Microsoft Security Bulletin MS16-094 - Importante

  • Artigo

Atualização de segurança para inicialização segura (3177404)

Publicado: terça-feira, 12 de julho de 2016 | Atualizado: July 18, 2016

Versão: 1.1

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Windows. A vulnerabilidade pode permitir que os recursos de segurança da Inicialização Segura sejam ignorados se um invasor instalar uma política afetada em um dispositivo de destino. Um invasor deve ter privilégios administrativos ou acesso físico para instalar uma política e ignorar a Inicialização Segura.

Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 e Windows 10. Para obter mais informações, consulte a seção Softwares afetados e classificações de gravidade da vulnerabilidade.

A atualização de segurança elimina a vulnerabilidade colocando as políticas afetadas na lista negra. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3177404 da Base de Dados de Conhecimento Microsoft.

Software afetado e classificações de gravidade da vulnerabilidade

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de julho.

Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado
Softwares afetados Desvio do recurso de segurança de inicialização segura - CVE-2016-3287 Atualizações substituídas*
Windows 8.1
Windows 8.1 para sistemas de 32 bits (3172727) Desvio importante do recurso de segurança Nenhum
Windows 8.1 para sistemas baseados em x64 (3172727) Desvio importante do recurso de segurança Nenhum
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 (3172727) Desvio importante do recurso de segurança Nenhum
Windows Server 2012 R2 (3172727) Desvio importante do recurso de segurança Nenhum
Windows RT 8.1
Windows RT 8.1[1](3172727) Desvio importante do recurso de segurança Nenhum
Windows 10
Windows 10 para sistemas de 32 bits[2](3163912) Desvio importante do recurso de segurança 3163017
Windows 10 para sistemas baseados em x64[2](3163912) Desvio importante do recurso de segurança 3163017
Windows 10 versão 1511 para sistemas de 32 bits[2](3172985) Desvio importante do recurso de segurança 3163018
Windows 10 versão 1511 para sistemas baseados em x64[2](3172985) Desvio importante do recurso de segurança 3163018
Opção de instalação Server Core
Windows Server 2012 (instalação Server Core) (3172727) Desvio importante do recurso de segurança Nenhum
Windows Server 2012 R2 (instalação Server Core) (3172727) Desvio importante do recurso de segurança Nenhum

[1]Esta actualização só está disponível através do Windows Update.

[2]As atualizações do Windows 10 são cumulativas. A versão de segurança mensal inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10, além de atualizações não relacionadas à segurança. As atualizações estão disponíveis por meio do Catálogo do Microsoft Update.

Observação A vulnerabilidade discutida neste boletim afeta o Windows Server 2016 Technical Preview 4 e o Windows Server 2016 Technical Preview 5. Uma atualização está disponível para o Windows Server 2016 Technical Preview 5 via Windows Update. No entanto, nenhuma atualização está disponível para o Windows Server 2016 Technical Preview 4. Para se proteger da vulnerabilidade, a Microsoft recomenda que os clientes que executam o Windows Server 2016 Technical Preview 4 atualizem para o Windows Server 2016 Technical Preview 5.

*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes sobre atualizações

Estou executando o Windows Server 2012. Preciso instalar as atualizações de 3170377 e 3172727 em uma ordem específica?
Não. As atualizações 3170377 e 3172727 contêm os mesmos componentes e podem ser instaladas em qualquer ordem. É permitido instalar um e depois o outro sem reiniciar o sistema entre eles; no entanto, se você instalar a atualização 3172727 primeiro e, em seguida, reiniciar o sistema, as tentativas subsequentes de instalar a atualização 3170377 exibirão a mensagem "A atualização não é aplicável ao seu computador". Isso ocorre porque a atualização 3172727 substitui a atualização 3170377 por design.

Informações de vulnerabilidade

Vulnerabilidade de desvio do recurso de segurança de inicialização segura - CVE-2016-3287

Existe uma vulnerabilidade de desvio de recurso de segurança quando a Inicialização Segura do Windows aplica incorretamente uma diretiva afetada. O invasor que explorar com êxito essa vulnerabilidade poderá desabilitar as verificações de integridade do código, permitindo que executáveis e drivers assinados por teste sejam carregados em um dispositivo de destino. Além disso, um invasor pode ignorar a Validação de Integridade de Inicialização Segura para BitLocker e os recursos de segurança de Criptografia de Dispositivo.

Para explorar a vulnerabilidade, um invasor deve obter privilégios administrativos ou acesso físico a um dispositivo de destino para instalar uma política afetada. A atualização de segurança elimina a vulnerabilidade colocando as políticas afetadas na lista negra.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de desvio do recurso de segurança de inicialização segura CVE-2016-3287 Sim Não

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Para explorar a vulnerabilidade, um invasor deve ter privilégios administrativos ou acesso físico ao dispositivo de destino.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

  • Configurar o BitLocker para usar TPM (Trusted Platform Module)+proteção por PIN

    Para habilitar o TPM e o protetor de PIN, habilite a diretiva de grupo de proteção avançada da seguinte maneira:

    1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
    2. Em Diretiva do Computador Local, navegue até Modelos Administrativos>, Componentes>do Windows, Criptografia de Unidade de Disco BitLocker, Unidades de Sistemas Operacionais>.
    3. No painel direito, clique duas vezes em Exigir autenticação adicional na inicialização.
    4. Na caixa de diálogo exibida, clique em Habilitado.
    5. Em Opções, selecione Exigir TPM e Exigir PIN de inicialização com TPM.
    6. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
    7. Abra o prompt de comando com privilégios de administrador.
    8. Insira o seguinte comando:
            manage-bde -protectors -add c: <or os="OS" volume="volume" letter="letter">-tpmandpin
  1. Quando o comando solicitar um PIN, insira um PIN de 4 ou 6 dígitos.
  2. Reinicie o sistema.

**Impacto da solução alternativa. **

O usuário será solicitado a inserir o PIN sempre que o computador for reiniciado.

Como desfazer a solução alternativa

  1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
  2. Em Diretiva do Computador Local, navegue até Modelos Administrativos Componentes>do Windows Criptografia>de Unidade de Disco>BitLocker Unidades de Sistemas Operacionais
  3. No painel direito, clique duas vezes em "Exigir autenticação adicional na inicialização"
  4. Na caixa de diálogo exibida, clique em Habilitado.
  5. Em Opções, selecione Permitir TPM e Permitir PIN de inicialização com TPM.
  6. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
  7. Reinicie o sistema.
  • Desabilitar a proteção de integridade da Inicialização Segura do BitLocker

Para desativar a Inicialização Segura, você deve seguir cada uma das etapas em ordem.

  1. Desabilitar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Desativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Desativar BitLocker.
    4. Saia do Painel de Controle.
  2. Desativar a Inicialização Segura
    1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
    2. Em Diretiva do Computador Local, navegue até Modelos Administrativos Componentes>do Windows Criptografia>de Unidade de Disco>BitLocker Unidades de Sistemas Operacionais
    3. Clique duas vezes em Permitir Inicialização Segura para validação de integridade.
    4. Na caixa de diálogo exibida, clique em Desabilitado.
    5. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
  3. Reativar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Ativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker.
    4. Saia do Painel de Controle.

Impacto da solução alternativa. 

Desabilitar a Inicialização Segura pode fazer com que os sistemas entrem na recuperação do BitLocker com mais frequência quando você atualiza versões de firmware ou configurações de BCD.

Como desfazer a solução alternativa. 

  1. Desabilitar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Desativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Desativar BitLocker.
    4. Saia do Painel de Controle.
  2. Ativar a Inicialização Segura
    1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
    2. Em Diretiva do Computador Local, navegue até Modelos Administrativos Componentes>do Windows Criptografia>de Unidade de Disco>BitLocker Unidades de Sistemas Operacionais
    3. Clique duas vezes em Permitir Inicialização Segura para validação de integridade.
    4. Na caixa de diálogo exibida, clique em Habilitado.
    5. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
  3. Reativar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Ativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker.
    4. Saia do Painel de Controle.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (12 de julho de 2016): Boletim publicado.
  • V1.1 (18 de julho de 2016): Boletim revisado para adicionar uma Perguntas frequentes sobre atualizações para informar aos clientes que executam o Windows Server 2012 que eles não precisam instalar as atualizações de 3170377 e 3172727 em uma ordem específica.

Página gerada em 18/08/2016 09:19-07:00.