Resumo
Existe uma vulnerabilidade de segurança em certos chipsets do Trusted Platform Module (TPM). A vulnerabilidade reduz a força da chave.
Para saber mais sobre esta vulnerabilidade, acesse ADV170012.
Informações adicionais
Visão Geral
As seções a seguir ajudarão a identificar, mitigar e remediar solicitações e certificados emitidos pelos Serviços de Certificados do Active Directory (AD CS) que são afetados pela vulnerabilidade identificada no Comunicado de Segurança da Microsoft ADV170012.
O processo de mitigação concentra-se em identificar os certificados emitidos que são afetados pela vulnerabilidade e também se concentra em revogá-los.
Os certificados x.509 são emitidos na sua empresa com base em um modelo que especifica o KSP TPM?
Se a sua empresa usa o KSP do TPM, é provável que os cenários em que esses certificados estão sendo usados sejam suscetíveis à vulnerabilidade identificada no comunicado de segurança.
Mitigação
-
Até que uma atualização de firmware esteja disponível para seu dispositivo, atualize os modelos de certificados que estão configurados para usar o KSP do TPM para usar um KSP baseado em software. Isso evitará a criação de futuros certificados que usem o KSP do TPM e que, portanto, são vulneráveis. Para obter mais informações, consulte Atualização de firmware mais adiante neste artigo.
-
Para certificados ou solicitações já criados:
-
Use o script incluído para listar todos os certificados emitidos que possam ser vulneráveis.
-
Revogue esses certificados transmitindo a lista de números de série que você obteve na etapa anterior.
-
Aplique a inscrição de novos certificados com base na configuração do modelo que agora especifica o KSP de software.
-
Execute novamente todos os cenários usando os novos certificados sempre que possível.
-
-
Use o script incluído para listar todos os certificados solicitados que possam ser vulneráveis:
-
Rejeite todas essas solicitações de certificado.
-
-
Use o script incluído para listar todos os certificados expirados. Certifique-se de que estes não sejam certificados criptografados ainda usados para descriptografar dados. Os certificados expirados são criptografados?
-
Em caso positivo, certifique-se de que os dados sejam descriptografados e, em seguida, criptografados usando uma nova chave que se baseia em um certificado criado usando o KSP de software.
-
Em caso negativo, você poderá ignorar com segurança os certificados.
-
-
Certifique-se de que haja um processo que proíba que esses certificados revogados sejam acidentalmente não revogados pelo administrador.
-
Certifique-se de que novos certificados KDC atendam às melhores práticas atuais
Risco: Muitos outros servidores podem atender aos critérios de verificação de Controlador de Domínio e Autenticação de Controlador de Domínio. Isso pode introduzir vetores de ataque KDC invasores bem conhecidos.
Correção
Todos os controladores de domínio devem receber certificados que tenham o KDC EKU, conforme especificado na [RFC 4556] Seção 3.2.4. Para o AD CS, use o modelo de autenticação Kerberos e configure-o para substituir quaisquer outros certificados KDC que foram emitidos.
Para obter mais informações, o [RFC 4556], Apêndice C, explica o histórico dos vários modelos de certificados KDC no Windows.
Quando todos os Controladores de Domínio possuem certificados KDC compatíveis com RFC, o Windows pode se proteger ao Habilitar a validação KDC estrita no Windows Kerberos.
Observação Por padrão, serão necessários recursos de chave pública Kerberos mais recentes.
Certificar-se de que os certificados revogados falhem no respectivo cenário
O AD CS é usado para vários cenários em uma organização. Ele pode ser usado para Wi-Fi, VPN, KDC, System Center Configuration Manager e assim por diante.
Identifique todos os cenários da sua organização. Certifique-se de que esses cenários falharão se tiverem os certificados revogados ou que você tenha substituído todos os certificados revogados por certificados baseados em softwares válidos e que os cenários sejam bem-sucedidos.
Se você estiver usando o OCSP ou o CRLS, eles serão atualizados assim que expirarem. No entanto, você normalmente deseja atualizar os CRLs em cache em todos os computadores. Se o seu OCSP se basear em CRLs, certifique-se de que ele obtenha os CRLs mais recentes imediatamente.
Para garantir que os caches sejam excluídos, execute os seguintes comandos em todos os computadores afetados:
certutil -urlcache * delete
certutil –setreg chain\ChainCacheResyncFiletime @now
Atualização de firmware
Instale a atualização lançada pelo OEM para corrigir a vulnerabilidade no TPM. Depois que o sistema for atualizado, você poderá atualizar os modelos de certificado para usar o KSP baseado no TPM.