Atualizações de segurança do Windows opcionais vão restringir o uso de certificados digitais baseados em MD5 e melhorar a autenticação em nível de rede Remote Desktop Protocol.
MD5 (Message-Digest algorithm 5) é um algoritmo de hash de 128 bits unidirecional desenvolvido pela RSA Data Security
Remote Desktop Protocol (RDP) é um protocolo multi-canal que permite ao usuário se conectar a um computador rodando o Microsoft Terminal Services.
A medida visa melhorar segurança da autenticação em nível de rede para o Remote Desktop Protocol.
Leia tradução livre de um trecho da reportagem Computerworld
Microsoft moves to block MD5 certificates and improve RDP authentication
Windows optional security updates restrict use of MD5-based certificates and improve Remote Desktop Protocol network-level authentication
By Lucian Constantin
August 14, 2013 07:22 AM ET
Essas duas alterações serão feitas em patches (procedimento para atualizar ou corrigir um software) independentes para: Internet Explorer, Windows e Microsoft Exchange Server.
A primeira atualização foi conhecido como KB2862973, Eram certificados com assinaturas MD5 assinados por Autoridades Certificadoras com o certificado raiz reconhecido pela Microsoft usados para autenticação do servidor, assinatura de código e carimbo do tempo etc.
A função hash de criptografia MD5 tem sido considerado inseguro para uso em certificados SSL e assinaturas digitais. Em 2008, uma equipe de pesquisadores demonstraram um ataque prático que envolveu a fragilidades do MD5 ao gerar um certificado digital de Autoridades Certificadoras com procedimentos duvidosos, mas na cadeia de confiança de todos os navegadores .
Após o ataque, as Autoridades Certificadoras aceleraram a eliminação progressiva dos certificados baseados em MD5 e esses certificados não estão mais sendo divulgado hoje. No entanto, alguns certificados MD5 antigos que ainda têm a expirar ainda pode estar em uso e também há programas de anos de idade, que foram assinados digitalmente com tais certificados inseguras.
“O uso do algoritmo de hash MD5 em certificados poderia permitir que um invasor falsificar conteúdos, realizar ataques de phishing ou executar ataques man-in-the-middle”, disse a Microsoft em um comunicado de segurança que acompanha a atualização KB2862973.
Por enquanto, a atualização foi disponibilizada como opcional Downloadable Content (DLC) para as edições suportadas do Windows Vista, Windows Server 2008, Windows 7 , Windows Server 2008 R2, Windows 8 , Windows Server 2012, e Windows RT, mas há planos para começar a empurrar a atualização através do mecanismo de atualização do Windows em 11 de fevereiro de 2014.
“Recomendamos que os clientes baixar e testar a atualização em seu ambiente, na primeira oportunidade”, William Peteroy, gerente do programa de segurança do Microsoft Security Response Center, disse em um post no blog. “Isto será especialmente útil para ambientes que possuem pouco ou nenhum inventário do seu criptográfico e dependências de certificado.”
Há algumas exceções para a restrição introduzida por esta atualização. Por exemplo, a Microsoft ainda permitirá que arquivos binários que foram assinados antes de Março de 2009, com certificados baseados em MD5 para trabalhar.
A empresa também vai permitir carimbar certificados da VeriSign CA (agora propriedade da Symantec) bem como todos os códigos de certificados de assinatura que cadeia até um certificado específico da Microsoft e um da GeoTrust, também uma subsidiária da Symantec.
Estas excepções estão explicadas com mais pormenor num artigo de suporte para KB2862973 .
A segunda atualização opcional divulgado terça-feira é conhecida como KB2861855 e melhora o método Network Level Authentication (NLA) no Remote Desktop Protocol (RDP).
NLA requer que os usuários RDP para ser autenticado em um servidor RDP antes de uma conexão remota é estabelecida a tela de logon aparece.
A atualização KB2861855 acrescenta múltiplas camadas de defesa – conhecido como medidas de defesa em profundidade – a tecnologia NLA, a fim de impedir que invasores comprometam sua segurança, disse a Microsoft em um comunicado de segurança .
Esta atualização RDP é disponível para download a partir do Microsoft Download Center e Microsoft Update Catalog para todas as edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.
Fonte: http://www.computerworld.com
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.