Microsoft eliminará todas las descargas de Windows firmadas con SHA-1 la próxima semana

Microsoft anunció esta semana que está eliminando todas las descargas de Windows del Centro de descarga de Microsoft que están firmadas criptográficamente con certificados SHA-1 el 3 de agosto de 2020. El algoritmo SHA-1 se utilizaba con frecuencia para firmar código ejecutables y certificados TLS y SSL utilizados en dominios web para autenticar la legitimidad de un editor.

Los analistas de seguridad publicaron un informe en 2015, describiendo cómo SHA-1 está expuesto a ataques de colisión debido a que, los atacantes podrían crear copias de certificados digitales para imitar una empresa u otro sitio web. Estas copias se pueden emplear en ataques de phishing, para suplantar a empresas o en ataques de tipo “man-in-the-middle” para escuchar en sesiones de red cifradas. Debido a los fallos con los certificados SHA-1, Microsoft y otros creadores se han alejado de los certificados SHA-1 y requieren que SHA-2 se utilice para instalar actualizaciones de Windows.

Microsoft declaró en un nuevo boletín de soporte técnico publicado ayer, que están retirando todo el contenido de Windows firmado con el algoritmo de hash seguro 1 (SHA-1) del Centro de descarga de Microsoft para mantener la seguridad.

“Para admitir el desarrollo de estándares de seguridad de la industria y seguir manteniéndote protegido y productivo, Microsoft dejará contenido firmado por Windows para Secure Hash Algorithm 1 (SHA-1) desde el Centro de descarga de Microsoft el 3 de agosto de 2020. Este es el siguiente paso en nuestros esfuerzos constantes para aprobar el algoritmo de hash seguro 2 (SHA-2), que cumple mejor con los requisitos de seguridad modernos y ofrece protecciones adicionales contra vectores de ataque comunes.”

“SHA-1 es un hash criptográfico heredado que muchos en la comunidad de seguridad creen que ya no es seguro. El uso del algoritmo hash SHA-1 en certificados digitales podría permitir a un criminal suplantar contenido, ejecutar ataques de phishing o realizar ataques de tipo “man-in-the-middle”. “Microsoft ya no utiliza SHA-1 para verificar las actualizaciones del sistema operativo Windows debido a problemas de seguridad relacionados con el algoritmo, y ha proporcionado las actualizaciones adecuadas para mover a los clientes a SHA-2 como se anunció anteriormente. En consecuencia, a partir de agosto de 2019, los dispositivos sin compatibilidad con SHA-2 no han recibido actualizaciones de Windows.

Aunque Microsoft solo admite contenido firmado SHA-2 para contenido oficial, los ejecutables de Windows firmados con SHA-1 todavía se pueden ejecutar en el sistema operativo. Si hay archivos firmados SHA-1 más antiguos en el Centro de descarga de Microsoft que sigue utilizando de forma rutinaria, antes de que Microsoft los quite el 3 de agosto, debe descargarlos.