Microsoft Security Bulletin MS15-031 - Importante

Vulnerabilidade no Schannel pode permitir desvio de recurso de segurança (3046049)

Publicado: terça-feira, 10 de março de 2015 | Atualizado: March 24, 2015

Versão: 1.1

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Windows que facilita a exploração da técnica FREAK divulgada publicamente, um problema em todo o setor que não é específico dos sistemas operacionais Windows. A vulnerabilidade pode permitir que um invasor man-in-the-middle (MiTM) force o downgrade do comprimento da chave de uma chave RSA para o comprimento de grau EXPORT em uma conexão TLS. Qualquer sistema Windows que use o Schannel para se conectar a um servidor TLS remoto com um conjunto de codificação inseguro é afetado.

Esta atualização de segurança é classificada como Importante para todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina a vulnerabilidade corrigindo as diretivas de imposição do conjunto de codificação que são usadas quando as chaves do servidor são trocadas entre servidores e sistemas cliente. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.

Esta atualização de segurança também elimina a vulnerabilidade descrita pela primeira vez no Comunicado de Segurança da Microsoft 3046015.

Para obter mais informações sobre essa atualização, consulte o artigo 3046049 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Observação A atualização está disponível para o Windows Technical Preview e Windows Server Technical Preview. Os clientes que executam esses sistemas operacionais são incentivados a aplicar a atualização, que está disponível por meio do Windows Update.

^[1]Esta actualização está disponível apenas através do Windows Update .

Perguntas frequentes sobre atualizações

Depois de instalar a atualização, as cifras EXPORT ainda estão habilitadas no Windows Server 2003; como faço para desativá-los?
Para desabilitar as cifras EXPORT em sistemas Windows Server 2003, siga as orientações fornecidas no Artigo 3050509 (em inglês) da Microsoft Knowledge Base.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de março.

Informações de vulnerabilidade

Vulnerabilidade de desvio do recurso de segurança do Schannel - CVE-2015-1637

Existe uma vulnerabilidade de desvio de recurso de segurança no Canal Seguro (Schannel) causada por um problema na máquina de estado TLS em que um sistema cliente aceita uma chave RSA com um comprimento de chave mais curto do que o comprimento de chave negociado originalmente. A vulnerabilidade facilita a exploração da técnica FREAK divulgada publicamente, que é um problema de todo o setor que não é específico dos sistemas operacionais Windows.

Em um ataque man-in-the-middle (MiTM), um invasor pode fazer downgrade do comprimento da chave de uma chave RSA para o comprimento de grau EXPORT em uma sessão TLS criptografada. O invasor pode interceptar e descriptografar esse tráfego. Qualquer sistema Windows que se conecte a um servidor TLS como cliente é afetado. O invasor que explorar com êxito essa vulnerabilidade poderá executar ataques MiTM que podem descriptografar o tráfego criptografado.

A atualização de segurança elimina a vulnerabilidade corrigindo as diretivas de imposição do conjunto de codificação que são usadas quando as chaves do servidor são trocadas entre servidores e sistemas cliente.

Esta vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2015-1637 da lista Common Vulnerability and Exposure. Quando este boletim foi lançado originalmente, a Microsoft não havia recebido nenhuma informação que indicasse que esse problema havia sido usado publicamente para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

• Um servidor precisa oferecer suporte a cifras EXPORT de troca de chaves RSA para que um ataque seja bem-sucedido; as cifras estão desabilitadas nas configurações padrão do Windows Vista/Server 2008 e sistemas operacionais posteriores.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

• Desabilitar cifras de troca de chaves RSA usando o Editor de Objeto de Diretiva de Grupo (somente Windows Vista e sistemas posteriores)
  Você pode desabilitar as cifras de troca de chaves RSA no Windows Vista e em sistemas posteriores modificando a ordem do SSL Cipher Suite no Editor de Objeto de Diretiva de Grupo.

  Observação A instalação desta atualização (3046049) protege os sistemas contra a vulnerabilidade discutida neste boletim. Os clientes que implementaram anteriormente essa solução alternativa precisarão seguir as etapas para desfazer a solução alternativa se quiserem usar qualquer uma das cifras que foram desabilitadas anteriormente.

  Para desabilitar as cifras de troca de chaves RSA, você precisa especificar as cifras que o Windows deve usar executando as seguintes etapas:

  1. Em um prompt de comando, digite gpedit.msc e pressione Enter para iniciar o Editor de Objeto de Diretiva de Grupo.

  2. Expanda Configuração do Computador, Modelos Administrativos, Rede e clique em Definições de Configuração SSL.

  3. Em Definições de Configuração SSL, clique duas vezes em Ordem do Conjunto de Codificação SSL.

  4. Na janela Ordem do SSL Cipher Suite , clique em Habilitado.

  5. No painel Opções:, clique duas vezes para realçar todo o conteúdo do campo SSL Cipher Suites e substitua seu conteúdo pela seguinte lista de codificação:

     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
      TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
      TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
      TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
      TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
      TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
      TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
      TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
      TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
      TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
      TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA`
     

  6. Clique em OK

  7. Feche o Editor de Objeto de Diretiva de Grupo e reinicie o sistema.

    Impacto da solução alternativa. O Windows não conseguirá se conectar a sistemas que não oferecem suporte a nenhuma das cifras listadas na solução alternativa. Para determinar quais cifras estão disponíveis para cada protocolo criptográfico, consulte Cipher Suites no Schannel.

Como desfazer a solução alternativa. Siga estas etapas para desabilitar a configuração de política de Ordem do SSL Cipher Suite:

1. Em um prompt de comando, digite gpedit.msc e pressione Enter para iniciar o Editor de Objeto de Diretiva de Grupo.
2. Expanda Configuração do Computador, Modelos Administrativos, Rede e clique em Definições de Configuração SSL.
3. Em Definições de Configuração SSL, clique duas vezes em Ordem do Conjunto de Codificação SSL.
4. Na janela Ordem do SSL Cipher Suite, clique em Desabilitado e, em seguida, clique em OK.
5. Feche o Editor de Objeto de Diretiva de Grupo e reinicie o sistema.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (10 de março de 2015): Boletim publicado.
• V1.1 (24 de março de 2015): Boletim revisado para adicionar uma seção de perguntas frequentes direcionando os clientes para o Artigo 3050509 da Base de Dados de Conhecimento Microsoft para obter instruções sobre como desabilitar as cifras EXPORT após a instalação da atualização em sistemas Windows Server 2003.

Página gerada em 23/03/2015 16:56Z-07:00.