2915720 Microsoft Security Advisory
Perubahan dalam Verifikasi Tanda Tangan Windows Authenticode
Diterbitkan: 10 Desember 2013 | Diperbarui: 29 Juli 2014
Versi: 1.4
Informasi Umum
Ringkasan Eksekutif
Microsoft mengumumkan ketersediaan pembaruan untuk semua rilis Microsoft Windows yang didukung untuk mengubah bagaimana tanda tangan diverifikasi untuk biner yang ditandatangani dengan format tanda tangan Windows Authenticode. Perubahan disertakan dengan Buletin Keamanan MS13-098, tetapi hanya akan diaktifkan berdasarkan keikutsertaan. Ketika diaktifkan, perilaku baru untuk verifikasi tanda tangan Windows Authenticode tidak akan lagi mengizinkan informasi asing dalam struktur WIN_CERTIFICATE, dan Windows tidak akan lagi mengenali biner yang tidak patuh seperti yang ditandatangani. Perhatikan bahwa Microsoft dapat menjadikan ini perilaku default dalam rilis Microsoft Windows di masa mendatang.
Rekomendasi. Microsoft menyarankan agar penulis yang dapat dieksekusi mempertimbangkan untuk menyesuaikan semua biner yang ditandatangani dengan standar verifikasi baru dengan memastikan bahwa mereka tidak berisi informasi asing dalam struktur WIN_CERTIFICATE. Microsoft juga menyarankan agar pelanggan menguji perubahan ini dengan tepat untuk mengevaluasi bagaimana perilakunya di lingkungan mereka. Silakan lihat bagian Tindakan yang Disarankan dari saran ini untuk informasi selengkapnya.
Detail Saran
Referensi Masalah
Untuk informasi selengkapnya tentang masalah ini, lihat referensi berikut ini:
| Referensi | Identifikasi |
|---|---|
| Buletin Keamanan | MS13-098 |
| Informasi Umum | Pengantar Penandatanganan Kode WinVerifyTrust fungsi \ Authenticode Portable Executable Signature Format \ |
| Informasi Spesifik | Program Sertifikat Akar Windows - Persyaratan Teknis |
Tanya Jawab Umum Penasihat
Apa cakupan sarannya?
Tujuan dari saran ini adalah untuk memberi tahu pelanggan tentang perubahan opsional tentang cara Microsoft Windows memverifikasi biner yang ditandatangani Authenticode.
Mengapa nasihat ini direvisi pada 29 Juli 2014?
Saran ini direvisi pada 29 Juli 2014 untuk mengumumkan bahwa perilaku verifikasi tanda tangan Windows Authenticode yang lebih ketat yang dijelaskan di sini akan diaktifkan berdasarkan keikutsertaan dan tidak membuat perilaku default dalam rilis Microsoft Windows yang didukung.
Bagaimana Microsoft akan menerapkan perilaku verifikasi tanda tangan Windows Authenticode yang lebih ketat?
Pada 10 Desember 2013, Microsoft merilis Buletin Keamanan MS13-098 untuk menyebarkan kode dasar untuk perilaku verifikasi Tanda Tangan Authenticode yang lebih ketat. Sebelumnya, saran ini mengumumkan bahwa pada 12 Agustus 2014 Microsoft akan mengaktifkan perubahan yang diterapkan dengan MS13-098 sebagai fungsionalitas default. Namun, karena kami bekerja dengan pelanggan untuk beradaptasi dengan perubahan ini, kami menentukan bahwa dampak terhadap perangkat lunak yang ada bisa tinggi. Oleh karena itu, Microsoft tidak lagi berencana untuk memberlakukan perilaku verifikasi yang lebih ketat sebagai persyaratan default. Fungsionalitas yang mendasar untuk verifikasi yang lebih ketat tetap diberlakukan, namun, dan dapat diaktifkan atas kebijakan pelanggan.
Bagaimana cara mengaktifkan perilaku verifikasi tanda tangan baru?
Pelanggan yang ingin mengaktifkan perilaku verifikasi tanda tangan Authenticode baru dapat melakukannya dengan mengatur kunci di registri sistem. Ketika kunci diatur, verifikasi tanda tangan Windows Authenticode tidak akan lagi mengenali biner dengan tanda tangan Authenticode yang berisi informasi asing dalam struktur WIN_CERTIFICATE. Pelanggan dapat memilih untuk menonaktifkan fungsionalitas kapan saja dengan menonaktifkan kunci registri ini. Lihat Tindakan yang Disarankan di bawah ini untuk petunjuknya.
Saya mengaktifkan perubahan ini, apakah saya perlu melakukan apa pun sekarang sehingga tidak akan diberlakukan secara default? Pelanggan yang telah mengaktifkan perilaku verifikasi yang lebih ketat, dan tidak mengalami masalah, dapat memilih untuk membiarkan perilaku verifikasi diaktifkan. Pelanggan yang mengalami masalah kompatibilitas aplikasi dengan perilaku baru, atau pelanggan yang hanya ingin menonaktifkan perilaku baru, dapat menonaktifkan fungsionalitas dengan menghapus kunci registri EnableCertPaddingCheck. Lihat Tindakan yang Disarankan di bawah ini untuk petunjuknya.
Saya tidak mengaktifkan perubahan ini, apakah saya perlu melakukan apa pun sekarang sehingga tidak akan diberlakukan secara default?
Tidak. Perilaku verifikasi ketat yang diinstal dengan MS13-098 akan berada di sistem tetapi akan menjadi fungsionalitas tidak aktif sampai diaktifkan.
Apakah perilaku verifikasi baru memengaruhi perangkat lunak yang sudah diinstal?
Perilaku verifikasi ketat baru, ketika diaktifkan, terutama berlaku untuk biner portable executable (PE) yang ditandatangani dengan format tanda tangan Windows Authenticode. Biner yang tidak ditandatangani dengan format ini atau yang tidak menggunakan WinVerifyTrust untuk memverifikasi tanda tangan tidak terpengaruh oleh perilaku baru. Biner yang kemungkinan besar terpengaruh adalah file penginstal PE yang didistribusikan melalui Internet yang disesuaikan pada saat pengunduhan. Skenario paling umum di mana pengguna dapat melihat dampaknya adalah selama pengunduhan dan penginstalan aplikasi baru. Ini adalah kasus hanya jika pelanggan telah memilih untuk mengaktifkan perilaku verifikasi yang lebih ketat, setelah itu pengguna dapat mengamati pesan peringatan saat mencoba menginstal aplikasi baru dengan tanda tangan yang gagal validasi.
Apakah perilaku verifikasi baru memengaruhi kebijakan AppLocker?
Bagi pelanggan yang telah memilih untuk mengaktifkan perilaku verifikasi yang lebih ketat, aturan AppLocker apa pun yang bergantung pada file yang ditandatangani, atau mengharapkan penerbit tertentu, dapat terpengaruh jika tanda tangan pada file tidak memenuhi persyaratan verifikasi tanda tangan Authenticode yang lebih ketat.
Apakah perilaku verifikasi baru memengaruhi Kebijakan Pembatasan Perangkat Lunak?
Bagi pelanggan yang telah memilih untuk mengaktifkan perilaku verifikasi yang lebih ketat, Kebijakan Pembatasan Perangkat Lunak apa pun yang bergantung pada file yang ditandatangani, atau mengharapkan penerbit tertentu, dapat terpengaruh jika tanda tangan pada file tidak memenuhi persyaratan verifikasi tanda tangan Authenticode yang lebih ketat.
Perilaku verifikasi yang lebih ketat baru dianggap tidak patuh pada biner saya. Apa saja opsinya?
Jika biner dianggap tidak sesuai dengan perilaku verifikasi tanda tangan Authenticode yang lebih ketat, ini tidak akan menjadi masalah pada sistem yang belum mengaktifkan perilaku verifikasi baru karena Microsoft tidak memberlakukan perilaku yang lebih ketat secara default. Namun, untuk memperbaiki masalah dengan validasi biner yang gagal pada sistem di mana perilaku verifikasi baru telah diaktifkan, biner tersebut harus ditandatangani kembali dengan kepatuhan ketat pada format Tanda Tangan Windows Authenticode dan secara khusus tidak menyertakan informasi asing dalam struktur WIN_CERTIFICATE.
Apakah ada kemungkinan tanda tangan diakui sebagai tidak sesuai dengan proses verifikasi yang lebih ketat jika saya menandatangani menggunakan alat penandatanganan yang tidak disediakan Microsoft?
Ya. Bagi pelanggan yang memilih untuk mengaktifkan perilaku verifikasi yang lebih ketat, penandatanganan biner dengan alat penandatanganan yang tidak disediakan Microsoft menjalankan risiko tanda tangan diakui sebagai tidak mematuhi perilaku verifikasi yang lebih ketat. Menggunakan produk Microsoft, atau alat tanda tangan yang disediakan Microsoft, seperti signtool.exe, membantu memastikan bahwa tanda tangan diakui sesuai.
Apa itu Windows Authenticode?
Windows Authenticode adalah format tanda tangan digital yang digunakan untuk menentukan asal dan integritas biner perangkat lunak. Authenticode menggunakan Data yang ditandatangani Standar Kriptografi Kunci Publik (PKCS) #7 dan sertifikat X.509 untuk mengikat biner yang ditandatangani Authenticode ke identitas penerbit perangkat lunak. Istilah "Tanda tangan Authenticode" mengacu pada format tanda tangan digital yang dihasilkan dan diverifikasi menggunakan fungsi WinVerifyTrust.
Apa itu verifikasi tanda tangan Windows Authenticode?
Verifikasi tanda tangan Windows Authenticode terdiri dari dua aktivitas utama: pemeriksaan tanda tangan pada objek tertentu dan verifikasi kepercayaan. Aktivitas ini dilakukan oleh fungsi WinVerifyTrust, yang menjalankan pemeriksaan tanda tangan kemudian meneruskan pertanyaan ke penyedia kepercayaan yang mendukung pengidentifikasi tindakan, jika ada. Untuk informasi teknis selengkapnya mengenai fungsi WinVerifyTrust, lihat Fungsi WinVerifyTrust.
Untuk pengenalan Authenticode, lihat Pengantar Penandatanganan Kode.
Tindakan yang Disarankan
Tinjau Persyaratan Teknis Program Sertifikat Akar Microsoft
Pelanggan yang tertarik untuk mempelajari lebih lanjut tentang topik yang dibahas dalam saran ini harus meninjau Program Sertifikat Akar Windows - Persyaratan Teknis.
Mengubah Proses Penandatanganan Biner
Setelah meninjau detail teknis yang mendasar perubahan perilaku verifikasi tanda tangan Authenticode, Microsoft menyarankan agar pelanggan memastikan bahwa tanda tangan Authenticode mereka tidak berisi informasi asing dalam struktur WIN_CERTIFICATE. Microsoft juga merekomendasikan agar penulis yang dapat dieksekusi mempertimbangkan untuk menyesuaikan biner yang ditandatangani Authenticode mereka dengan standar verifikasi baru. Penulis yang telah memodifikasi proses penandatanganan biner mereka dan ingin mengaktifkan perilaku baru dapat melakukannya berdasarkan keikutsertaan. Lihat Program Sertifikat Akar Windows - Persyaratan Teknis untuk panduan.
Menguji Peningkatan Verifikasi Tanda Tangan Authenticode
Microsoft menyarankan agar pelanggan menguji bagaimana perubahan ini pada verifikasi tanda tangan Authenticode berulah di lingkungan mereka sebelum sepenuhnya menerapkannya. Untuk mengaktifkan peningkatan verifikasi tanda tangan Authenticode, ubah registri untuk menambahkan nilai EnableCertPaddingCheck seperti yang dijelaskan di bawah ini.
Peringatan Melakukan langkah-langkah ini untuk mengaktifkan perubahan fungsionalitas yang disertakan dalam pembaruan MS13-098 akan menyebabkan biner yang tidak sesuai tampak tidak ditandatangani dan, oleh karena itu, membuatnya tidak tepercaya.
Catatan Jika Anda salah menggunakan Editor Registri, Anda dapat menyebabkan masalah serius yang mungkin mengharuskan Anda menginstal ulang sistem operasi Anda. Microsoft tidak dapat menjamin bahwa Anda dapat menyelesaikan masalah yang disebabkan oleh penggunaan Editor Registri dengan tidak benar. Gunakan Editor Registri dengan risiko Anda sendiri.
Setelah menginstal pembaruan MS13-098 , lakukan hal berikut:
Untuk Microsoft Windows versi 32-bit
Tempelkan teks berikut di editor teks seperti Notepad. Kemudian, simpan file dengan menggunakan ekstensi nama file .reg (misalnya, enableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"Anda dapat menerapkan file .reg ini ke sistem individual dengan mengekliknya dua kali.
Catatan Anda harus menghidupkan ulang sistem agar perubahan Diterapkan.
Untuk Microsoft Windows versi 64-bit
Tempelkan teks berikut di editor teks seperti Notepad. Kemudian, simpan file dengan menggunakan ekstensi nama file .reg (misalnya, enableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"Anda dapat menerapkan file .reg ini ke sistem individual dengan mengekliknya dua kali.
Catatan Anda harus menghidupkan ulang sistem agar perubahan Diterapkan.
Dampak mengaktifkan perubahan fungsionalitas yang disertakan dalam pembaruan MS13-098 . Biner yang tidak sesuai akan tampak tidak ditandatangani dan, oleh karena itu, dirender tidak tepercaya.
Cara menonaktifkan fungsionalitas. Lakukan hal berikut untuk menghapus nilai registri yang sebelumnya ditambahkan.
Untuk Microsoft Windows versi 32-bit, tempelkan teks berikut di editor teks seperti Notepad. Kemudian, simpan file dengan menggunakan ekstensi nama file .reg (misalnya, disableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-Anda dapat menerapkan file .reg ini ke sistem individual dengan mengekliknya dua kali.
Catatan Anda harus menghidupkan ulang sistem agar perubahan Diterapkan.
Untuk Microsoft Windows versi 64-bit, tempelkan teks berikut ini di editor teks seperti Notepad. Kemudian, simpan file dengan menggunakan ekstensi nama file .reg (misalnya, disableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=- [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-
Anda dapat menerapkan file .reg ini ke sistem individual dengan mengekliknya dua kali.
Catatan Anda harus menghidupkan ulang sistem agar perubahan Diterapkan.
Tindakan Tambahan yang Disarankan
Lindungi PC Anda
Kami terus mendorong pelanggan untuk mengikuti panduan Lindungi Komputer Anda untuk mengaktifkan firewall, mendapatkan pembaruan perangkat lunak, dan menginstal perangkat lunak antivirus. Untuk informasi selengkapnya, lihat Microsoft Brankas ty & Security Center.
Menjaga Perangkat Lunak Microsoft Tetap Diperbarui
Pengguna yang menjalankan perangkat lunak Microsoft harus menerapkan pembaruan keamanan Microsoft terbaru untuk membantu memastikan bahwa komputer mereka dilindungi sebisa mungkin. Jika Anda tidak yakin apakah perangkat lunak Anda sudah diperbarui, kunjungi Pembaruan Microsoft, pindai komputer Anda untuk pembaruan yang tersedia, dan instal pembaruan berprioritas tinggi yang ditawarkan kepada Anda. Jika Anda mengaktifkan dan mengonfigurasi pembaruan otomatis untuk menyediakan pembaruan untuk produk Microsoft, pembaruan dikirimkan kepada Anda saat dirilis, tetapi Anda harus memverifikasi bahwa pembaruan tersebut diinstal.
Informasi Lainnya
Program Perlindungan Aktif Microsoft (MAPP)
Untuk meningkatkan perlindungan keamanan bagi pelanggan, Microsoft menyediakan informasi kerentanan kepada penyedia perangkat lunak keamanan utama sebelum setiap rilis pembaruan keamanan bulanan. Penyedia perangkat lunak keamanan kemudian dapat menggunakan informasi kerentanan ini untuk memberikan perlindungan terbaru kepada pelanggan melalui perangkat lunak atau perangkat keamanan mereka, seperti antivirus, sistem deteksi intrusi berbasis jaringan, atau sistem pencegahan intrusi berbasis host. Untuk menentukan apakah perlindungan aktif tersedia dari penyedia perangkat lunak keamanan, kunjungi situs web perlindungan aktif yang disediakan oleh mitra program, yang tercantum dalam Mitra Program Perlindungan Aktif Microsoft (MAPP).
Saran dan Komentar
- Anda dapat memberikan umpan balik dengan melengkapi formulir Bantuan dan Dukungan Microsoft, Customer Service Hubungi Kami.
Dukungan
- Pelanggan di Amerika Serikat dan Kanada dapat menerima dukungan teknis dari Dukungan Keamanan. Untuk informasi selengkapnya, lihat Bantuan dan Dukungan Microsoft.
- Pelanggan internasional dapat menerima dukungan dari anak perusahaan Microsoft lokal mereka. Untuk informasi selengkapnya, lihat Dukungan Internasional.
- Microsoft TechNet Security menyediakan informasi tambahan tentang keamanan di produk Microsoft.
Pengelakan
Informasi yang diberikan dalam saran ini disediakan "apa adanya" tanpa jaminan apa pun. Microsoft menolak semua jaminan, baik tersurat maupun tersirat, termasuk jaminan kelayakan untuk diperdagangkan dan kesesuaian untuk tujuan tertentu. Dalam hal apa pun, Microsoft Corporation atau pemasoknya tidak bertanggung jawab atas kerusakan apa pun termasuk kerusakan langsung, tidak langsung, insidental, konsekuensial, kehilangan keuntungan bisnis atau kerusakan khusus, bahkan jika Microsoft Corporation atau pemasoknya telah diberi tahu tentang kemungkinan kerusakan tersebut. Beberapa negara bagian tidak mengizinkan pengecualian atau batasan tanggung jawab untuk kerusakan konsekuensial atau insidental sehingga batasan sebelumnya mungkin tidak berlaku.
Revisi
- V1.0 (10 Desember 2013): Nasihat diterbitkan.
- V1.1 (13 Desember 2013): Memperbaiki informasi kunci registri dalam tindakan yang disarankan Uji Peningkatan Verifikasi Tanda Tangan Authenticode. Pelanggan yang telah menerapkan atau berencana untuk menerapkan tindakan yang disarankan harus meninjau informasi yang direvisi.
- V1.2 (11 Februari 2014): Penasihat yang dirilis kembali sebagai pengingat kepada pelanggan bahwa perubahan tidak aktif yang diterapkan dengan MS13-098 akan diaktifkan pada 10 Juni 2014. Setelah tanggal ini, Windows tidak akan lagi mengenali biner yang tidak patuh seperti yang ditandatangani. Lihat bagian Rekomendasi dan Tindakan yang Disarankan dari saran ini untuk informasi selengkapnya.
- V1.3 (21 Mei 2014): Penasihat yang direvisi untuk mencerminkan tanggal cut-off 12 Agustus 2014 baru ketika biner yang tidak patuh tidak akan lagi dikenali sebagai ditandatangani. Sekarang, alih-alih tanggal cut-off 10 Juni 2014, perubahan tidak aktif yang diterapkan dengan MS13-098 akan diaktifkan 12 Agustus 2014.
- V1.4 (29 Juli 2014): Merevisi saran untuk mengumumkan bahwa Microsoft tidak lagi berencana untuk menerapkan perilaku verifikasi yang lebih ketat sebagai fungsionalitas default pada rilis Microsoft Windows yang didukung. Ini tetap tersedia sebagai fitur keikutsertaan. Lihat bagian FAQ Advisory untuk informasi selengkapnya.
Halaman yang dihasilkan 2014-07-29 14:38Z-07:00.