Comunicado de Segurança da Microsoft 2915720
Alterações na verificação de assinatura do Windows Authenticode
Publicado: terça-feira, 10 de dezembro de 2013 | Atualizado: July 29, 2014
Versão: 1.4
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização para todas as versões com suporte do Microsoft Windows para alterar como as assinaturas são verificadas para binários assinados com o formato de assinatura Authenticode do Windows. A alteração está incluída no Boletim de Segurança MS13-098, mas só será habilitada com base na aceitação. Quando habilitado, o novo comportamento para a verificação de assinatura do Windows Authenticode não permitirá mais informações estranhas na estrutura WIN_CERTIFICATE e o Windows não reconhecerá mais binários não compatíveis como assinados. Observe que a Microsoft pode tornar isso um comportamento padrão em uma versão futura do Microsoft Windows.
Recomendação. A Microsoft recomenda que os autores de executáveis considerem a conformidade de todos os binários assinados com o novo padrão de verificação, garantindo que eles não contenham informações estranhas na estrutura WIN_CERTIFICATE. A Microsoft também recomenda que os clientes testem adequadamente essa alteração para avaliar como ela se comportará em seus ambientes. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Boletim de Segurança | MS13-098 |
| Informações Gerais | Introdução à assinatura \ de código Função \ WinVerifyTrust Formato de assinatura executável portátil Authenticode |
| Informações Específicas | Programa de Certificado Raiz do Windows - Requisitos Técnicos |
Perguntas frequentes sobre o Advisory
Qual o escopo da assessoria?
O objetivo deste comunicado é informar os clientes sobre uma alteração opcional na forma como o Microsoft Windows verifica binários assinados pelo Authenticode.
Por que este comunicado foi revisado em 29 de julho de 2014?
Este comunicado foi revisado em 29 de julho de 2014 para anunciar que o comportamento mais rigoroso de verificação de assinatura do Windows Authenticode descrito aqui será habilitado com base na aceitação e não se tornará um comportamento padrão em versões com suporte do Microsoft Windows.
Como a Microsoft implementará o comportamento mais rigoroso de verificação de assinatura do Windows Authenticode?
Em 10 de dezembro de 2013, a Microsoft lançou o Boletim de Segurança MS13-098 para implantar o código subjacente para um comportamento de verificação de Assinatura Authenticode mais rigoroso. Anteriormente, este comunicado anunciou que, até 12 de agosto de 2014, a Microsoft habilitaria as alterações implementadas com o MS13-098 como funcionalidade padrão. No entanto, à medida que trabalhávamos com os clientes para nos adaptarmos a essa mudança, determinamos que o impacto no software existente poderia ser alto. Portanto, a Microsoft não planeja mais impor o comportamento de verificação mais rigoroso como um requisito padrão. No entanto, a funcionalidade subjacente para uma verificação mais rigorosa permanece em vigor e pode ser ativada a critério do cliente.
Como posso ativar o novo comportamento de verificação de assinatura?
Os clientes que desejarem habilitar o novo comportamento de verificação de assinatura Authenticode podem fazer isso definindo uma chave no registro do sistema. Quando a chave é definida, a verificação de assinatura do Windows Authenticode não reconhecerá mais binários com assinaturas Authenticode que contenham informações estranhas na estrutura WIN_CERTIFICATE. Os clientes podem optar por desativar a funcionalidade a qualquer momento, desabilitando essa chave do Registro. Consulte Ações sugeridas abaixo para obter instruções.
Eu habilitei essa alteração, preciso fazer alguma coisa agora que ela não será aplicada por padrão? Os clientes que já habilitaram o comportamento de verificação mais rigoroso e não tiveram problemas podem optar por deixar o comportamento de verificação habilitado. Os clientes que estão enfrentando problemas de compatibilidade de aplicativos com o novo comportamento, ou clientes que simplesmente desejam desabilitar o novo comportamento, podem desabilitar a funcionalidade removendo a chave do Registro EnableCertPaddingCheck. Consulte Ações sugeridas abaixo para obter instruções.
Eu não habilitei essa mudança, preciso fazer alguma coisa agora que ela não será aplicada por padrão?
Não. O comportamento de verificação mais rigoroso que foi instalado com o MS13-098 residirá no sistema, mas permanecerá inativo até ser habilitado.
O novo comportamento de verificação afeta o software já instalado?
O novo comportamento de verificação mais rigoroso, quando habilitado, aplica-se principalmente a binários executáveis portáteis (PE) assinados com o formato de assinatura Windows Authenticode. Binários que não são assinados com esse formato ou que não usam WinVerifyTrust para verificar assinaturas não são afetados pelo novo comportamento. Os binários com maior probabilidade de serem afetados são os arquivos do instalador do PE distribuídos pela Internet que são personalizados no momento do download. O cenário mais comum em que os usuários podem perceber um impacto é durante o download e a instalação de novos aplicativos. Esse é o caso somente se os clientes optarem por habilitar o comportamento de verificação mais rigoroso, após o qual os usuários poderão observar mensagens de aviso ao tentar instalar novos aplicativos com assinaturas que falharem na validação.
O novo comportamento de verificação afeta as políticas do AppLocker?
Para clientes que optaram por habilitar o comportamento de verificação mais rigoroso, qualquer regra do AppLocker que dependa de arquivos sendo assinados ou espere um editor específico pode ser afetada se a assinatura em um arquivo não atender aos requisitos mais rígidos de verificação de assinatura do Authenticode.
O novo comportamento de verificação afeta as Políticas de Restrição de Software?
Para os clientes que optaram por habilitar o comportamento de verificação mais rigoroso, qualquer Política de Restrição de Software que dependa de arquivos sendo assinados ou espere um editor específico pode ser afetada se a assinatura em um arquivo não atender aos requisitos mais rígidos de verificação de assinatura Authenticode.
O novo comportamento de verificação mais rigoroso considera meu binário não compatível. Quais são minhas opções?
Se um binário for considerado não compatível com o comportamento de verificação de assinatura Authenticode mais rigoroso, isso não será um problema em sistemas que não tiveram o novo comportamento de verificação habilitado porque a Microsoft não está impondo o comportamento mais rigoroso por padrão. No entanto, para corrigir problemas com uma validação de falha binária em sistemas onde o novo comportamento de verificação foi habilitado, esse binário precisará ser assinado novamente com estrita aderência ao formato de Assinatura Authenticode do Windows e, especificamente, não incluir informações estranhas na estrutura WIN_CERTIFICATE.
Existe alguma possibilidade de uma assinatura ser reconhecida como não compatível com o processo de verificação mais rigoroso se eu assinar usando ferramentas de assinatura não fornecidas pela Microsoft?
Sim. Para os clientes que optarem por habilitar o comportamento de verificação mais rigoroso, a assinatura de binários com ferramentas de assinatura não fornecidas pela Microsoft corre o risco de as assinaturas serem reconhecidas como não compatíveis com o comportamento de verificação mais rigoroso. Usar produtos da Microsoft ou ferramentas de assinatura fornecidas pela Microsoft, como signtool.exe, ajuda a garantir que as assinaturas sejam reconhecidas como compatíveis.
O que é o Windows Authenticode?
O Windows Authenticode é um formato de assinatura digital usado para determinar a origem e a integridade dos binários de software. O Authenticode usa dados assinados PKCS (Padrões de Criptografia de Chave Pública) #7 e certificados X.509 para vincular um binário assinado por Authenticode à identidade de um editor de software. O termo "Authenticode signature" refere-se a um formato de assinatura digital que é gerado e verificado usando a função WinVerifyTrust.
O que é a verificação de assinatura do Windows Authenticode?
A verificação de assinatura do Windows Authenticode consiste em duas atividades principais: verificação de assinatura em objetos especificados e verificação de confiança. Essas atividades são realizadas pela função WinVerifyTrust, que executa uma verificação de assinatura e, em seguida, passa a consulta para um provedor de confiança que oferece suporte ao identificador de ação, se houver. Para obter mais informações técnicas sobre a função WinVerifyTrust, consulte Função WinVerifyTrust.
Para obter uma introdução ao Authenticode, consulte Introdução à assinatura de código.
Ações sugeridas
Revise os requisitos técnicos do Microsoft Root Certificate Program
Os clientes interessados em saber mais sobre o tópico abordado neste comunicado devem revisar o Programa de Certificado Raiz do Windows - Requisitos Técnicos.
Modificar processos de assinatura binários
Depois de analisar os detalhes técnicos subjacentes à alteração no comportamento de verificação de assinatura Authenticode, a Microsoft recomenda que os clientes garantam que suas assinaturas Authenticode não contenham informações estranhas na estrutura WIN_CERTIFICATE. A Microsoft também recomenda que os autores de executáveis considerem a conformidade de seus binários assinados por Authenticode com o novo padrão de verificação. Os autores que modificaram seus processos de assinatura binária e gostariam de habilitar o novo comportamento podem fazê-lo em uma base de opt-in. Consulte Programa de Certificado Raiz do Windows - Requisitos Técnicos para obter orientação.
Testar a melhoria na verificação de assinatura Authenticode
A Microsoft recomenda que os clientes testem como essa alteração na verificação de assinatura Authenticode se comporta em seu ambiente antes de implementá-la completamente. Para habilitar os aprimoramentos de verificação de assinatura Authenticode, modifique o Registro para adicionar o valor EnableCertPaddingCheck conforme detalhado abaixo.
Aviso Executar essas etapas para habilitar as alterações de funcionalidade incluídas na atualização MS13-098 fará com que binários não conformes apareçam não assinados e, portanto, os tornará não confiáveis.
Observação Se você usar o Editor do Registro incorretamente, você pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Depois de instalar a atualização MS13-098, execute o seguinte:
Para versões de 32 bits do Microsoft Windows
Cole o texto a seguir em um editor de texto, como o bloco de notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (por exemplo, enableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele.
Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.
Para versões de 64 bits do Microsoft Windows
Cole o texto a seguir em um editor de texto, como o bloco de notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (por exemplo, enableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele.
Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.
Impacto da ativação das alterações de funcionalidade incluídas na atualização MS13-098 . Binários não conformes aparecerão não assinados e, portanto, serão tornados não confiáveis.
Como desativar a funcionalidade. Execute o seguinte para excluir o valor do Registro adicionado anteriormente.
Para versões de 32 bits do Microsoft Windows, cole o seguinte texto em um editor de texto, como o bloco de notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (por exemplo, disableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele.
Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.
Para versões de 64 bits do Microsoft Windows, cole o seguinte texto em um editor de texto, como o bloco de notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg (por exemplo, disableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=- [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-
Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele.
Observação Você deve reiniciar o sistema para que as alterações entrem em vigor.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.
Mantenha o software Microsoft atualizado
Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações, consulte Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de dezembro de 2013): Comunicado publicado.
- V1.1 (13 de dezembro de 2013): Corrigidas as informações da chave do Registro na ação sugerida Testar a melhoria na verificação de assinatura Authenticode. Os clientes que se inscreveram ou planejam aplicar a ação sugerida devem revisar as informações revisadas.
- V1.2 (11 de fevereiro de 2014): Comunicado relançado como um lembrete aos clientes de que as alterações inativas implementadas com o MS13-098 serão habilitadas em 10 de junho de 2014. Após essa data, o Windows não reconhecerá mais binários não compatíveis como assinados. Consulte as seções Recomendação e Ações Sugeridas deste comunicado para obter mais informações.
- V1.3 (21 de maio de 2014): Comunicado revisado para refletir a nova data de corte de 12 de agosto de 2014 para quando binários não compatíveis não serão mais reconhecidos como assinados. Agora, em vez de uma data de corte de 10 de junho de 2014, as alterações inativas implementadas com o MS13-098 serão habilitadas em 12 de agosto de 2014.
- V1.4 (29 de julho de 2014): Comunicado revisado para anunciar que a Microsoft não planeja mais impor o comportamento de verificação mais rigoroso como funcionalidade padrão em versões com suporte do Microsoft Windows. Ele permanece disponível como um recurso opcional. Consulte a seção Perguntas frequentes do comunicado para obter mais informações.
Página gerada em 29/07/2014 14:38Z-07:00.