Comunicado de Segurança da Microsoft 2915720

Alterações na verificação de assinatura do Windows Authenticode

Publicado em: terça-feira, 10 de dezembro de 2013 | Atualizado: 29 de julho de 2014

Versão: 1.4

Informações Gerais

Sinopse

A Microsoft está anunciando a disponibilidade de uma atualização para todas as versões do Windows compatíveis para alterar o modo como as assinaturas são verificadas quanto à assinatura dos binários com o formato de assinatura do Windows Authenticode. A alteração está incluída no Boletim de Segurança MS13-098, mas a habilitação dela é opcional. Quando habilitado, o novo comportamento para verificação de assinatura do Windows Authenticode não permitirá mais informações irrelevantes na estrutura WIN_CERTIFICATE e o Windows não reconhecerá mais binários não conformes como assinados. Nota: a Microsoft pode tornar isso um comportamento padrão em uma versão futura do Microsoft Windows.

Recomendação. A Microsoft recomenda que autores de executáveis reconsiderem todos os binários assinados como em conformidade com a nova verificação padrão, garantindo que eles não contenham nenhuma informação irrelevante na estrutura WIN_CERTIFICATE. A Microsoft também recomenda que os clientes testem adequadamente essa alteração para avaliar como será o comportamento em seus ambientes. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

Referências

Identificação

Boletim de Segurança

MS13-098 

Informações Gerais

Introdução à assinatura de código 
Função WinVerifyTrust 
Formato de assinatura executável portátil Authenticode

Informações específicas

Programa de certificado raiz do Windows - Requisitos técnicos

Qual é o escopo do comunicado? 
O propósito deste comunicado é informar aos clientes sobre uma alteração opcional de como o Microsoft Windows verifica binários de Authenticode assinados.

Por que este comunicado foi revisado em 29 de abril de 2014? 
Este comunicado foi revisado em 29 de julho de 2014 para informar que o comportamento de verificação mais rigorosa de assinatura do Windows Authenticode descrito aqui será habilitado como opcional e não será um comportamento padrão em versões com suporte do Microsoft Windows.

Como a Microsoft implementa a verificação mais rigorosa do comportamento de verificação mais rigorosa de assinatura do Windows Authenticode? 
Em 10 de dezembro de 2013, a Microsoft lançou o Boletim de segurança MS13-098 para implantar o código subjacente para o comportamento de verificação mais rigorosa de assinatura do Authenticode. Antes, este comunicado informou que em 12 de agosto de 2014 a Microsoft habilitaria as alterações implementadas com o MS13-098 como funcionalidade padrão. No entanto, por termos trabalhado com clientes para adaptação a essa alteração, determinamos que o impacto no software existente pode ser alto. Dessa forma, a Microsoft não planeja impor o comportamento de verificação mais rigorosa como requisito padrão. No entanto, a funcionalidade subjacente para verificação mais rigorosa permanece e pode ser habilitada a critério do cliente.

Como posso habilitar o novo comportamento verificação de assinatura? 
Os clientes que desejam habilitar o novo comportamento de verificação de Authenticode poderão fazê-lo definindo uma chave no registro do sistema. Quando a chave for configurada, a verificação de assinatura do Windows Authenticode não reconhecerá mais binários com assinaturas do Authenticode que contenham informações irrelevantes na estrutura WIN_CERTIFICATE. Os clientes podem optar por desabilitar a funcionalidade a qualquer momento ao desabilitar essa chave de registro. Consulte as instruções nas Ações sugeridas abaixo.

Eu habilitei essa alteração, preciso fazer algo agora que não serão impostas por padrão? 
Os clientes que já habilitaram o comportamento de verificação mais rigorosa e não enfrentaram problemas, podem optar por deixar o comportamento de verificação habilitado. Os clientes que estão enfrentando problemas de compatibilidade de aplicativo com o novo comportamento ou os clientes que simplesmente querem desabilitar o novo comportamento, podem desabilitar a funcionalidade ao remover a chave de registro EnableCertPaddingCheck. Consulte as instruções nas Ações sugeridas abaixo.

Eu não habilitei essa alteração, preciso fazer algo agora que não serão impostas por padrão? 
Não. O comportamento de verificação mais rigorosa que foi instalado com o MS13-098 residirá no sistema, mas será uma funcionalidade latente até ser habilitada.

O novo comportamento de verificação afeta software já instalado?
O novo comportamento de verificação mais rigorosa, quando habilitado, aplica-se principalmente aos binários de executável portátil (PE) que são assinados com o formato de assinatura do Windows Authenticode. Os binários que não são assinados com este formato ou que não usam WinVerifyTrust para verificar assinaturas não são afetados pelo novo comportamento. Os binários que provavelmente serão afetados são arquivos PE instaladores distribuídos pela Internet que são personalizados no momento do download. O cenário mais comum em que os usuários podem perceber um impacto é durante o download e a instalação de novos aplicativos. Este é o caso somente se os clientes tiverem escolhido habilitar o comportamento de verificação mais rigorosa. Após a habilitação, os usuários podem notar mensagens de aviso ao tentar instalar novos aplicativos com assinaturas que falham na validação.

O novo comportamento de verificação tem impacto nas políticas de AppLocker? 
Para os clientes que optaram por habilitar o comportamento de verificação mais rigorosa, qualquer regra do AppLocker que depende dos arquivos que estão sendo assinados ou que espera um editor específico, podem ser impactados se a assinatura em um arquivo não atender aos requisitos da verificação mais rigorosa de assinatura Authenticode.

O novo comportamento de verificação tem impacto nas Políticas de Restrição de Software? 
Para os clientes que optaram por habilitar o comportamento de verificação mais rigorosa, qualquer Política de Restrição de Software que depende dos arquivos que estão sendo assinados ou que espera um editor específico, podem ser impactados se a assinatura em um arquivo não atender aos requisitos da verificação mais rigorosa de assinatura Authenticode.

O novo comportamento de verificação mais rigorosa considera meu binário não conforme. Quais são minhas opções? 
Se um binário é considerado não conforme com o comportamento de verificação mais rigorosa de assinatura Authenticode, isso não será um problema em sistemas que ainda não tenham o novo comportamento de verificação, uma vez que a Microsoft não está impondo o comportamento mais rigoroso por padrão. No entanto, para corrigir problemas com falha na validação de um binário em sistemas nos quais o novo comportamento de verificação tiver sido habilitado, o binário precisará ser reassinado com conformidade mais rigorosa ao formato de assinatura do Windows Authenticode e especificamente não incluir informações irrelevantes na estrutura WIN_CERTIFICATE.

Há a possibilidade de uma assinatura ser reconhecida como não conforme com o processo de verificação mais rigorosa se eu assinar usando que ferramentas de assinaturas não fornecidas pela Microsoft? 
Sim. Para os clientes que optaram por habilitar o comportamento de verificação mais rigorosa, a assinatura de binários com ferramentas de assinatura que não sejam fornecidas pela Microsoft corre o risco de ser reconhecida como não conforme com comportamento de verificação mais rigorosa. Usar produtos da Microsoft ou ferramentas de assinatura que a Microsoft fornece, como signtool.exe, ajuda a garantir que as assinaturas sejam reconhecidas como conformes.

O que é Windows Authenticode? 
Windows Authenticode é um formato de assinatura digital usado para determinar a origem e a integridade dos binários de software. O Authenticode usa os dados assinados pelos Padrões de Criptografia de Chave Pública (PKCS) nº 7 e pelos certificados X.509 para vincular um binário assinado pelo Authenticode à identidade de um editor de software. O termo "assinatura do Authenticode" refere-se a um formato de assinatura digital gerado e verificado usando a função WinVerifyTrust.

O que é a verificação de assinatura do Authenticode do Windows? 
A verificação de assinatura Authenticode do Windows consiste em duas atividades principais: verificação de assinatura em objetos especificados e verificação de segurança. Estas atividades são executadas pela função WinVerifyTrust, que realiza uma verificação de assinatura e, em seguida, passa a consulta para um provedor de confiabilidade que aceita o identificador de ação, caso exista um. Para obter informações técnicas sobre a função WinVerifyTrust, consulte WinVerifyTrust Function.

Para obter uma apresentação para Authenticode, consulte Introduction to Code Signing.

  • Consulte Programa de certificado raiz do Windows - Requisitos técnicos

    Os clientes que estiverem interessados em obter mais informações sobre o tópico abordado neste comunicado devem consultar Programa de certificado raiz do Windows - Requisitos técnicos.

  • Modificar Processos de Assinatura de Binários

    Após rever os detalhes técnicos subjacentes à alteração no comportamento de verificação de assinatura do Authenticode, a Microsoft recomenda que os clientes verifiquem se suas assinaturas do Authenticode não contêm informações irrelevantes na estrutura WIN_CERTIFICATE. A Microsoft também recomenda que autores de executáveis reconsiderem todos os binários assinados como em conformidade com a nova verificação padrão. Autores que tiverem modificado seus processos de assinatura de binários e querem habilitar o novo comportamento poderão fazê-lo como opcional. Consulte Programa de certificado raiz do Windows - Requisitos técnicos para obter instruções.

  • Testar a melhoria na verificação de assinatura do Authenticode

    A Microsoft recomenda que os clientes testem como esta alteração de verificação de assinatura Authenticode se comporta no ambiente deles antes de implementá-la totalmente. Para habilitar as melhorias da verificação de assinatura Authenticode, modifique o registro para adicionar a o valor EnableCertPaddingCheck conforme detalhado a seguir.

    Aviso executar estas etapas para habilitar as alterações de funcionalidade incluídas na atualização MS13-098 fará com que binários em não conformidade e não confiáveis apareçam sem assinatura, sendo executados como estão.

    Observação O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

    Depois de instalar a atualização MS13-098, faça o seguinte:

    Para versões de 32 bits do Microsoft Windows

    Cole o texto a seguir em um editor de texto como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (como, por exemplo, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

    Para versões de 64 bits do Microsoft Windows

    Cole o texto a seguir em um editor de texto como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo.reg (como, por exemplo, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

    Impacto de habilitar as alterações de funcionalidade incluídas na atualização MS13-098. Binários em não conformidade e não confiáveis aparecerão sem assinatura, sendo executados como estão.

     

    Como desabilitar a funcionalidade. Faça o seguinte para excluir o valor do registro adicionado anteriormente.

    Para versões de 32 bits do Microsoft Windows, cole o seguinte texto em um editor de texto, como o bloco de notas, por exemplo. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (como, por exemplo, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

    Para versões de 64 bits do Microsoft Windows, cole o seguinte texto em um editor de texto, como o bloco de notas, por exemplo. Em seguida, salve o arquivo usando a extensão de nome de arquivo.reg (como, por exemplo, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"=-
    

    Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele.

    Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.

     

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Para obter mais informações, consulte Microsoft Safety & Security Center.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de dezembro de 2013): Comunicado publicado.
  • V1.1 (13 de dezembro de 2013): Corrigidas as informações de chave de registro na ação sugerida Testar as melhorias de verificação de assinatura Authenticode. Os clientes que aplicaram ou planejam aplicar a ação sugerida devem rever as informações revisadas.
  • V1.2 (11 de fevereiro de 2014): O Comunicado foi relançado como lembrete aos clientes que as alterações inativas implementadas com o MS13-098 serão ativadas no dia 10 de junho de 2014. Depois dessa data, o Windows não irá mais reconhecer binários não conformes como assinados. Consulte as seções de Recomendação e Ações sugeridas deste comunicado para mais informações.
  • V1.3 (quarta-feira, 21 de maio de 2014): Comunicado revisado para refletir a nova data de encerramento de 12 de agosto de 2014 para quando binários que não estão em conformidade deixarão de ser reconhecidos como assinados. Agora, em vez de uma data de encerramento de 10 de junho de 2014, as alterações dominantes implementadas com o MS13-098 serão habilitadas em 12 de agosto de 2014.
  • V1.4 (29 de julho de 2014): Comunicado revisado para anunciar que a Microsoft não planeja impor um comportamento de verificação mais rigorosa como funcionalidade padrão em versões com suporte do Microsoft Windows. Ele permanece disponível como recurso opcional. Consulte mais informações nas Perguntas frequentes de Comunicado.

Página gerada em 2014-07-29 14:38Z-07:00.
Mostrar: