2915720 de aviso de seguridad de Microsoft

Cambios en la comprobación de firma de Windows Authenticode

Publicado: 10 de diciembre de 2013 | Actualizado: 29 de julio de 2014

Versión: 1.4

Información general

Resumen ejecutivo

Microsoft anuncia la disponibilidad de una actualización para todas las versiones admitidas de Microsoft Windows para cambiar cómo se comprueban las firmas de los archivos binarios firmados con el formato de firma De Windows Authenticode. El cambio se incluye con el boletín de seguridad MS13-098, pero solo se habilitará de forma opcional. Cuando se habilita, el nuevo comportamiento para la comprobación de firmas de Windows Authenticode ya no permitirá información extraña en la estructura de WIN_CERTIFICATE y Windows ya no reconocerá archivos binarios no compatibles como firmados. Tenga en cuenta que Microsoft puede hacer que este comportamiento sea predeterminado en una versión futura de Microsoft Windows.

Recomendación. Microsoft recomienda que los autores ejecutables consideren la posibilidad de ajustar todos los archivos binarios firmados al nuevo estándar de comprobación asegurándose de que no contienen información extraña en la estructura de WIN_CERTIFICATE. Microsoft también recomienda que los clientes prueben correctamente este cambio para evaluar cómo se comportará en sus entornos. Consulte la sección Acciones sugeridas de este aviso para obtener más información.

Detalles de asesoramiento

Referencias a problemas

Para obtener más información sobre este problema, consulte las referencias siguientes:

Referencias Identificación
Boletín de seguridad MS13-098 
Información general Introducción a la firma de \ código WinVerifyTrust función \ Authenticode Portable Executable Signature Format
Información específica Programa de certificados raíz de Windows: requisitos técnicos

Preguntas más frecuentes sobre asesoramiento

¿Cuál es el ámbito del aviso? 
El propósito de este aviso es informar a los clientes de un cambio opcional sobre cómo Microsoft Windows comprueba los archivos binarios firmados por Authenticode.

¿Por qué se revisó este aviso el 29 de julio de 2014?
Este aviso se ha revisado el 29 de julio de 2014 para anunciar que el comportamiento de comprobación de firmas de Windows Authenticode más estricto descrito aquí se habilitará de forma opcional y no se realizará un comportamiento predeterminado en las versiones admitidas de Microsoft Windows.

¿Cómo implementará Microsoft el comportamiento más estricto de verificación de firmas de Windows Authenticode?
El 10 de diciembre de 2013, Microsoft publicó el boletín de seguridad MS13-098 para implementar el código subyacente para un comportamiento más estricto de verificación de la firma authenticode. Anteriormente, este aviso anunció que, para el 12 de agosto de 2014, Microsoft habilitaría los cambios implementados con MS13-098 como funcionalidad predeterminada. Sin embargo, a medida que trabajamos con los clientes para adaptarnos a este cambio, determinamos que el impacto en el software existente podría ser alto. Por lo tanto, Microsoft ya no planea aplicar el comportamiento de comprobación más estricto como requisito predeterminado. La funcionalidad subyacente para la comprobación más estricta permanece en vigor, sin embargo, y se puede habilitar a discreción del cliente.

¿Cómo puedo habilitar el nuevo comportamiento de comprobación de firmas? 
Los clientes que quieran habilitar el nuevo comportamiento de verificación de firma authenticode pueden hacerlo estableciendo una clave en el registro del sistema. Cuando se establece la clave, la comprobación de firma de Windows Authenticode ya no reconocerá archivos binarios con firmas Authenticode que contengan información extraña en la estructura WIN_CERTIFICATE. Los clientes pueden optar por deshabilitar la funcionalidad en cualquier momento deshabilitando esta clave del Registro. Consulte Acciones sugeridas a continuación para obtener instrucciones.

He habilitado este cambio, ¿tengo que hacer nada ahora que no se aplicará de forma predeterminada?  Los clientes que ya han habilitado el comportamiento de comprobación más estricto y no han experimentado problemas, pueden optar por dejar habilitado el comportamiento de comprobación. Los clientes que experimentan problemas de compatibilidad de aplicaciones con el nuevo comportamiento, o los clientes que simplemente desean deshabilitar el nuevo comportamiento, pueden deshabilitar la funcionalidad quitando la clave del Registro EnableCertPaddingCheck. Consulte Acciones sugeridas a continuación para obtener instrucciones.

No he habilitado este cambio, ¿necesito hacer nada ahora que no se aplicará de forma predeterminada?
No. El comportamiento de comprobación más estricto que se instaló con MS13-098 residirá en el sistema, pero será funcionalidad inactiva hasta que se habilite.

¿Afecta el nuevo comportamiento de comprobación al software ya instalado?
El nuevo comportamiento de comprobación más estricto, cuando está habilitado, se aplica principalmente a los archivos binarios ejecutables portátiles (PE) firmados con el formato de firma de Windows Authenticode. Los archivos binarios que no están firmados con este formato o que no usan WinVerifyTrust para comprobar que las firmas no se ven afectadas por el nuevo comportamiento. Los archivos binarios más probables de verse afectados son archivos del instalador pe distribuidos a través de Internet que se personalizan en el momento de la descarga. El escenario más común en el que los usuarios pueden percibir un impacto es durante la descarga e instalación de nuevas aplicaciones. Este es el caso solo si los clientes han elegido habilitar el comportamiento de comprobación más estricto, después de lo cual los usuarios pueden observar mensajes de advertencia al intentar instalar nuevas aplicaciones con firmas que no se validan.

¿Afecta el nuevo comportamiento de comprobación a las directivas de AppLocker?
Para los clientes que han elegido habilitar el comportamiento de comprobación más estricto, cualquier regla de AppLocker que dependa de los archivos que se firman o espera un publicador específico, puede verse afectado si la firma de un archivo no cumple los requisitos más estrictos de verificación de la firma Authenticode.

¿Afecta el nuevo comportamiento de comprobación a las directivas de restricción de software?
Para los clientes que han elegido habilitar el comportamiento de comprobación más estricto, cualquier directiva de restricción de software que dependa de los archivos que se firman o espera un publicador específico, puede verse afectado si la firma de un archivo no cumple los requisitos más estrictos de verificación de la firma Authenticode.

El nuevo comportamiento de comprobación más estricto considera que mi binario no es compatible. ¿Cuáles son mis opciones?
Si un binario se considera no compatible con el comportamiento de verificación de firma Authenticode más estricto, esto no será un problema en los sistemas que no tengan habilitado el nuevo comportamiento de comprobación porque Microsoft no aplica el comportamiento más estricto de forma predeterminada. Sin embargo, para corregir problemas con una validación binaria con errores en sistemas en los que se ha habilitado el nuevo comportamiento de comprobación, ese binario tendrá que volver a firmarse con un estricto cumplimiento del formato de firma de Windows Authenticode y, específicamente, no incluir información extraña en la estructura de WIN_CERTIFICATE.

¿Existe alguna posibilidad de que se reconozca una firma como no compatible con el proceso de comprobación más estricto si se firma con herramientas de firma no proporcionadas por Microsoft?
Sí. Para que los clientes opten por habilitar el comportamiento de comprobación más estricto, firmar archivos binarios con herramientas de firma no proporcionadas por Microsoft corre el riesgo de que las firmas se reconozcan como no compatibles con el comportamiento de comprobación más estricto. El uso de productos de Microsoft o herramientas de firma que Microsoft proporciona, como signtool.exe, ayuda a garantizar que las firmas se reconozcan como compatibles.

¿Qué es Windows Authenticode? 
Windows Authenticode es un formato de firma digital que se usa para determinar el origen y la integridad de los archivos binarios de software. Authenticode usa estándares de criptografía de clave pública (PKCS) #7 datos firmados y certificados X.509 para enlazar un binario firmado por Authenticode a la identidad de un publicador de software. El término "Firma Authenticode" hace referencia a un formato de firma digital que se genera y comprueba mediante la función WinVerifyTrust.

¿Qué es la comprobación de firma de Windows Authenticode?
La comprobación de firmas de Windows Authenticode consta de dos actividades principales: comprobación de firmas en objetos especificados y comprobación de confianza. Estas actividades se llevan a cabo mediante la función WinVerifyTrust, que ejecuta una comprobación de firma y, a continuación, pasa la consulta a un proveedor de confianza que admite el identificador de acción, si existe alguno. Para obtener más información técnica sobre la función WinVerifyTrust, consulte Función WinVerifyTrust.

Para obtener una introducción a Authenticode, consulte Introducción a la firma de código.

Acciones sugeridas

  • Revisión de los requisitos técnicos del Programa de certificados raíz de Microsoft

    Los clientes interesados en obtener más información sobre el tema descrito en este aviso deben revisar el Programa de certificados raíz de Windows: requisitos técnicos.

  • Modificar procesos de firma binaria

    Después de revisar los detalles técnicos subyacentes al cambio en el comportamiento de comprobación de firmas de Authenticode, Microsoft recomienda que los clientes asegúren de que sus firmas Authenticode no contengan información extraña en la estructura de WIN_CERTIFICATE. Microsoft también recomienda que los autores ejecutables consideren la posibilidad de ajustar sus archivos binarios firmados por Authenticode al nuevo estándar de verificación. Los autores que han modificado sus procesos de firma binaria y desean habilitar el nuevo comportamiento pueden hacerlo de forma opcional. Consulte Programa de certificados raíz de Windows: requisitos técnicos para obtener instrucciones.

  • Prueba de la mejora de la verificación de firma de authenticode

    Microsoft recomienda que los clientes prueben cómo se comporta este cambio en la comprobación de firmas de Authenticode en su entorno antes de implementarlo por completo. Para habilitar las mejoras de comprobación de firmas de Authenticode, modifique el registro para agregar el valor EnableCertPaddingCheck como se detalla a continuación.

    Advertencia Al realizar estos pasos para habilitar los cambios de funcionalidad incluidos en la actualización ms13-098 , se producirá que los archivos binarios no conformes aparezcan sin firmar y, por lo tanto, representen que no son de confianza.

    Nota Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.

    Después de instalar la actualización ms13-098 , realice lo siguiente:

    Para versiones de 32 bits de Microsoft Windows

    Pegue el texto siguiente en un editor de texto, como Bloc de notas. A continuación, guarde el archivo mediante la extensión de nombre de archivo .reg (por ejemplo, enableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"  
    

    Puede aplicar este archivo .reg a sistemas individuales haciendo doble clic en él.

    Nota Debe reiniciar el sistema para que los cambios surtan efecto.

    Para versiones de 64 bits de Microsoft Windows

    Pegue el texto siguiente en un editor de texto, como Bloc de notas. A continuación, guarde el archivo mediante la extensión de nombre de archivo .reg (por ejemplo, enableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"="1"
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
    "EnableCertPaddingCheck"="1"
    

    Puede aplicar este archivo .reg a sistemas individuales haciendo doble clic en él.

    Nota Debe reiniciar el sistema para que los cambios surtan efecto.

    Impacto de habilitar los cambios de funcionalidad incluidos en la actualización ms13-098 . Los archivos binarios no conformes aparecerán sin firmar y, por lo tanto, se representarán como que no son de confianza.

    Cómo deshabilitar la funcionalidad. Realice lo siguiente para eliminar el valor del Registro agregado anteriormente.

    Para las versiones de 32 bits de Microsoft Windows, pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo mediante la extensión de nombre de archivo .reg (por ejemplo, disableAuthenticodeVerification.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    

    Puede aplicar este archivo .reg a sistemas individuales haciendo doble clic en él.

    Nota Debe reiniciar el sistema para que los cambios surtan efecto.

    Para las versiones de 64 bits de Microsoft Windows, pegue el texto siguiente en un editor de texto como Bloc de notas. A continuación, guarde el archivo mediante la extensión de nombre de archivo .reg (por ejemplo, disableAuthenticodeVerification64.reg).

    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    
    [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]   
    "EnableCertPaddingCheck"=-
    

Puede aplicar este archivo .reg a sistemas individuales haciendo doble clic en él.

Nota Debe reiniciar el sistema para que los cambios surtan efecto.

Acciones sugeridas adicionales

  • Proteger su PC

    Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, consulte Microsoft Caja fuerte ty & Security Center.

  • Mantener actualizado el software de Microsoft

    Los usuarios que ejecutan software de Microsoft deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Microsoft Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada y configurada la actualización automática para proporcionar actualizaciones para los productos de Microsoft, las actualizaciones se le entregan cuando se publican, pero debe comprobar que están instaladas.

Otra información

Programa microsoft Active Protections (MAPP)

Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).

Comentarios

Soporte técnico

  • Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
  • Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
  • Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.

Declinación de responsabilidades

La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (10 de diciembre de 2013): Aviso publicado.
  • V1.1 (13 de diciembre de 2013): corrigió la información de la clave del Registro en la acción De prueba de la mejora de la verificación de firma de authenticode. Los clientes que hayan aplicado o plan para aplicar la acción sugerida deben revisar la información revisada.
  • V1.2 (11 de febrero de 2014): aviso releateado como recordatorio a los clientes de que los cambios inactivos implementados con MS13-098 se habilitarán el 10 de junio de 2014. Después de esta fecha, Windows ya no reconocerá archivos binarios no compatibles como firmados. Consulte las secciones Recomendación y Acciones sugeridas de este aviso para obtener más información.
  • V1.3 (21 de mayo de 2014): aviso revisado para reflejar la nueva fecha límite del 12 de agosto de 2014 para cuando los archivos binarios no compatibles ya no se reconozcan como firmados. Ahora, en lugar de una fecha límite del 10 de junio de 2014, los cambios inactivos implementados con MS13-098 se habilitarán el 12 de agosto de 2014.
  • V1.4 (29 de julio de 2014): aviso revisado para anunciar que Microsoft ya no planea aplicar el comportamiento de comprobación más estricto como una funcionalidad predeterminada en las versiones admitidas de Microsoft Windows. Sigue estando disponible como una característica de participación. Para obtener más información, consulte la sección preguntas más frecuentes sobre asesoramiento.

Página generada 2014-07-29 14:38Z-07:00.