MS12-006: A vulnerabilidade no SSL/TLS pode permitir a divulgação de informações: 10 de janeiro de 2012

INTRODUÇÃO

A Microsoft lançou o boletim de segurança MS12-006. Para ver o boletim de segurança completo, aceda a um dos seguintes sites da Microsoft:

Como obter ajuda e suporte para esta atualização de segurança

Ajuda para instalar atualizações:
Suporte para o Microsoft Update

Soluções de segurança para profissionais de TI:
TechNet Security Troubleshooting and Support

Ajude a proteger o seu computador que está a executar o Windows contra vírus e software maligno:
Centro de Segurança e Solução de Vírus

Suporte local de acordo com o seu país/região:
Suporte Internacional

Resolver por mim

Estão disponíveis duas soluções de Correção.

  • Correção da solução para Transport Layer Security (TLS) 1.1 no Internet Explorer: esta solução ativa o TLS 1.1, que não é afetado por esta vulnerabilidade, no Windows Internet Explorer. A maioria dos utilizadores típicos deve instalar esta solução Corrigir.
  • Solução para corrigir o TLS 1.1 em servidores baseados no Windows: esta solução ativa o TLS 1.1, que não é afetado pela vulnerabilidade.

As soluções Corrigir que estão descritas nesta secção não se destinam a substituições para qualquer atualização de segurança. Recomendamos que instale sempre as atualizações de segurança mais recentes. No entanto, oferecemos estas soluções Corrigir como opções de solução para alguns cenários. 

Para obter mais informações sobre as soluções, consulte o boletim de segurança MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 O boletim fornece mais informações sobre o problema e inclui o seguinte:

  • Os cenários em que pode aplicar ou desativar a solução
  • Fatores de mitigação
  • Soluções
  • Perguntas mais frequentes

Especificamente, para ver estas informações, procure a secção Informações de Vulnerabilidade e, em seguida, expanda o parágrafo Soluções no parágrafo SSL e Protocolos TLS – CVE-2011-3389.

Solução para corrigir o TLS 1.1 no Internet Explorer

Para ativar ou desativar esta solução Corrigir, clique no botão Ou ligação Corrigir , sob o cabeçalho Ativar ou Desativar . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos no Assistente para Corrigir.

Ativar Disable

Notas

  • Estes assistentes podem estar apenas em inglês. No entanto, as correções automáticas também funcionam para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, pode guardar a correção automática numa pen usb ou num CD e, em seguida, pode executá-la no computador que tem o problema.

Solução para corrigir o TLS 1.1 em servidores baseados em Windows

Para ativar ou desativar esta solução Corrigir, clique no botão Ou ligação Corrigir , sob o cabeçalho Ativar ou Desativar . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos no Assistente para Corrigir.

Ativar Disable

Notas

  • Estes assistentes podem estar apenas em inglês. No entanto, as correções automáticas também funcionam para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, pode guardar a correção automática numa pen usb ou num CD e, em seguida, pode executá-la no computador que tem o problema.

Problemas conhecidos com esta atualização de segurança

Depois de instalar esta atualização de segurança, poderá deparar-se com uma falha de autenticação ou perda de conectividade a alguns servidores HTTPS. Este problema ocorre porque esta atualização de segurança altera a forma como os registos são enviados para servidores HTTPS.

Para desativar ou reativar temporariamente esta atualização de segurança, clique no botão Corrigir ou na ligação abaixo do cabeçalho Desativar a atualização de segurança ou Reativar a atualização de segurança . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos no assistente Corrigir.

Desativar a atualização de segurança Reativar a atualização de segurança

Notas

  • Estes assistentes podem estar apenas em inglês. No entanto, as correções automáticas também funcionam para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, pode guardar a correção automática numa pen usb ou num CD e, em seguida, pode executá-la no computador que tem o problema.

A tabela seguinte mostra os valores que são aplicados por estas soluções Fix it para a entrada DWORD do registo SendExtraRecord:

Cabeçalho Valor aplicado à entrada SendExtraRecord
Desativar a atualização de segurança 2
Reativar a atualização de segurança 0

Nota A definição SendExtraRecord será incluída em versões futuras do Windows.

Problemas conhecidos e informações adicionais sobre esta atualização de segurança

Os artigos seguintes contêm informações adicionais sobre esta atualização de segurança, uma vez que estão relacionados com versões de produto individuais. Os artigos podem conter informações de problemas conhecidas. Se for este o caso, o problema conhecido está listado abaixo de cada ligação de artigo:

  • 2585542 MS12-006: Descrição da atualização de segurança para Webio, Winhttp e schannel no Windows: 10 de janeiro de 2012
  • 2638806 MS12-006: Descrição da atualização de segurança para Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012

Informações de registo

Não recomendado Não recomendamos que utilize o seguinte procedimento para desativar esta atualização de segurança. No entanto, fornecemos este procedimento para cenários em que pode estar a utilizar aplicações incompatíveis com esta atualização de segurança, que permite dividir registos SSL para todas as aplicações.

Importante Esta secção, método ou tarefa contém passos que lhe indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorretamente. Por essa razão, certifique-se de que segue estes passos cuidadosamente. Como forma de proteção adicional, crie uma cópia de segurança do registo antes de o modificar. Assim, se ocorrer algum problema pode restaurar o registo. Para obter mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como criar cópias de segurança e restaurar o registo no Windows

Por predefinição, esta atualização de segurança define o modo Opt-in ao nível do schannel, devido a problemas de compatibilidade da aplicação. Para desativar esta atualização de segurança para todas as aplicações em todo o sistema, tem de adicionar um valor DWORD denominado SendExtraRecord e que tenha um valor de 2 à seguinte subchave de registo:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELPara adicionar esta entrada de registo de registo schannel, siga estes passos:

  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e, em seguida, clique em OK.

  2. Localize e, em seguida, clique na seguinte subchave no registo:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. No menu Editar, aponte para Novo e, em seguida, clique em Valor DWORD.

  4. Escreva SendExtraRecord para o nome do valor DWORD e, em seguida, prima Enter.

  5. Clique com o botão direito do rato em SendExtraRecord e, em seguida, clique em Modificar.

  6. Na caixa Dados do valor , escreva 2 para desativar o registo dividido no schannel e, em seguida, clique em OK.

  7. Feche o Editor de Registo.

Esta entrada de registo pode ter três valores e cada valor fornece diferentes modos de operação:

Valor da chave de registo Descrição
0 Por predefinição, o schannel está incluído no "Modo optin". Isto significa que esta atualização de segurança funcionará para todos os autores de chamadas que enviam o sinalizador Seguro para o schannel. A entrada de registo schannel "SendExtraRecord" não será criada pelo pacote de segurança. Portanto, nenhuma entrada de registo schannel significa que o sistema está a executar este modo. Se alguém criar esta chave de registo e definir o valor como 0, o schannel será novamente executado neste modo.

Esta definição tem o mesmo efeito que não criar esta entrada de registo. As aplicações que enviam um sinalizador Seguro para schannel durante a inicialização da sessão só irão exercer o caminho de código seguro fixo. Para outras aplicações, não haverá alterações no comportamento do schannel.

Esta atualização de segurança também corrige as camadas de aplicação que estão envolvidas na navegação na Web através do Internet Explorer para enviar o sinalizador Seguro, de modo a ajudar a proteger os cenários de utilização do browser.

Nota No Windows Server 2003, a atualização de segurança 2638806 tem de ser instalada para ajudar a proteger as aplicações cliente HTTP que utilizam APIs WinHTTP. Para obter mais informações, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:
2638806 MS12-006: Descrição da atualização de segurança para Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012
1 Definir o valor como 1 significa "ativado para todos". Isto significa que os chamadores não têm de enviar o sinalizador e o schannel irá dividir todos os registos SSL. Com este conjunto de valores, as aplicações não têm de efetuar qualquer alteração. Um cliente muito preocupado com a segurança do sistema pode ajudar a tornar o sistema mais seguro ao ativar esta chave de registo.
2 Definir o valor como 2 significa "desativado para todos". Isto significa que o schannel não dividirá os registos de qualquer chamada de encriptação efetuada pela aplicação. Este modo não honra o sinalizador Seguro que uma aplicação envia.

Com base nos testes internos, descobrimos que não é possível definir o valor do registo como 1 porque pode interromper demasiados cenários numa empresa. Por conseguinte, desencorajamos os utilizadores de o utilizarem.

Problemas conhecidos com a ativação da entrada de registo SendExtraRecord

  • Definir o valor do registo SendExtraRecord como 1 impõe a divisão de registos em cada chamada para encriptar dados no schannel. Isto ocorre independentemente de o autor da chamada ter enviado o sinalizador Seguro durante a inicialização da sessão.
  • Muitas aplicações que utilizam schannel são escritas para que o lado do recetor assuma que os dados da aplicação serão embalados num único pacote. Isto ocorre mesmo que a aplicação chame schannel para desencriptação. As aplicações ignoram um sinalizador definido pelo schannel. O sinalizador indica à aplicação que existem mais dados a serem desencriptados e recolhidos pelo recetor. Este método não segue o método de utilização de schannel prescrito pelo MSDN. Uma vez que a atualização de segurança impõe a divisão de registos, esta ação interrompe essas aplicações.
  • As aplicações quebradas incluem produtos Microsoft e componentes in-box. Seguem-se exemplos de cenários que podem ser quebrados quando o valor do registo SendExtraRecord está definido como 1:
    • Todos os produtos SQL e aplicações incorporados no SQL.
    • Servidores de Terminais que têm a Autenticação ao Nível da Rede (NLA) ativada. Por predefinição, o NLA está ativado no Windows Vista e versões posteriores do Windows.
    • Alguns cenários do Serviço de Acesso Remoto (RRAS) de Encaminhamento.

Definir o valor do registo SendExtraRecord como 1 impõe a divisão de registos segura para todas as aplicações que utilizam o TLS/SSL do Windows. No entanto, é provável que esta definição tenha problemas de compatibilidade de aplicações. Por conseguinte, recomendamos que os clientes configurem o TLS 1.1 e o TLS 1.2 em vez de utilizarem esta definição de registo. O TLS 1.1 e o TLS 1.2 não estão vulneráveis a este problema.

Se um utilizador pretender utilizar esta definição de registo, recomendamos que teste extensivamente os testes de compatibilidade de aplicações antes de o implementar. Alguns produtos comuns que são conhecidos por serem afetados por esta definição incluem produtos microsoft SQL, Terminal do Windows Server e Servidor de Acesso Remoto do Windows.

FAQ

P: O que pode a Microsoft fazer para me ajudar a corrigir a minha aplicação do lado do servidor?
R: Certifique-se de que a sua aplicação consegue processar a Fragmentação de registos de aplicações SSL/TLS, conforme descrito nas seguintes RFCs: