual é o escopo do comunicado? 
A finalidade deste comunicado é informar aos clientes sobre uma alteração iminente no modo como o Windows verifica os binários assinados com o Authenticode e recomendar que os autores de executáveis que assinam binários com o Windows Authenticode garantam que suas assinaturas estejam em conformidade com essa alteração até 12 de agosto de 2014.

O que é Windows Authenticode? 
Windows Authenticode é um formato de assinatura digital usado para determinar a origem e a integridade dos binários de software. O Authenticode usa os dados assinados pelos Padrões de Criptografia de Chave Pública (PKCS) nº 7 e pelos certificados X.509 para vincular um binário assinado pelo Authenticode à identidade de um editor de software. O termo "assinatura do Authenticode" refere-se a um formato de assinatura digital gerado e verificado usando a função WinVerifyTrust.

O que é a verificação de assinatura do Authenticode do Windows? 
A verificação de assinatura Authenticode do Windows consiste em duas atividades principais: verificação de assinatura em objetos especificados e verificação de segurança. Estas atividades são executadas pela função WinVerifyTrust, que realiza uma verificação de assinatura e, em seguida, passa a consulta para um provedor de confiabilidade que aceita o identificador de ação, caso exista um. Para obter informações técnicas sobre a função WinVerifyTrust, consulte WinVerifyTrust Function.

Para obter uma apresentação para Authenticode, consulte Introduction to Code Signing.

Posso habilitar este comportamento de verificação de assinatura antes de 12 de agosto de 2014? 
Sim. Os clientes que optarem por habilitar o novo comportamento de validação de assinatura do Authenticode antes de 12 de agosto de 2014 poderão fazer isso por meio da configuração de uma chave no registro de sistema. Assim que a chave for configurada, a verificação de assinatura do Windows Authenticode não reconhecerá mais binários com assinaturas do Authenticode que contenham informações irrelevantes na estrutura WIN_CERTIFICATE. Consulte a seção Ações sugeridas abaixo para obter detalhes sobre como habilitar essa chave de registro.

  • Consulte Programa de certificado raiz do Windows - Requisitos técnicos

    Os clientes que estiverem interessados em obter mais informações sobre o tópico abordado neste comunicado devem consultar Programa de certificado raiz do Windows - Requisitos técnicos.

  • Modificar os Processos de Assinatura de Binários até 12 de agosto de 2014

    Após rever os detalhes técnicos subjacentes à alteração no comportamento de verificação de assinatura do Authenticode, a Microsoft recomenda que os clientes verifiquem se suas assinaturas do Authenticode não contêm informações irrelevantes na estrutura WIN_CERTIFICATE. A Microsoft também recomenda que os autores de executáveis verifiquem, até 12 de agosto de 2014, se os binários assinados com o Authenticode estão em conformidade com os novos requisitos de verificação. Os autores que tiverem alterado seus processos de assinatura de binários e desejarem habilitar o novo comportamento antes de 12 de agosto de 2014 poderão fazer isso como um processo opcional. Após 12 de agosto de 2014, os binários com assinaturas que não estiverem em conformidade com o novo processo de verificação serão considerados como não assinados. Consulte Programa de certificado raiz do Windows - Requisitos técnicos para obter instruções.

  • Testar a melhoria na verificação de assinatura do Authenticode

    A Microsoft recomenda que os clientes testem o modo como esta alteração da verificação de assinatura Authenticode comporta-se em seu ambiente habilitando-a antes de terça-feira, 12 de agosto de 2014. Para habilitar as melhorias de verificação de assinatura Authenticode, modifique o registro para adicionar o valor EnableCertPaddingCheck conforme detalhado a seguir.

    Aviso executar estas etapas para habilitar as alterações de funcionalidade incluídas na atualização MS13-098 fará com que binários em não conformidade e não confiáveis apareçam sem assinatura, sendo executados como estão.

    Observação O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    Depois de instalar a atualização MS13-098, faça o seguinte:

    Para versões de 32 bits do Microsoft Windows

    Cole o texto a seguir em um editor de texto como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (como, por exemplo, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

    Para versões de 64 bits do Microsoft Windows

    Cole o texto a seguir em um editor de texto como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo.reg (como, por exemplo, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

    Impacto de habilitar as alterações de funcionalidade incluídas na atualização MS13-098. Binários em não conformidade e não confiáveis aparecerão sem assinatura, sendo executados como estão.

     

    Como desabilitar a funcionalidade. Faça o seguinte para excluir o valor do registro adicionado anteriormente.

    Para versões de 32 bits do Microsoft Windows, cole o seguinte texto em um editor de texto, como o bloco de notas, por exemplo. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (como, por exemplo, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

    Para versões de 64 bits do Microsoft Windows, cole o seguinte texto em um editor de texto, como o bloco de notas, por exemplo. Em seguida, salve o arquivo usando a extensão de nome de arquivo.reg (como, por exemplo, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

     

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de dezembro de 2013): Comunicado publicado.
  • V1.1 (13 de dezembro de 2013): Corrigidas as informações de chave de registro na ação sugerida Testar as melhorias de verificação de assinatura Authenticode. Os clientes que aplicaram ou planejam aplicar a ação sugerida devem rever as informações revisadas.
  • V1.2 (11 de fevereiro de 2014): O Comunicado foi relançado como lembrete aos clientes que as alterações inativas implementadas com o MS13-098 serão ativadas no dia 10 de junho de 2014. Depois dessa data, o Windows não irá mais reconhecer binários não conformes como assinados. Consulte as seções de Recomendação e Ações sugeridas deste comunicado para mais informações.
  • V1.3 (quarta-feira, 21 de maio de 2014): Comunicado revisado para refletir a nova data de encerramento de 12 de agosto de 2014 para quando binários que não estão em conformidade deixarão de ser reconhecidos como assinados. Agora, em vez de uma data de encerramento de 10 de junho de 2014, as alterações dominantes implementadas com o MS13-098 serão habilitadas em 12 de agosto de 2014.

Página gerada em 20-05-2014 às 23:59Z-07:00.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft