Partager via


Conseils de sécurité Microsoft 2915720

Modifications apportées à la vérification de signature Windows Authenticode

Publication : 10 décembre 2013 | Mise à jour : 29 juillet 2014

Version : 1.4

Informations générales

Résumé

Microsoft annonce la disponibilité d’une mise à jour pour toutes les versions prises en charge de Microsoft Windows afin de modifier la façon dont les signatures sont vérifiées pour les fichiers binaires signés avec le format de signature Windows Authenticode. La modification est incluse dans le Bulletin de sécurité MS13-098, mais ne sera activée que sur une base d’adhésion. Lorsqu’elle est activée, le nouveau comportement de la vérification des signatures Windows Authenticode n’autorise plus les informations superflues dans la structure WIN_CERTIFICATE, et Windows ne reconnaît plus les fichiers binaires non conformes comme signés. Notez que Microsoft peut rendre ce comportement par défaut dans une prochaine version de Microsoft Windows.

Recommandation. Microsoft recommande aux auteurs d’exécutables de se conformer à toutes les binaires signés à la nouvelle norme de vérification en s’assurant qu’ils ne contiennent pas d’informations superflues dans la structure WIN_CERTIFICATE. Microsoft recommande également aux clients de tester correctement cette modification pour évaluer son comportement dans leurs environnements. Pour plus d’informations, consultez la section Actions suggérées de cet avis.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Informations de référence Identification
Bulletin de sécurité MS13-098 
Informations générales Introduction au format de signature de code \ WinVerifyTrust, fonction \ Authenticode Portable Exécutable Signature Format
Informations spécifiques Programme de certificat racine Windows - Configuration technique requise

Faq sur les conseils

Quelle est la portée de l’avis ? 
L’objectif de cet avis est d’informer les clients d’une modification facultative de la façon dont Microsoft Windows vérifie les fichiers binaires signés Authenticode.

Pourquoi cet avis a-t-il été révisé le 29 juillet 2014 ?
Cet avis a été révisé le 29 juillet 2014 pour annoncer que le comportement de vérification de signature Windows Authenticode plus strict décrit ici sera activé sur une base opt-in et n’a pas fait un comportement par défaut dans les versions prises en charge de Microsoft Windows.

Comment Microsoft implémentera-t-il le comportement de vérification de signature Windows Authenticode plus strict ?
Le 10 décembre 2013, Microsoft a publié le Bulletin de sécurité MS13-098 pour déployer le code sous-jacent pour un comportement de vérification de signature Authenticode plus strict. Auparavant, cet avis a annoncé que, d’ici le 12 août 2014, Microsoft activerait les modifications implémentées avec MS13-098 en tant que fonctionnalités par défaut. Toutefois, comme nous avons travaillé avec les clients pour s’adapter à ce changement, nous avons déterminé que l’impact sur les logiciels existants pourrait être élevé. Par conséquent, Microsoft ne prévoit plus d’appliquer le comportement de vérification plus strict en tant qu’exigence par défaut. Toutefois, les fonctionnalités sous-jacentes pour la vérification plus stricte restent en place et peuvent être activées à la discrétion du client.

Comment puis-je activer le nouveau comportement de vérification de signature ? 
Les clients qui souhaitent activer le nouveau comportement de vérification de signature Authenticode peuvent le faire en définissant une clé dans le Registre système. Lorsque la clé est définie, la vérification des signatures Windows Authenticode ne reconnaît plus les fichiers binaires avec des signatures Authenticode qui contiennent des informations superflues dans la structure WIN_CERTIFICATE. Les clients peuvent choisir de désactiver la fonctionnalité à tout moment en désactivant cette clé de Registre. Consultez les actions suggérées ci-dessous pour obtenir des instructions.

J’ai activé cette modification, dois-je faire quoi que ce soit maintenant qu’il ne sera pas appliqué par défaut ?  Les clients qui ont déjà activé le comportement de vérification plus strict et qui n’ont pas rencontré de problèmes peuvent choisir de laisser le comportement de vérification activé. Les clients qui rencontrent des problèmes de compatibilité d’application avec le nouveau comportement, ou les clients qui souhaitent simplement désactiver le nouveau comportement, peuvent désactiver les fonctionnalités en supprimant la clé de Registre EnableCertPaddingCheck. Consultez les actions suggérées ci-dessous pour obtenir des instructions.

Je n’ai pas activé cette modification, dois-je faire quoi que ce soit maintenant qu’il ne sera pas appliqué par défaut ?
Non. Le comportement de vérification plus strict qui a été installé avec MS13-098 réside sur le système, mais sera des fonctionnalités dormantes jusqu’à ce qu’elle soit activée.

Le nouveau comportement de vérification affecte-t-il les logiciels déjà installés ?
Le nouveau comportement de vérification plus strict, lorsqu’il est activé, s’applique principalement aux fichiers binaires exécutables portables (PE) signés avec le format de signature Windows Authenticode. Les fichiers binaires qui ne sont pas signés avec ce format ou qui n’utilisent pas WinVerifyTrust pour vérifier que les signatures ne sont pas affectées par le nouveau comportement. Les fichiers binaires les plus susceptibles d’être affectés sont des fichiers d’installation PE distribués via Internet personnalisés au moment du téléchargement. Le scénario le plus courant dans lequel les utilisateurs peuvent percevoir un impact est pendant le téléchargement et l’installation de nouvelles applications. C’est le cas uniquement si les clients ont choisi d’activer le comportement de vérification plus strict, après quoi les utilisateurs peuvent observer des messages d’avertissement lors de la tentative d’installation de nouvelles applications avec des signatures qui échouent à la validation.

Le nouveau comportement de vérification a-t-il un impact sur les stratégies AppLocker ?
Pour les clients qui ont choisi d’activer le comportement de vérification plus strict, toute règle AppLocker qui dépend des fichiers signés ou attend un éditeur spécifique peut être affectée si la signature sur un fichier ne répond pas aux exigences strictes de vérification de signature Authenticode.

Le nouveau comportement de vérification a-t-il un impact sur les stratégies de restriction logicielle ?
Pour les clients qui ont choisi d’activer le comportement de vérification plus strict, toute stratégie de restriction logicielle qui dépend des fichiers signés ou attend un éditeur spécifique peut être affectée si la signature sur un fichier ne répond pas aux exigences strictes de vérification de signature Authenticode.

Le nouveau comportement de vérification plus strict estime que mon fichier binaire n’est pas conforme. Quelles sont mes options ?
Si un binaire est considéré comme non conforme au comportement de vérification de signature Authenticode plus strict, ce n’est pas un problème sur les systèmes qui n’ont pas activé le nouveau comportement de vérification, car Microsoft n’applique pas le comportement plus strict par défaut. Toutefois, pour corriger les problèmes liés à une validation en échec binaire sur les systèmes où le nouveau comportement de vérification a été activé, ce fichier binaire doit être réinsigné avec une adhésion stricte au format signature Windows Authenticode et n’inclut spécifiquement pas d’informations superflues dans la structure WIN_CERTIFICATE.

Existe-t-il une possibilité qu’une signature soit reconnue comme non conforme au processus de vérification plus strict si je signe à l’aide d’outils de signature non fournis par Microsoft ?
Oui. Pour les clients qui choisissent d’activer le comportement de vérification plus strict, les fichiers binaires avec des outils de signature non fournis par Microsoft risquent d’être reconnus comme non conformes au comportement de vérification plus strict. L’utilisation de produits Microsoft ou d’outils de signature fournis par Microsoft, tels que signtool.exe, permet de s’assurer que les signatures sont reconnues comme conformes.

Qu’est-ce que Windows Authenticode ? 
Windows Authenticode est un format de signature numérique utilisé pour déterminer l’origine et l’intégrité des fichiers binaires logiciels. Authenticode utilise les normes de chiffrement à clé publique (PKCS) #7 signées et les certificats X.509 pour lier un binaire signé Authenticode à l’identité d’un éditeur de logiciels. Le terme « Signature Authenticode » fait référence à un format de signature numérique généré et vérifié à l’aide de la fonction WinVerifyTrust.

Qu’est-ce que la vérification de signature Windows Authenticode ?
La vérification de signature Windows Authenticode se compose de deux activités principales : la signature case activée ing sur les objets spécifiés et la vérification d’approbation. Ces activités sont effectuées par la fonction WinVerifyTrust, qui exécute une signature case activée passe ensuite l’enquête à un fournisseur de confiance qui prend en charge l’identificateur d’action, le cas échéant. Pour plus d’informations techniques sur la fonction WinVerifyTrust, consultez la fonction WinVerifyTrust.

Pour une introduction à Authenticode, consultez Présentation de la signature de code.

Actions suggérées

  • Passer en revue les exigences techniques du programme de certificat racine Microsoft

    Les clients qui s’intéressent à en savoir plus sur la rubrique abordée dans cet avis doivent passer en revue le programme de certificat racine Windows - Exigences techniques.

  • Modifier les processus de signature binaire

    Après avoir examiné les détails techniques sous-jacents au changement de comportement de vérification des signatures Authenticode, Microsoft recommande aux clients de s’assurer que leurs signatures Authenticode ne contiennent pas d’informations superflues dans la structure WIN_CERTIFICATE. Microsoft recommande également aux auteurs d’exécutables de se conformer à leurs fichiers binaires signés Authenticode à la nouvelle norme de vérification. Les auteurs qui ont modifié leurs processus de signature binaire et souhaitent activer le nouveau comportement peuvent le faire sur une base d’adhésion. Consultez le programme de certificat racine Windows - Conditions techniques requises pour obtenir des conseils.

  • Tester l’amélioration de la vérification de signature Authenticode

    Microsoft recommande aux clients de tester le comportement de cette modification de la vérification de signature Authenticode dans leur environnement avant de l’implémenter entièrement. Pour activer les améliorations apportées à la vérification de signature Authenticode, modifiez le Registre pour ajouter la valeur EnableCertPaddingCheck, comme indiqué ci-dessous.

    Avertissement effectuant ces étapes pour activer les modifications de fonctionnalités incluses dans la mise à jour MS13-098 entraîne l’affichage des fichiers binaires non conformes et, par conséquent, les rendu non approuvés.

    Notez que si vous utilisez l’Éditeur du Registre de manière incorrecte, vous risquez de provoquer de graves problèmes qui peuvent nécessiter la réinstallation de votre système d’exploitation. Microsoft ne peut pas vous garantir que vous pourrez résoudre les problèmes qui résulteront d'une mauvaise utilisation de l'éditeur du registre. Son utilisation est sous votre entière responsabilité.

    Après avoir installé la mise à jour MS13-098 , procédez comme suit :

    Pour les versions 32 bits de Microsoft Windows

    Collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg (par exemple, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"  
    

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus.

    Notez que vous devez redémarrer le système pour que vos modifications prennent effet.

    Pour les versions 64 bits de Microsoft Windows

    Collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg (par exemple, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus.

    Notez que vous devez redémarrer le système pour que vos modifications prennent effet.

    Impact de l’activation des modifications de fonctionnalités incluses dans la mise à jour MS13-098 . Les fichiers binaires non conformes apparaissent non signés et, par conséquent, sont rendus non approuvés.

    Comment désactiver la fonctionnalité. Procédez comme suit pour supprimer la valeur de Registre précédemment ajoutée.

    Pour les versions 32 bits de Microsoft Windows, collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg (par exemple, disableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    

    Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus.

    Notez que vous devez redémarrer le système pour que vos modifications prennent effet.

    Pour les versions 64 bits de Microsoft Windows, collez le texte suivant dans un éditeur de texte tel que Bloc-notes Windows. Ensuite, enregistrez le fichier à l’aide de l’extension de nom de fichier .reg (par exemple, disableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    

Vous pouvez appliquer ce fichier .reg à des systèmes individuels en double-cliquant dessus.

Notez que vous devez redémarrer le système pour que vos modifications prennent effet.

Actions suggérées supplémentaires

  • Protéger votre PC

    Nous continuons à encourager les clients à suivre nos conseils de protection de votre ordinateur pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Pour plus d’informations, consultez Microsoft Coffre ty &Security Center.

  • Conserver les logiciels Microsoft mis à jour

    Les utilisateurs exécutant le logiciel Microsoft doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Microsoft Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si vous avez activé et configuré la mise à jour automatique pour fournir des mises à jour pour les produits Microsoft, les mises à jour sont remises à vous lors de leur publication, mais vous devez vérifier qu’elles sont installées.

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (10 décembre 2013) : avis publié.
  • V1.1 (13 décembre 2013) : correction des informations de clé de Registre dans l’action Tester l’amélioration de la vérification de signature Authenticode. Les clients qui ont appliqué ou planifient l’application de l’action suggérée doivent passer en revue les informations révisées.
  • V1.2 (11 février 2014) : avis relégé en rappel aux clients que les modifications dormantes implémentées avec MS13-098 seront activées le 10 juin 2014. Après cette date, Windows ne reconnaît plus les fichiers binaires non conformes comme signés. Pour plus d’informations, consultez les sections Recommandations et Actions suggérées de cet avis.
  • V1.3 (21 mai 2014) : Avis révisé pour refléter la date de coupure du 12 août 2014 pour laquelle les fichiers binaires non conformes ne seront plus reconnus comme signés. À présent, au lieu d’une date de coupure du 10 juin 2014, les modifications dormantes implémentées avec MS13-098 seront activées le 12 août 2014.
  • V1.4 (29 juillet 2014) : avis révisé pour annoncer que Microsoft ne prévoit plus d’appliquer le comportement de vérification plus strict en tant que fonctionnalité par défaut sur les versions prises en charge de Microsoft Windows. Il reste disponible en tant que fonctionnalité d’adhésion. Pour plus d’informations, consultez la section Faq sur les conseils .

Page générée 2014-07-29 14 :38Z-07 :00.