Comunicado de Segurança da Microsoft 3097966

  • Artigo

Certificados digitais divulgados inadvertidamente podem permitir falsificação

Publicado: terça-feira, 24 de setembro de 2015 | Atualizado: October 13, 2015

Versão: 2.0

Resumo executivo

Em 24 de setembro de 2015, a Microsoft publicou este comunicado para notificar os clientes sobre quatro certificados digitais divulgados inadvertidamente que poderiam ser usados para falsificar conteúdo e para fornecer uma atualização à Lista de Certificados Confiáveis (CTL) para remover a confiança de modo de usuário para os certificados. Conforme relatado, os certificados de entidade final divulgados não podem ser usados para emitir outros certificados ou representar outros domínios, mas podem ser usados para assinar código. Além disso, as respectivas autoridades certificadoras emissoras revogaram os quatro certificados.

Com a revisão de 13 de outubro de 2015 deste comunicado, a Microsoft está anunciando a disponibilidade de uma atualização para todas as versões com suporte do Windows que modifica o componente Integridade do Código no Windows para estender a remoção de confiança para os certificados para também impedir a assinatura de código no modo kernel.

Recomendação. Consulte a seção Ações sugeridas deste comunicado para obter instruções sobre como aplicar as atualizações para versões específicas do Microsoft Windows. Observe que a atualização da CTL lançada em 24 de setembro de 2015 e a atualização do Windows lançada em 13 de outubro de 2015 são necessárias para que os sistemas afetados estejam protegidos contra esse problema.

Problemas conhecidos. O Artigo 3097966 Base de Dados de Conhecimento Microsoft documenta um problema atualmente conhecido que os clientes podem enfrentar ao instalar a atualização de 13 de outubro de 2015. O artigo também documenta uma solução recomendada.

Detalhes do Comunicado

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Dados de Conhecimento 3097966

Softwares afetados

Este comunicado aplica-se aos seguintes sistemas operacionais:

Windows Vista
Windows Vista Service Pack 2
Windows Vista x64 Edição Service Pack 2
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1
Windows 8
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas baseados em x64
Windows Server 2012
Windows Server 2012
Windows RT
Windows RT[1]
Windows 8.1
Windows 8.1 para sistemas de 32 bits
Windows 8.1 para sistemas baseados em x64
Windows Server 2012 R2
Windows Server 2012 R2
Windows RT 8.1
Windows RT 8.1[1]
Windows 10
Windows 10 para sistemas de 32 bits[2]\ (3097617)
Windows 10 para sistemas baseados em x64[2]\ (3097617)
Opção de instalação Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 (instalação Server Core)
Windows Server 2012 (instalação Server Core)
Windows Server 2012 R2 (instalação Server Core)
Dispositivos afetados
Telefone Windows 8[1]
Windows Phone 8.1[1]

Observação O Windows Server Technical Preview 3 é afetado. Os clientes que executam esse sistema operacional são incentivados a aplicar a atualização, que está disponível por meio do Windows Update.

[1]Os dispositivos Windows Phone 8 e Windows Phone 8.1 receberam automaticamente a atualização CTL de 24 de setembro de 2015; no entanto, esses dispositivos não permitem a instalação de drivers de terceiros, mesmo se assinados, portanto, eles não exigem a atualização secundária de 13 de outubro de 2015.

[2]A atualização do Windows 10 é cumulativa. Além de conter atualizações não relacionadas à segurança, ele também contém todas as correções de segurança para todas as vulnerabilidades afetadas pelo Windows 10 enviadas com o lançamento de segurança de determinado mês. A atualização está disponível por meio do Catálogo do Windows Update. Consulte o Artigo 3097617 da Base de Dados de Conhecimento Microsoft para obter mais informações e links para download.

Perguntas frequentes sobre o Advisory

Por que este comunicado foi revisado em 13 de outubro de 2015?
O comunicado foi revisado em 13 de outubro de 2015 para notificar os clientes de que uma atualização do Windows está disponível que modifica o componente Integridade do Código no Windows para estender a remoção de confiança para os quatro certificados digitais para também impedir a assinatura de código no modo kernel. Para obter mais informações e links para download, consulte o Artigo 3097966 (em inglês) da Microsoft Knowledge Base. Observe que a atualização da CTL lançada em 24 de setembro de 2015 e a atualização do Windows lançada em 13 de outubro de 2015 são necessárias para que os sistemas afetados sejam protegidos contra o problema discutido neste comunicado.

Qual o escopo da assessoria? 
O objetivo deste comunicado é notificar os clientes sobre atualizações no Windows e na Lista de Certificados Confiáveis (CTL) para remover a confiança de modo de usuário e a confiança de assinatura de código de modo kernel para quatro certificados digitais e que as respectivas autoridades de certificação (CAs) emissoras revogaram os certificados.

O que causou o problema? 
O problema foi causado pela D-Link Corporation publicando inadvertidamente os certificados.

A atualização da CTL aborda outros certificados digitais?
Sim, além de abordar os certificados descritos neste comunicado, a atualização da CTL lançada originalmente em 24 de setembro de 2015 é cumulativa e inclui certificados digitais descritos em comunicados anteriores:

O que é criptografia? 
A criptografia é a ciência de proteger a informação, convertendo-a entre seu estado normal e legível (chamado de texto sem formatação) e aquele em que os dados são obscurecidos (conhecido como texto cifrado).

Em todas as formas de criptografia, um valor conhecido como chave é usado em conjunto com um procedimento chamado algoritmo de criptografia para transformar dados de texto simples em texto cifrado. No tipo mais familiar de criptografia, a criptografia de chave secreta, o texto cifrado é transformado de volta em texto simples usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para transformar o texto cifrado de volta em texto sem formatação.

O que é um certificado digital?  
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um dado inviolável que empacota uma chave pública junto com informações sobre ela (quem a possui, para que pode ser usada, quando expira e assim por diante).

Para que servem os certificados? 
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente, você não terá que pensar em certificados. No entanto, você pode ver uma mensagem informando que um certificado expirou ou é inválido. Nesses casos, você deve seguir as instruções na mensagem.

O que é uma autoridade de certificação (AC)?  
As autoridades de certificação são as organizações que emitem certificados. Eles estabelecem e verificam a autenticidade de chaves públicas que pertencem a pessoas ou outras autoridades de certificação e verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que é uma Lista de Certificados Confiáveis (CTL)?  
Uma relação de confiança deve existir entre o destinatário de uma mensagem assinada e o signatário da mensagem. Um método de estabelecer essa confiança é por meio de um certificado, um documento eletrônico que verifica se as entidades ou pessoas são quem dizem ser. Um certificado é emitido para uma entidade por um terceiro que é confiável por ambas as outras partes. Assim, cada destinatário de uma mensagem assinada decide se o emissor do certificado do signatário é confiável. A CryptoAPI implementou uma metodologia para permitir que os desenvolvedores de aplicativos criem aplicativos que verificam automaticamente certificados em relação a uma lista predefinida de certificados confiáveis ou raízes. Essa lista de entidades confiáveis (chamadas de entidades) é chamada de lista de certificados confiáveis (CTL). Para obter mais informações, consulte o artigo do MSDN, Verificação de confiança de certificado.

O que um invasor pode fazer com esses certificados? 
Um invasor pode usar os certificados para assinar código de forma fraudulenta.

O que a Microsoft está fazendo para ajudar a resolver esse problema?  
Embora esse problema não resulte de um problema em nenhum produto da Microsoft, estamos atualizando a CTL e fornecendo uma atualização do Windows para ajudar a proteger os clientes. A Microsoft continuará a investigar esse problema e poderá fazer alterações futuras na CTL ou lançar uma atualização futura para ajudar a proteger os clientes.

Depois de aplicar a atualização da CTL, como posso verificar se o certificado está no Repositório de Certificados Não Confiáveis da Microsoft?
Para sistemas Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 que estão usando o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes) e para sistemas Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 e Windows 10, você pode verificar o log do Aplicativo no Visualizador de Eventos para obter uma entrada com os seguintes valores:

  • Fonte: CAPI2
  • Nível: Informações
  • IDENTIFICAÇÃO de evento: 4112
  • Descrição: Atualização automática bem-sucedida da lista de certificados não permitidos com data efetiva: quarta-feira, 23 de setembro de 2015 (ou posterior).

Para sistemas que não usam o atualizador automático de certificados revogados, no snap-in MMC de certificados, verifique se o seguinte certificado foi adicionado à pasta Certificados não confiáveis:

Certificado **Emitido por ** Impressão Digital
DLINK CORPORAÇÃO Symantec Corporation 3e B4 4e 5F FE 6d C7 2d Ed 70 3e 99 90 27 22 dB 38 ff D1 CB
Redes Alpha Symantec Corporation 73 11 e7 7e c4 00 10 9d 6a 53 26 d8 f6 69 62 04 fd 59 aa 3b
KEEBOX GoDaddy.com, LLC 91 5a 47 8d b9 39 92 5d a8 d9 ae a1 2d 8b ba 14 0d 26 59 9c
TRENDnet GoDaddy.com, LLC DB 50 42 ED 25 6F F4 26 86 7B 33 28 87 CE CE 2d 95 E7 96 14

Observação Para obter informações sobre como exibir certificados com o snap-in do MMC, consulte o artigo do MSDN, Como: Exibir certificados com o snap-in do MMC.

Ações sugeridas

  • Aplique a atualização 3097966 lançada em 13 de outubro de 2015

    A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação porque a atualização 3097966 será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 3097966 da Base de Dados de Conhecimento Microsoft.

    Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização 3097966 manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando o software de gerenciamento de atualizações ou verificando se há atualizações usando o serviço Microsoft Update . Para obter mais informações sobre como aplicar manualmente a atualização, consulte o artigo 3097966 da Base de Dados de Conhecimento Microsoft.

  • Aplicar a atualização da CTL lançada em 24 de setembro de 2015 (se ainda não tiver sido aplicada)

    Um atualizador automático de certificados revogados está incluído em edições com suporte do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows RT 8.1, Windows Server 2012 R2 e Windows 10 e para dispositivos que executam o Windows Phone 8 e o Windows Phone 8.1. Para esses sistemas operacionais ou dispositivos, os clientes não precisam executar nenhuma ação, pois a CTL será atualizada automaticamente.

    Para sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que estão usando o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes), os clientes não precisam executar nenhuma ação, pois esses sistemas serão protegidos automaticamente.

    Para sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 que não têm o atualizador automático de certificados revogados instalado, esta atualização não está disponível. Para receber essa atualização, os clientes devem instalar o atualizador automático de certificados revogados (consulte o Artigo 2677070 da Base de Dados de Conhecimento Microsoft para obter detalhes). Os clientes em ambientes desconectados que executam o Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 podem instalar o 2813430 de atualização para receber essa atualização (consulte o Artigo 2813430 da Base de Dados de Conhecimento Microsoft para obter detalhes).

Ações adicionais sugeridas

  • Proteja seu PC

    Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.

  • Mantenha o software Microsoft atualizado

    Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o Artigo 3097966 da Base de Dados de Conhecimento Microsoft.

Outras Informações

Feedback

Suporte

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (24 de setembro de 2015): Comunicado publicado.
  • V2.0 (13 de outubro de 2015): Comunicado revisado para notificar os clientes de que está disponível uma atualização que modifica o componente Integridade do Código no Windows para estender a remoção de confiança para os quatro certificados digitais abordados por este comunicado para também impedir a assinatura de código no modo kernel.

Página gerada em 16/11/2015 08:35-08:00.