Microsoft Security Advisory 2915720
Modifiche alla verifica della firma di Windows Authenticode
Pubblicato: 10 dicembre 2013 | Aggiornamento: 29 luglio 2014
Versione: 1.4
Informazioni generali
Schema riepilogativo
Microsoft annuncia la disponibilità di un aggiornamento per tutte le versioni supportate di Microsoft Windows per modificare la modalità di verifica delle firme per i file binari firmati con il formato di firma Di Windows Authenticode. La modifica è inclusa nel bollettino sulla sicurezza MS13-098, ma verrà abilitata solo in base al consenso esplicito. Se abilitato, il nuovo comportamento per la verifica della firma di Windows Authenticode non consentirà più informazioni estranee nella struttura WIN_CERTIFICATE e Windows non riconoscerà più i file binari non conformi come firmati. Si noti che Microsoft potrebbe rendere questo comportamento predefinito in una versione futura di Microsoft Windows.
Elemento consigliato. Microsoft consiglia agli autori di eseguibili di considerare la conformità di tutti i file binari firmati al nuovo standard di verifica assicurandosi che non contengano informazioni estranee nella struttura WIN_CERTIFICATE. Microsoft consiglia anche ai clienti di testare questa modifica in modo appropriato per valutare il comportamento nei propri ambienti. Per altre informazioni, vedere la sezione Azioni suggerite di questo avviso.
Dettagli avviso
Riferimenti ai problemi
Per altre informazioni su questo problema, vedere i riferimenti seguenti:
| Riferimenti | Identificazione |
|---|---|
| Bollettino sulla sicurezza | MS13-098 |
| Informazioni generali | Introduzione alla firma del codice della \ funzione \ WinVerifyTrust Authenticode Portable Executable Signature Format |
| Informazioni specifiche | Programma di certificati radice di Windows - Requisiti tecnici |
Domande frequenti sugli avvisi
Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti di una modifica facoltativa al modo in cui Microsoft Windows verifica i file binari con firma Authenticode.
Perché questo avviso è stato rivisto il 29 luglio 2014?
Questo avviso è stato rivisto il 29 luglio 2014 per annunciare che il comportamento di verifica della firma di Windows Authenticode più rigoroso descritto qui verrà abilitato in base al consenso esplicito e non ha fatto un comportamento predefinito nelle versioni supportate di Microsoft Windows.
In che modo Microsoft implementerà il comportamento di verifica della firma di Windows Authenticode più restrittivo?
Il 10 dicembre 2013 Microsoft ha rilasciato il bollettino sulla sicurezza MS13-098 per distribuire il codice sottostante per il comportamento di verifica della firma Authenticode più restrittivo. In precedenza, questo avviso annunciò che entro il 12 agosto 2014 Microsoft abiliterebbe le modifiche implementate con MS13-098 come funzionalità predefinite. Tuttavia, come abbiamo lavorato con i clienti per adattarsi a questa modifica, abbiamo determinato che l'impatto sul software esistente potrebbe essere elevato. Pertanto, Microsoft non prevede più di applicare il comportamento di verifica più rigoroso come requisito predefinito. La funzionalità sottostante per la verifica più rigorosa rimane tuttavia attiva e può essere abilitata a discrezione del cliente.
Come è possibile abilitare il nuovo comportamento di verifica della firma?
I clienti che desiderano abilitare il nuovo comportamento di verifica della firma Authenticode possono farlo impostando una chiave nel Registro di sistema. Quando la chiave è impostata, la verifica della firma di Windows Authenticode non riconoscerà più i file binari con firme Authenticode che contengono informazioni estranee nella struttura WIN_CERTIFICATE. I clienti possono scegliere di disabilitare la funzionalità in qualsiasi momento disabilitando questa chiave del Registro di sistema. Per istruzioni, vedere Azioni suggerite di seguito.
È stata abilitata questa modifica, è necessario eseguire qualsiasi operazione ora che non verrà applicata per impostazione predefinita? I clienti che hanno già abilitato il comportamento di verifica più rigoroso e non hanno riscontrato problemi, possono scegliere di lasciare abilitato il comportamento di verifica. I clienti che riscontrano problemi di compatibilità delle applicazioni con il nuovo comportamento o i clienti che vogliono semplicemente disabilitare il nuovo comportamento possono disabilitare la funzionalità rimuovendo la chiave del Registro di sistema EnableCertPaddingCheck. Per istruzioni, vedere Azioni suggerite di seguito.
Non è stata abilitata questa modifica, è necessario eseguire qualsiasi operazione ora che non verrà applicata per impostazione predefinita?
No. Il comportamento di verifica più rigoroso installato con MS13-098 risiederà nel sistema, ma sarà inattivo fino all'abilitazione.
Il nuovo comportamento di verifica influisce sul software già installato?
Il nuovo comportamento di verifica più rigoroso, se abilitato, si applica principalmente ai file binari PE (Portable Executable) firmati con il formato di firma Di Windows Authenticode. I file binari non firmati con questo formato o che non usano WinVerifyTrust per verificare che le firme non siano interessate dal nuovo comportamento. I file binari più probabilmente interessati sono i file del programma di installazione PE distribuiti tramite Internet personalizzati al momento del download. Lo scenario più comune in cui gli utenti possono percepire un impatto è durante il download e l'installazione di nuove applicazioni. Questo è il caso solo se i clienti hanno scelto di abilitare il comportamento di verifica più rigoroso, dopo di che gli utenti possono osservare messaggi di avviso quando si tenta di installare nuove applicazioni con firme che non riescono a convalidare.
Il nuovo comportamento di verifica influisce sui criteri di AppLocker?
Per i clienti che hanno scelto di abilitare il comportamento di verifica più rigoroso, qualsiasi regola di AppLocker che dipende dalla firma dei file o che prevede un editore specifico, potrebbe essere interessata se la firma in un file non soddisfa i requisiti di verifica della firma Authenticode più restrittivi.
Il nuovo comportamento di verifica influisce sui criteri di restrizione software?
Per i clienti che hanno scelto di abilitare il comportamento di verifica più rigoroso, qualsiasi criterio di restrizione software che dipende dalla firma dei file firmati o che prevede un editore specifico, potrebbe essere interessato se la firma in un file non soddisfa i requisiti di verifica della firma Authenticode più restrittivi.
Il nuovo comportamento di verifica più rigoroso ritiene che il file binario non sia conforme. Quali sono le opzioni disponibili?
Se un file binario viene considerato non conforme al comportamento di verifica della firma Authenticode più restrittivo, questo non sarà un problema nei sistemi che non hanno avuto il nuovo comportamento di verifica abilitato perché Microsoft non applica il comportamento più rigoroso per impostazione predefinita. Tuttavia, per correggere i problemi relativi a una convalida binaria non riuscita nei sistemi in cui è stato abilitato il nuovo comportamento di verifica, il file binario dovrà essere rifirmato con una rigorosa conformità al formato Windows Authenticode Signature e in particolare non include informazioni estranee nella struttura WIN_CERTIFICATE.
È possibile che una firma venga riconosciuta come non conforme al processo di verifica più rigoroso se si firma usando strumenti di firma non forniti da Microsoft?
Sì. Per i clienti che scelgono di abilitare il comportamento di verifica più rigoroso, la firma dei file binari con strumenti di firma non forniti da Microsoft comporta il rischio di riconoscere le firme come non conformi al comportamento di verifica più rigoroso. L'uso di prodotti Microsoft o strumenti di firma forniti da Microsoft, ad esempio signtool.exe, consente di garantire che le firme siano riconosciute come conformi.
Che cos'è Windows Authenticode?
Windows Authenticode è un formato di firma digitale usato per determinare l'origine e l'integrità dei file binari software. Authenticode usa i dati firmati PKCS (Public-Key Cryptography Standards) #7 e i certificati X.509 per associare un file binario con firma Authenticode all'identità di un autore software. Il termine "Firma Authenticode" si riferisce a un formato di firma digitale generato e verificato tramite la funzione WinVerifyTrust.
Che cos'è la verifica della firma di Windows Authenticode?
La verifica della firma di Windows Authenticode è costituita da due attività principali: il controllo delle firme sugli oggetti specificati e la verifica dell'attendibilità. Queste attività vengono eseguite dalla funzione WinVerifyTrust, che esegue un controllo della firma, quindi passa la richiesta a un provider di attendibilità che supporta l'identificatore dell'azione, se presente. Per altre informazioni tecniche relative alla funzione WinVerifyTrust, vedere La funzione WinVerifyTrust.
Per un'introduzione a Authenticode, vedere Introduzione alla firma del codice.
Azioni suggerite
Esaminare i requisiti tecnici del programma microsoft per i certificati radice
I clienti interessati a saperne di più sull'argomento trattato in questo avviso devono vedere Programma di certificati radice di Windows - Requisiti tecnici.
Modificare i processi di firma binaria
Dopo aver esaminato i dettagli tecnici sottostanti la modifica nel comportamento di verifica della firma Authenticode, Microsoft consiglia ai clienti di assicurarsi che le firme Authenticode non contengano informazioni estranee nella struttura WIN_CERTIFICATE. Microsoft consiglia anche agli autori di eseguibili di considerare la conformità dei file binari con firma Authenticode al nuovo standard di verifica. Gli autori che hanno modificato i processi di firma binaria e desiderano abilitare il nuovo comportamento possono farlo in base al consenso esplicito. Per indicazioni, vedere Programma di certificati radice di Windows - Requisiti tecnici.
Testare il miglioramento della verifica della firma Authenticode
Microsoft consiglia ai clienti di testare il comportamento di questa modifica alla verifica della firma Authenticode nel proprio ambiente prima di implementarla completamente. Per abilitare i miglioramenti della verifica della firma Authenticode, modificare il Registro di sistema per aggiungere il valore EnableCertPaddingCheck come descritto di seguito.
Avviso Durante l'esecuzione di questi passaggi per abilitare le modifiche alle funzionalità incluse nell'aggiornamento MS13-098 , i file binari non conformi verranno visualizzati senza segno e, di conseguenza, li rende non attendibili.
Nota Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.
Dopo aver installato l'aggiornamento MS13-098 , seguire questa procedura:
Per le versioni a 32 bit di Microsoft Windows
Incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file , ad esempio enableAuthenticodeVerification.reg.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso.
Nota Per rendere effettive le modifiche, è necessario riavviare il sistema.
Per le versioni a 64 bit di Microsoft Windows
Incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file , ad esempio enableAuthenticodeVerification64.reg.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso.
Nota Per rendere effettive le modifiche, è necessario riavviare il sistema.
Impatto dell'abilitazione delle modifiche alle funzionalità incluse nell'aggiornamento MS13-098 . I file binari non conformi verranno visualizzati senza segno e, di conseguenza, verranno visualizzati come non attendibili.
Come disabilitare la funzionalità. Eseguire le operazioni seguenti per eliminare il valore del Registro di sistema aggiunto in precedenza.
Per le versioni a 32 bit di Microsoft Windows, incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file , ad esempio disableAuthenticodeVerification.reg.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso.
Nota Per rendere effettive le modifiche, è necessario riavviare il sistema.
Per le versioni a 64 bit di Microsoft Windows, incollare il testo seguente in un editor di testo, ad esempio Blocco note. Salvare quindi il file usando l'estensione .reg nome file , ad esempio disableAuthenticodeVerification64.reg.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=- [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-
È possibile applicare questo file .reg ai singoli sistemi facendo doppio clic su di esso.
Nota Per rendere effettive le modifiche, è necessario riavviare il sistema.
Azioni aggiuntive suggerite
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.
Mantenere aggiornato il software Microsoft
Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.
Altre informazioni
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Feedback
- È possibile fornire commenti e suggerimenti completando il modulo Microsoft Help and Support (Guida e supporto tecnico Microsoft), Customer Service Contact Us (Contatta Microsoft).
Supporto tecnico
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Dichiarazione di non responsabilità
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 dicembre 2013): Avviso pubblicato.
- V1.1 (13 dicembre 2013): correzione delle informazioni sulla chiave del Registro di sistema nell'azione consigliata Test the Improvement to Authenticode Signature Verification (Test the Improvement to Authenticode Signature Verification ). I clienti che hanno applicato o prevedono di applicare l'azione suggerita devono esaminare le informazioni modificate.
- V1.2 (11 febbraio 2014): Avviso rilasciato come promemoria per i clienti che le modifiche inattiva implementate con MS13-098 saranno abilitate il 10 giugno 2014. Dopo questa data, Windows non riconoscerà più i file binari non conformi come firmati. Per altre informazioni, vedere le sezioni Raccomandazioni e Azioni suggerite di questo avviso.
- V1.3 (21 maggio 2014): avviso modificato per riflettere la data di scadenza del 12 agosto 2014 per cui i file binari non conformi non verranno più riconosciuti come firmati. Ora, anziché il 10 giugno 2014, le modifiche inattiva implementate con MS13-098 saranno abilitate il 12 agosto 2014.
- V1.4 (29 luglio 2014): avviso modificato per annunciare che Microsoft non prevede più di applicare il comportamento di verifica più rigoroso come funzionalità predefinita nelle versioni supportate di Microsoft Windows. Rimane disponibile come funzionalità di consenso esplicito. Per altre informazioni, vedere la sezione Domande frequenti sull'avviso.
Pagina generata 2014-07-29 14:38Z-07:00.