Microsoft Security Bulletin MS16-100 - Importante

Atualização de segurança para a Inicialização Segura (3179577)

Publicado em: 9 de agosto de 2016

Versão: 1.0

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Windows. A vulnerabilidade pode permitir o desvio do recurso de segurança se um invasor instalar um gerenciador de inicialização afetado e ignorar os recursos de segurança do Windows.

Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 e Windows 10. Para obter mais informações, consulte a seção Softwares afetados e classificações de gravidade da vulnerabilidade.

A atualização de segurança elimina a vulnerabilidade colocando os gerenciadores de inicialização afetados na lista negra. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3179577 da Base de Dados de Conhecimento Microsoft.

Software afetado e classificações de gravidade da vulnerabilidade

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de agosto.

Sistema operacional Vulnerabilidade de desvio do recurso de segurança de inicialização segura - CVE-2016-3320 Atualizações substituídas*
Windows 8.1
Windows 8.1 para sistemas de 32 bits (3172729) Desvio importante do recurso de segurança Nenhum
Windows 8.1 para sistemas baseados em x64 (3172729) Desvio importante do recurso de segurança Nenhum
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 (3172729) Desvio importante do recurso de segurança Nenhum
Windows Server 2012 R2 (3172729) Desvio importante do recurso de segurança Nenhum
Windows RT 8.1
Windows RT 8.1[1](3172729) Desvio importante do recurso de segurança Nenhum
Windows 10
Windows 10 para sistemas de 32 bits[2](3172729) Desvio importante do recurso de segurança Nenhum
Windows 10 para sistemas baseados em x64[2](3172729) Desvio importante do recurso de segurança Nenhum
Windows 10 versão 1511 para sistemas de 32 bits[2](3172729) Desvio importante do recurso de segurança Nenhum
Windows 10 versão 1511 para sistemas baseados em x64[2](3172729) Desvio importante do recurso de segurança Nenhum
Opção de instalação Server Core
Windows Server 2012 (instalação Server Core) (3172729) Desvio importante do recurso de segurança Nenhum
Windows Server 2012 R2 (instalação Server Core) (3172729) Desvio importante do recurso de segurança Nenhum

[1]Esta actualização só está disponível através do Windows Update.

[2]As atualizações do Windows 10 são cumulativas. A versão de segurança mensal inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10, além de atualizações não relacionadas à segurança. As atualizações estão disponíveis por meio do Catálogo do Microsoft Update.

*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Observação A vulnerabilidade discutida neste boletim afeta o Windows Server 2016 Technical Preview 5. Para se proteger da vulnerabilidade, a Microsoft recomenda que os clientes que executam esse sistema operacional apliquem a atualização atual, que está disponível no Windows Update

Informações de vulnerabilidade

Vulnerabilidade de desvio do recurso de segurança de inicialização segura - CVE-2016-3320

Existe uma vulnerabilidade de desvio de recurso de segurança quando a Inicialização Segura do Windows carrega incorretamente um gerenciador de inicialização afetado pela vulnerabilidade. O invasor que explorar com êxito essa vulnerabilidade poderá desabilitar as verificações de integridade do código, permitindo que executáveis e drivers assinados por teste sejam carregados em um dispositivo de destino. Além disso, o invasor pode ignorar a Validação de Integridade de Inicialização Segura para os recursos de segurança BitLocker e Criptografia de Dispositivo.

Para explorar a vulnerabilidade, um invasor que tenha obtido privilégios administrativos ou que tenha acesso físico a um dispositivo de destino pode instalar um gerenciador de inicialização afetado. A atualização de segurança elimina a vulnerabilidade colocando os gerenciadores de inicialização afetados na lista negra.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de desvio do recurso de segurança de inicialização segura CVE-2016-3320 Não Não

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Para explorar a vulnerabilidade, um invasor deve ter privilégios administrativos ou acesso físico ao dispositivo de destino.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

  • Configurar o BitLocker para usar TPM (Trusted Platform Module)+proteção por PIN

    Para habilitar o TPM e o protetor de PIN, habilite a diretiva de grupo de proteção avançada da seguinte maneira:

    1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
    2. Em Diretiva do Computador Local, navegue até Modelos Administrativos>, Componentes>do Windows, Criptografia de Unidade de Disco BitLocker, Unidades de Sistemas Operacionais>.
    3. No painel direito, clique duas vezes em Exigir autenticação adicional na inicialização.
    4. Na caixa de diálogo exibida, clique em Habilitado.
    5. Em Opções, selecione Exigir TPM e Exigir PIN de inicialização com TPM.
    6. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
    7. Abra o prompt de comando com privilégios de administrador.
    8. Insira o seguinte comando:
            manage-bde -protectors -add c: <or os="OS" volume="volume" letter="letter">-tpmandpin          
  1. Quando for solicitado um PIN, insira um PIN de 4 ou 6 dígitos.
  2. Reinicie o sistema.

**Impacto da solução alternativa. **

O usuário será solicitado a inserir o PIN sempre que o computador for reiniciado.

Como desfazer a solução alternativa

  1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
  2. Em Diretiva do Computador Local, navegue até Modelos Administrativos Componentes>do Windows Criptografia>de Unidade de Disco>BitLocker Unidades de Sistemas Operacionais
  3. No painel direito, clique duas vezes em "Exigir autenticação adicional na inicialização"
  4. Na caixa de diálogo exibida, clique em Habilitado.
  5. Em Opções, selecione Permitir TPM e Permitir PIN de inicialização com TPM.
  6. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
  7. Reinicie o sistema.  
  • Desabilitar a proteção de integridade da Inicialização Segura do BitLocker

    Para desativar a Inicialização Segura, você deve seguir cada uma das etapas em ordem.

  1. Desabilitar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Desativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Desativar BitLocker.
    4. Saia do Painel de Controle.
  2. Desativar a Inicialização Segura
    1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
    2. Em Diretiva do Computador Local, navegue até Modelos Administrativos Componentes>do Windows Criptografia>de Unidade de Disco>BitLocker Unidades de Sistemas Operacionais
    3. Clique duas vezes em Permitir Inicialização Segura para validação de integridade.
    4. Na caixa de diálogo exibida, clique em Desabilitado.
    5. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
  3. Reativar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Ativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker.
    4. Saia do Painel de Controle.

Impacto da solução alternativa. 

Desabilitar a Inicialização Segura pode fazer com que os sistemas entrem no modo de recuperação do BitLocker com mais frequência quando você atualiza versões de firmware ou configurações de BCD.

Como desfazer a solução alternativa. 

  1. Desabilitar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Desativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Desativar BitLocker.
    4. Saia do Painel de Controle.
  2. Ativar a Inicialização Segura
    1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK para abrir o Editor de Diretiva de Grupo Local.
    2. Em Diretiva do Computador Local, navegue até Modelos Administrativos Componentes>do Windows Criptografia>de Unidade de Disco>BitLocker Unidades de Sistemas Operacionais
    3. Clique duas vezes em Permitir Inicialização Segura para validação de integridade.
    4. Na caixa de diálogo exibida, clique em Habilitado.
    5. Clique em Aplicar e saia do Editor de Diretiva de Grupo Local.
  3. Reativar o BitLocker
    1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
    2. Clique em Ativar BitLocker
    3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker.
    4. Saia do Painel de Controle.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

Página gerada em 09/08/2016 12:52-07:00.