Boletim de Segurança da Microsoft MS16-094 - Importante

  • Artigo
  • 8 minutos para o fim da leitura

Atualização de segurança para a Inicialização Segura (3177404)

Publicado em: terça-feira, 12 de julho de 2016

Versão: 1.0

Resumo executivo

Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Windows. A vulnerabilidade poderá permitir que o recurso de segurança Inicialização Segura seja ignorado se um invasor instalar uma política afetada em um dispositivo de destino. O invasor deve ter privilégios administrativos ou acesso físico para instalar a política e ignorar a Inicialização Segura.

Esta atualização de segurança é classificada como Importante para todas as edições compatíveis de Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2 e Windows 10. Para obter mais informações, consulte a seção Softwares afetados e classificações de gravidade da vulnerabilidade.

A atualização de segurança elimina a vulnerabilidade colocando na lista negra as políticas afetadas. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre esta atualização, consulte o artigo 3177404 da Base de Dados de Conhecimento Microsoft.

Softwares afetados e classificações de gravidade da vulnerabilidade

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de vida de suporte da Microsoft.

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o resumo de boletins de julho.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Softwares afetados** [**Bypass do recurso de segurança Inicialização Segura – CVE-2016-3287**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3287) **Atualizações substituídas**\*
**Windows 8.1**
[Windows 8.1 para sistemas de 32 bits](http://www.microsoft.com/downloads/details.aspx?familyid=a16c58cf-4e79-4e51-b39b-50ff623c5ff9) (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
[Windows 8.1 para sistemas baseados em x64](http://www.microsoft.com/downloads/details.aspx?familyid=0afae908-718e-4f83-9b8b-f276aa12ecaf) (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
**Windows Server 2012 e Windows Server 2012 R2**
[Windows Server 2012](http://www.microsoft.com/downloads/details.aspx?familyid=ef857803-9aa0-4284-9e34-0c0bf6d1f354) (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
[Windows Server 2012 R2](http://www.microsoft.com/downloads/details.aspx?familyid=ef357a04-dd1e-4c34-bfde-c4445f3a5379) (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
**Windows RT 8.1**
Windows RT 8.1[1] (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
**Windows 10**
[Windows 10 para sistemas de 32 bits](https://support.microsoft.com/pt-br/kb/3163912)[2] (3163912) **Importante**  Bypass do recurso de segurança [3163017](https://support.microsoft.com/pt-br/kb/3163017)
[Windows 10 para sistemas baseados em x64](https://support.microsoft.com/pt-br/kb/3163912)[2] (3163912) **Importante**  Bypass do recurso de segurança [3163017](https://support.microsoft.com/pt-br/kb/3163017)
[Versão 1511 do Windows 10 para sistemas de 32 bits](https://support.microsoft.com/pt-br/kb/3172985)[2] (3172985) **Importante**  Bypass do recurso de segurança [3163018](https://support.microsoft.com/pt-br/kb/3163018)
[Versão 1511 do Windows 10 para sistemas baseados em x64](https://support.microsoft.com/pt-br/kb/3172985)[2] (3172985) **Importante**  Bypass do recurso de segurança [3163018](https://support.microsoft.com/pt-br/kb/3163018)
**Opção de instalação Server Core**
[Windows Server 2012](http://www.microsoft.com/downloads/details.aspx?familyid=ef857803-9aa0-4284-9e34-0c0bf6d1f354) (instalação Server Core) (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
[Windows Server 2012 R2](http://www.microsoft.com/downloads/details.aspx?familyid=ef357a04-dd1e-4c34-bfde-c4445f3a5379) (instalação Server Core) (3172727) **Importante**  Bypass do recurso de segurança Nenhuma
[1]Esta atualização está disponível apenas no [Windows Update](http://go.microsoft.com/fwlink/?linkid=21130).

[2]As atualizações do Windows 10 são cumulativas. O lançamento de segurança mensal inclui todas as correções de segurança para as vulnerabilidades que afetam o Windows 10, além de conter atualizações não relacionadas à segurança. As atualizações estão disponíveis pelo Catálogo do Windows Update.

Observação A vulnerabilidade discutida neste boletim afeta o Windows Server 2016 Technical Preview 4 e o Windows Server 2016 Technical Preview 5. Há uma atualização disponível para o Windows Server 2016 Technical Preview 5 no Windows Update. No entanto, não há nenhuma atualização disponível para o Windows Server 2016 Technical Preview 4. A Microsoft recomenda que clientes com o Windows Server 2016 Technical Preview 4 atualizem para o Windows Server 2016 Technical Preview 5 a fim de se protegerem contra a vulnerabilidade.

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá ao Catálogo do Microsoft Update, procure pelo número de KB da atualização e visualize os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Informações sobre a vulnerabilidade

Vulnerabilidade de bypass do recurso de segurança Inicialização Segura – CVE-2016-3287

Existe uma vulnerabilidade de bypass do recurso de segurança quando a Inicialização Segura do Windows aplica incorretamente uma política afetada. Um invasor que tenha conseguido explorar esta vulnerabilidade pode desabilitar verificações de integridade de código, permitindo que drivers e executáveis assinados para teste sejam carregados em um dispositivo de destino. Além disso, o invasor pode ignorar a validação de integridade da Inicialização Segura para BitLocker e o recurso de segurança Criptografia do Dispositivo.

Para explorar a vulnerabilidade, o invasor precisa obter privilégios administrativos ou acesso físico a um dispositivo de destino para instalar uma política afetada. A atualização de segurança elimina a vulnerabilidade colocando na lista negra as políticas afetadas.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de bypass do recurso de segurança Inicialização Segura CVE-2016-3287 Sim Não
### Fatores atenuantes Os seguintes [fatores atenuantes](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) podem ser úteis no seu caso: - Para explorar a vulnerabilidade, o invasor precisa ter privilégios administrativos ou acesso físico ao dispositivo de destino. ### Soluções alternativas As seguintes [soluções alternativas](https://technet.microsoft.com/pt-br/library/security/dn848375.aspx) podem ser úteis no seu caso: - **Como configurar o BitLocker para usar a proteção PIN + Trusted Platform Module (TPM)** Para habilitar o protetor de TPM e PIN, habilite a diretiva de grupo de proteção aprimorada da seguinte maneira: 1. Clique em **Iniciar**, em **Executar**, digite **gpedit.msc** e clique em **OK** para abrir o Editor de Política de Grupo Local. 2. Em **Política de Computador Local**, navegue até Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades de Sistema Operacional. 3. No painel direito, clique duas vezes em **Exigir autenticação adicional na inicialização**. 4. Na caixa de diálogo exibida, clique em **Habilitado**. 5. Em **Opções**, selecione **Exigir TPM** e **Exigir PIN de inicialização com TPM**. 6. Clique em **Aplicar** e saia do Editor de Política de Grupo Local. 7. Abra o prompt de comando com privilégios de Administrador. 8. Digite o seguinte comando: 
```  
  manage-bde -protectors -add c:   -tpmandpin

```

9. Quando o comando solicitar um PIN, digite um PIN de 4 ou 6 dígitos.  
10. Reinicie o sistema.

Impacto da solução alternativa.

O usuário precisará digitar o PIN sempre que o computador for reiniciado.

Como desfazer a solução alternativa

  1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK para abrir o Editor de Política de Grupo Local.
  2. Em Política de Computador Local, navegue até Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades de Sistema Operacional.
  3. No painel direito, clique duas vezes em “Exigir autenticação adicional na inicialização”.
  4. Na caixa de diálogo exibida, clique em Habilitado.
  5. Em Opções, desmarque Permitir TPM e Permitir PIN de inicialização com TPM.
  6. Clique em Aplicar e saia do Editor de Política de Grupo Local.
  7. Reinicie o sistema.

  • Como desabilitar a proteção de integridade da Inicialização Segura do BitLocker

    Para desabilitar a Inicialização Segura, siga estas etapas na ordem apresentada.

    1. Desabilite o BitLocker
      1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
      2. Clique em Desativar BitLocker.
      3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Desativar BitLocker.
      4. Saia do Painel de Controle.
    2. Desative a Inicialização Segura
      1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK para abrir o Editor de Política de Grupo Local.
      2. Em Política de Computador Local, navegue até Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades de Sistema Operacional.
      3. Clique duas vezes em Permitir Inicialização Segura para validação de integridade.
      4. Na caixa de diálogo exibida, clique em Desabilitado.
      5. Clique em Aplicar e saia do Editor de Política de Grupo Local.
    3. Reabilite o BitLocker
      1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
      2. Clique em Ativar BitLocker.
      3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker.
      4. Saia do Painel de Controle.

    Impacto da solução alternativa. 

    A desativação da Inicialização Segura pode fazer com que os sistemas entrem na recuperação do BitLocker com maior frequência quando você atualizar versões do firmware ou configurações de BCD.

    Como desfazer a solução alternativa 

    1. Desabilite o BitLocker
      1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
      2. Clique em Desativar BitLocker.
      3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Desativar BitLocker.
      4. Saia do Painel de Controle.
    2. Habilite a Inicialização Segura
      1. Clique em Iniciar, em Executar, digite gpedit.msc e clique em OK para abrir o Editor de Política de Grupo Local.
      2. Em Política de Computador Local, navegue até Modelos Administrativos > Componentes do Windows > Criptografia de Unidade de Disco BitLocker > Unidades de Sistema Operacional.
      3. Clique duas vezes em Permitir Inicialização Segura para validação de integridade.
      4. Na caixa de diálogo exibida, clique em Habilitado.
      5. Clique em Aplicar e saia do Editor de Política de Grupo Local.
    3. Reabilite o BitLocker
      1. Abra o Painel de Controle e clique em Criptografia de Unidade de Disco BitLocker.
      2. Clique em Ativar BitLocker.
      3. Na caixa de diálogo Criptografia de Unidade de Disco BitLocker, clique em Ativar BitLocker.
      4. Saia do Painel de Controle.

Implantação de atualização de segurança

Para obter informações sobre a implantação de atualização de segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo executivo.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (terça-feira, 12 de julho de 2016): Boletim publicado.

Página gerada em 06/07/2016, às 11:53-07:00.