MS14-066: Vulnerabilidade no SChannel podem permitir execução remota de código 11 de novembro de 2014

INTRODUÇÃO

A atualização que este artigo descreve foi substituída por uma atualização mais nova em 9 de dezembro de 2014. Recomendamos que você instale a atualização de segurança mais atual para o Windows. Para instalar a atualização de segurança mais recente, visite o seguinte site da Microsoft: Para saber mais sobre o boletim de segurança MS14-066:

Como obter ajuda e suporte para esta atualização de segurança

Ajude a instalar atualizações:
Suporte para Microsoft Update

Soluções de segurança para profissionais de TI:
Solução de problemas e suporte de segurança TechNet

Ajude a proteger seu computador baseado em Windows contra vírus e malware:
Central de segurança e solução contra vírus

Suporte local de acordo com seu país:
Suporte internacional

Mais Informações

Em 9 de dezembro de 2014, a Microsoft relançou o MS14-066 para abordar totalmente o CVE-2014-6321 sobre problemas com a Atualização de Segurança 2992611. Os clientes executando o Windows Vista ou Windows Server 2008 que instalaram a atualização 2992611 antes do relançamento em 9 de dezembro devem reaplicar a atualização.

Problemas conhecidos nesta atualização de segurança

Importante Esta seção, método ou tarefa contém etapas que instruem sobre como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga estas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, vá para o seguinte artigo na Base de Dados de Conhecimento Microsoft:

  • Problema conhecido 1

    Depois que você instalar essa atualização de segurança (ou atualização 3000850), os usuários de domínio que fizerem logon em computadores clientes do Windows 8.1 terão os seguintes problemas:



    • Quando você tentar adicionar uma nova conta no Windows Live Mail 2012, a nova conta não é criada e você recebe uma mensagem de erro semelhante à seguinte:



      erro 0x80090345
    • Você não pode salvar as senhas quando usa a conexão de área de trabalho remota (RDP). Quando o problema ocorre, você não recebe uma mensagem de erro.
    • Você recebe uma mensagem de erro semelhante à seguinte quando abre o Gerenciador de Credenciais:



      erro 0x80090345
    • O Windows Explorer pode travar (congelar) quando você criptografar um arquivo. Quando o problema ocorre, entradas de log semelhantes às seguintes aparecem em um rastreamento do analisador de desempenho do Windows (WPA):



      Explorer levando ~ 664 segundos para criptografar um arquivo. TID #3376.
      Isso está sendo atendido por LSASS TID #1488.
      LSASS TID #3848 está executando a chamada sspCryptUnprotectData, que resulta em GetMasterKey.
      GetMasterKey está demorando ~ 664 segundos (TimesinceLast). LSASS TID 3848. Gastamos todo o tempo esperando LSASS TID 576 que está realizando pings DCLocator para encontrar um DC.
      Atraso/congelamento de criptografia de arquivo também é contabilizado pela mesma alteração de código em que o backup é necessário.
    Para resolver esse problema, adicione um valor DWORD chamado ProtectionPolicy que tenha valor de 1 para a subchave do Registro a seguir:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    Quando você fizer isso, ativará o backup local de MasterKey em vez de exigir um RWDC.

    Para fazer isso, siga estas etapas: 



    1. Clique em Iniciar, Executar, digite regedit na caixa Abrir e clique em OK.
    2. Localize e clique na seguinte subchave do Registro:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    3. No menu Editar, aponte para Novo e clique em Valor DWORD.
    4. Digite ProtectionPolicy para o nome de DWORD e pressione Enter.
    5. Clique com o botão direito do rato em ProtectionPolicy e clique em Modificar.
    6. Na caixa Dados do valor, escreva 1 e clique em OK.
    7. Saia do Editor do Registro e reinicie o computador. 
  • Problema conhecido 2

    Alguns clientes comunicaram um problema relacionado à adição dos seguintes novos pacotes de criptografia ao Windows Server 2008 R2 e Windows Server 2012:
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    TLS_RSA_WITH_AES_256_GCM_SHA384
    TLS_RSA_WITH_AES_128_GCM_SHA256
    Para dar aos clientes mais controle sobre se esses pacotes de criptografia são usados a curto prazo, estamos removendo eles da lista de prioridades do pacote de criptografia padrão no Registro. Os clientes que personalizaram sua lista de prioridade do pacote de criptografia devem analisar sua lista depois de aplicarem esta atualização para verificar se a sequência atende suas expectativas.

    Remover esses pacotes de criptografia não afeta as atualizações de segurança que fazem parte dessa versão. Em 18 de novembro de 2014, um novo pacote secundário foi adicionado à versão para o Windows Server 2008 R2 e Windows Server 2012 para obter isso. Esse novo pacote é a atualização 3018238.


    Observação para o Windows Update, Windows Server Update Services (WSUS) e Microsoft Catalog

    A atualização 3018238 é instalada de forma automática e transparente junto com a atualização de segurança 2992611. A atualização 3018238 aparecerá separadamente na lista de atualizações instaladas quando é exibida no item Adicionar ou Remover Programas no Painel de Controle. Se você já tem a atualização de segurança 2992611 instalada, observaremos que a atualização de segurança 2992611 será oferecida novamente (somente para o Windows Server 2008 R2 ou Windows Server 2012) pelo Windows Update ou pelo WSUS para assegurar que a atualização 3018238 também esteja instalada. Instalar os dois pacotes juntos exigirá apenas uma única reinicialização.

    Observação para os clientes do Centro de Download

    Se você baixou e instalou esta atualização de segurança do Centro de Download da Microsoft para o Windows Server 2008 R2 ou Windows Server 2012, recomendamos que você reinstale a atualização de segurança do Centro de Download. Quando você clica no botão Download, será solicitado a selecionar as atualizações 2992611 e 3018238. Por exemplo, as opções de seleção serão semelhante as seguintes:

    Para os computadores baseados no Windows 2008 R2 ou Windows Server 2012 que tem a atualização 2992611 instalada, marque a caixa de seleção somente para 3018238 e clique em Próximo para instalar a atualização. Essa atualização exigirá uma reinicialização.


    Para os computadores baseados no Windows 2008 R2 ou Windows Server 2012 que não tem a atualização 2992611 instalada, marque ambas as caixas de seleção 2992611 e 3018238. Para aplicar ambas as atualizações em uma única reinicialização, instale a 3018238, ignore o requisito de reinicialização e instale a 2992611. 

    Observação Os pacotes de criptografia que foram removidos pela atualização 3018238 podem ser adicionados novamente à lista de prioridades padrão em uma versão futura após a comunidade ter tido uma oportunidade de verificar a execução correta em todos os cenários de cliente.


    Uma nota sobre a atualização de segurança 3011780 para Kerberos

    A atualização de segurança 3011780 (uma correção da atualização de segurança para Kerberos que foi lançada em 18 de novembro de 2014 e está descrita no boletim MS14-068) pode ser instalada junto com as atualizações 3018238 e 2992611 ao mesmo tempo usando qualquer um dos métodos de distribuição que foram descrito anteriormente. Quando você usa este método, uma única reinicialização é necessária.
  • Problema conhecido 3

    Computadores do Windows 8.1 ingressados em domínio exigem acesso RWDC quando fazem backup da chave mestra DPAPI.

    Sintoma

    Computadores do Windows 8.1 ingressados em domínio exigem acesso a um controlador de domínio de leitura/gravação (RWDC) quando fazem backup da chave mestra da API de proteção de dados do Windows (DPAPI) depois que você instala a atualização 2992611 ou 3000850. Um computador baseado no Windows 8.1 localizado em sites cobertos por um controlador de domínio somente leitura (RODC) sofrem erros ao fazer backup da chave mestra DPAPI depois da instalação dessas atualizações.

    Depois que você instala a atualização de segurança 2992611 ou a atualização de segurança 3000850, os erros e operações que pode encontrar incluem sem limitação o seguinte:

    • Quando você tentar adicionar uma nova conta no Windows Live Mail 2012, a nova conta não é criada e você recebe uma mensagem de erro semelhante à seguinte:

      erro 0x80090345
    • Você não pode salvar as senhas quando usa a conexão de área de trabalho remota (RDP). Quando esse problema ocorre, você não recebe uma mensagem de erro.
    • Você recebe uma mensagem de erro semelhante à seguinte quando abre o Gerenciador de Credenciais:

      erro 0x80090345
    • O Windows Explorer congela quando você criptografa um arquivo. Quando o problema ocorre, entradas de log semelhantes às seguintes aparecem em um rastreamento do analisador de desempenho do Windows (WPA):

      Explorer levando ~ 664 segundos para criptografar um arquivo. TID #3376. 
      Isso está sendo atendido por LSASS TID #1488.
      LSASS TID #3848 está executando a chamada sspCryptUnprotectData, que resulta em GetMasterKey.
      GetMasterKey está demorando ~ 664 segundos (TimesinceLast). LSASS TID 3848. Gastamos todo o tempo
      esperando LSASS TID 576 que está executando o ping DCLocator para localizar um controlador de domínio.
      Atraso/congelamento de criptografia de arquivo também é contabilizado pela mesma alteração de código em que o backup é necessário.

    Geralmente, RODCs são implantados em sites que não são tão confiáveis como aqueles que contêm RWDCs, como aqueles em que a separação de função de administrador é exigida. Portanto, faz sentido que RODCs não armazenem a chave pública ou privada localmente.

    Solução alternativa

    Importante Siga as etapas nesta seção com cuidado. Sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Antes de modificá-lo, faça o backup do Registro para a restauração no caso de ocorrer problemas.

    Certifique-se de que computadores do Windows 8.1 ingressados em domínio que instalam as atualizações em questão estejam localizados em sites cobertos por RODC com acesso à rede para um controlador de domínio gravável. Como solução alternativa, os computadores do Windows 8.1 afetados podem definir a seguinte chave do registro para habilitar o backup local da chave mestra:

    Registry Path: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
    Configuração:ProtectionPolicy
    Tipo:DWORD
    Valor:1
Implantação da atualização de segurança

INFORMAÇÕES SOBRE O ARQUIVO

A versão em inglês (Estados Unidos) desta atualização de software instala arquivos que têm os atributos listados nas seguintes tabelas. As datas e horas desses arquivos estão listadas em formato UTC (Hora Universal Coordenada). As datas e horas desses arquivos em seu computador local são exibidos em sua hora local com a diferença do horário de verão atual. Além disso, as datas e horas também podem ser alteradas quando você realizar algumas operações nos arquivos.

Informações sobre o arquivo do Windows Server 2003
Informações sobre o arquivo do Windows Vista e Windows Server 2008
Informações de arquivo do Windows 7 e Windows Server 2008 R2
Informações de arquivo do Windows 8 e Windows Server 2012
Informações de arquivo do Windows 8.1 e Windows Server 2012 R2
Informações de hash de arquivo
Propriedades

ID do Artigo: 2992611 - Última Revisão: 22 de out de 2015 - Revisão: 1

Comentários