MS12-006: A vulnerabilidade no SSL/TLS pode permitir a divulgação de informações: 10 de janeiro de 2012

INTRODUÇÃO

A Microsoft lançou o boletim de segurança MS12-006. Para ver o boletim de segurança completo, aceda a um dos seguintes sites da Microsoft:

Como obter ajuda e suporte para esta atualização de segurança

Ajude ao instalar atualizações:
Suporte para o Microsoft Update

Soluções de segurança para os profissionais de TI:
Suporte e Solução de Problemas de Segurança do TechNet

Ajude a proteger contra vírus e malware seu computador que executa o Windows:
Central de Segurança e Solução contra Vírus

Suporte local de acordo com seu país:
Suporte Internacional

Correções Fix It

Estão disponíveis duas soluções de Correção.

  • Correção da solução para Transport Layer Security (TLS) 1.1 na Internet Explorer: esta solução ativa o TLS 1.1, que não é afetado por esta vulnerabilidade, na Internet do Windows Explorer. A maioria dos utilizadores típicos deve instalar esta solução Corrigir.
  • Solução para corrigir o TLS 1.1 em servidores baseados no Windows: esta solução ativa o TLS 1.1, que não é afetado pela vulnerabilidade.

As soluções Corrigir que estão descritas nesta secção não se destinam a substituições para qualquer atualização de segurança. Recomendamos que instale sempre as atualizações de segurança mais recentes. No entanto, oferecemos estas soluções Corrigir como opções de solução para alguns cenários. 

Para obter mais informações sobre as soluções, consulte o boletim de segurança MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 O boletim fornece mais informações sobre o problema e inclui o seguinte:

  • Os cenários em que pode aplicar ou desativar a solução
  • Fatores de mitigação
  • Soluções alternativas
  • Perguntas frequentes

Especificamente, para ver estas informações, procure a secção Informações de Vulnerabilidade e, em seguida, expanda o parágrafo Soluções no parágrafo SSL e Protocolos TLS – CVE-2011-3389.

Corrigir a solução para o TLS 1.1 na Internet Explorer

Para ativar ou desativar esta solução Corrigir, clique no botão Ou ligação Corrigir , sob o cabeçalho Ativar ou Desativar . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos no Assistente para Corrigir.

Enable Desabilitar

Anotações

  • Estes assistentes podem estar apenas em inglês. No entanto, as correções automáticas também funcionam para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, pode guardar a correção automática numa pen usb ou num CD e, em seguida, pode executá-la no computador que tem o problema.

Solução para corrigir o TLS 1.1 em servidores baseados em Windows

Para ativar ou desativar esta solução Corrigir, clique no botão Ou ligação Corrigir , sob o cabeçalho Ativar ou Desativar . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos no Assistente para Corrigir.

Enable Desabilitar

Anotações

  • Estes assistentes podem estar apenas em inglês. No entanto, as correções automáticas também funcionam para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, pode guardar a correção automática numa pen usb ou num CD e, em seguida, pode executá-la no computador que tem o problema.

Problemas conhecidos com esta atualização de segurança

Depois de instalar esta atualização de segurança, poderá deparar-se com uma falha de autenticação ou perda de conectividade a alguns servidores HTTPS. Este problema ocorre porque esta atualização de segurança altera a forma como os registos são enviados para servidores HTTPS.

Para desativar ou reativar temporariamente esta atualização de segurança, clique no botão Corrigir ou na ligação abaixo do cabeçalho Desativar a atualização de segurança ou Reativar a atualização de segurança . Clique em Executar na caixa de diálogo Transferência de Ficheiros e, em seguida, siga os passos no assistente Corrigir.

Desativar a atualização de segurança Reativar a atualização de segurança

Anotações

  • Estes assistentes podem estar apenas em inglês. No entanto, as correções automáticas também funcionam para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, pode guardar a correção automática numa pen usb ou num CD e, em seguida, pode executá-la no computador que tem o problema.

A tabela seguinte mostra os valores que são aplicados por estas soluções Fix it para a entrada DWORD do registo SendExtraRecord:

Cabeçalho Valor aplicado à entrada SendExtraRecord
Desativar a atualização de segurança 2
Reativar a atualização de segurança 0

Nota A definição SendExtraRecord será incluída em versões futuras do Windows.

Problemas conhecidos e informações adicionais sobre esta atualização de segurança

Os artigos a seguir contêm informações adicionais sobre esta atualização de segurança em relação a versões de produtos individuais. Os artigos podem conter informações sobre problemas conhecidos. Se for este o caso, o problema conhecido está listado abaixo de cada ligação de artigo:

  • 2585542 MS12-006: Descrição da atualização de segurança para Webio, Winhttp e schannel no Windows: 10 de janeiro de 2012
  • 2638806 MS12-006: Descrição da atualização de segurança para Winhttp no Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012

Informações do Registro

Não recomendado Não recomendamos que utilize o seguinte procedimento para desativar esta atualização de segurança. No entanto, fornecemos este procedimento para cenários em que pode estar a utilizar aplicações incompatíveis com esta atualização de segurança, que permite dividir registos SSL para todas as aplicações.

Importante Esta seção, seção ou tarefa contém etapas que informam como modificar o Registro. No entanto, podem ocorrer problemas graves se você modificar o registro incorretamente. Portanto, fique atento e siga estas etapas com atenção. Para se proteger ainda mais, faça o backup do registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer o backup e a restauração do Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer o backup e a restauração do Registro no Windows

Por predefinição, esta atualização de segurança define o modo Opt-in ao nível do schannel, devido a problemas de compatibilidade da aplicação. Para desativar esta atualização de segurança para todas as aplicações em todo o sistema, tem de adicionar um valor DWORD denominado SendExtraRecord e que tenha um valor de 2 à seguinte subchave de registo:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELPara adicionar esta entrada de registo de registo schannel, siga estes passos:

  1. Clique em Iniciar e em Executar, digite regedit na caixa Abrir e clique em OK.

  2. Localize e clique na seguinte subchave do Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. No menu Editar, aponte para Novo e clique em Valor DWORD.

  4. Escreva SendExtraRecord para o nome do valor DWORD e, em seguida, prima Enter.

  5. Clique com o botão direito do rato em SendExtraRecord e, em seguida, clique em Modificar.

  6. Na caixa Dados do valor , escreva 2 para desativar o registo dividido no schannel e, em seguida, clique em OK.

  7. Saia do Editor de Registros.

Esta entrada de registo pode ter três valores e cada valor fornece diferentes modos de operação:

Valor reg-key Descrição
0 Por padrão, o schannel é incluído no "Modo Optin". Isso significa que essa atualização de segurança funcionará para todos os chamadores que enviam o sinalizador Secure para o schannel. A entrada do registro de schannel "SendExtraRecord" não será criada pelo pacote de segurança. Portanto, nenhuma entrada de registro de schannel significa que o sistema está executando esse modo. Se alguém criar essa chave de registro e definir o valor como 0, o schannel será executado novamente neste modo.

Essa configuração tem o mesmo efeito que não criar essa entrada de registro. Os aplicativos que enviam um sinalizador seguro para o schannel durante a inicialização da sessão só exercerão o caminho de código seguro fixo. Para outros aplicativos, não haverá alteração no comportamento do schannel.

Essa atualização de segurança também corrige as camadas de aplicativo envolvidas na navegação na Web usando a Internet Explorer para enviar o sinalizador Secure, a fim de ajudar a proteger os cenários de uso do navegador.

Observação No Windows Server 2003, a 2638806 de atualização de segurança deve ser instalada para ajudar a proteger aplicativos cliente HTTP que usam APIs WinHTTP. Para obter mais informações, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft:
2638806 MS12-006: Descrição da atualização de segurança para Winhttp em Windows Server 2003 e Windows XP Professional x64 Edition: 10 de janeiro de 2012
1 Definir o valor como 1 significa "habilitado para todos". Isso significa que os chamadores não precisam enviar o sinalizador e o schannel dividirá todos os registros SSL. Com esse conjunto de valores, os aplicativos não precisam fazer nenhuma alteração. Um cliente que está muito preocupado com a segurança do sistema pode ajudar a tornar seu sistema mais seguro ao habilitar essa chave de registro.
2 Definir o valor como 2 significa "desabilitado para todos". Isso significa que o schannel não dividirá os registros de qualquer chamada de criptografia que o aplicativo faz. Esse modo não honra o sinalizador Secure que um aplicativo envia.

Com base em testes internos, descobrimos que você não pode definir o valor do registro como 1 porque ele pode quebrar muitos cenários em uma empresa. Portanto, desencorajamos os usuários a usá-lo.

Problemas conhecidos com a habilitação da entrada do registro SendExtraRecord

  • Definir o valor do registro SendExtraRecord como 1 impõe a divisão de registros em cada chamada para criptografar dados no schannel. Isso ocorre independentemente de o chamador ter enviado o sinalizador Secure durante a inicialização da sessão.
  • Muitos aplicativos que usam schannel são gravados para que o lado do receptor assuma que os dados do aplicativo serão empacotados em um único pacote. Isso ocorre mesmo que o aplicativo chame schannel para descriptografia. Os aplicativos ignoram um sinalizador definido pelo schannel. O sinalizador indica ao aplicativo que há mais dados a serem descriptografados e recolhidos pelo receptor. Esse método não segue o método prescrito pelo MSDN de usar o schannel. Como a atualização de segurança impõe a divisão de registros, isso quebra esses aplicativos.
  • Aplicativos quebrados incluem produtos da Microsoft e componentes in-box. Veja a seguir exemplos de cenários que podem ser quebrados quando o valor do registro SendExtraRecord é definido como 1:
    • Todos os produtos SQL e aplicativos que são criados no SQL.
    • Servidores de terminal que têm a NLA (Autenticação de Nível de Rede) ativada. Por padrão, o NLA está habilitado no Windows Vista e em versões posteriores do Windows.
    • Alguns cenários do RRAS (Serviço de Acesso Remoto) de Roteamento.

Definir o valor do registro SendExtraRecord como 1 impõe a divisão de registros segura para todos os aplicativos que usam o Windows TLS/SSL. No entanto, essa configuração provavelmente terá problemas de compatibilidade do aplicativo. Portanto, recomendamos que os clientes configurem o TLS 1.1 e o TLS 1.2 em vez de usar essa configuração de registro. O TLS 1.1 e o TLS 1.2 não estão vulneráveis a esse problema.

Se um usuário pretende usar essa configuração de registro, recomendamos que ele teste extensivamente o teste de compatibilidade do aplicativo antes de implementá-lo. Alguns produtos comuns que são conhecidos por serem afetados por essa configuração incluem produtos MICROSOFT SQL, Terminal do Windows Server e Windows Remote Access Server.

Perguntas Frequentes

P: O que a Microsoft pode fazer para me ajudar a corrigir meu aplicativo do lado do servidor?
R: Verifique se seu aplicativo pode lidar com a Fragmentação de registros de aplicativo SSL/TLS, conforme descrito nos seguintes RFCs: