Microsoft rimuoverà tutti i download di Windows firmati con SHA-1 la prossima settimana
Microsoft ha annunciato questa settimana che sta rimuovendo tutti i download di Windows dall’Area download Microsoft che sono firmati crittograficamente utilizzando certificati SHA-1 il 3 agosto 2020. L’algoritmo SHA-1 è stato spesso utilizzato per firmare codice eseguibili e certificati TLS e SSL utilizzati nei domini web per autenticare la legittimità di un editore.
Gli analisti della sicurezza hanno pubblicato un rapporto nel 2015, descrivendo come SHA-1 è esposto ad attacchi di collisione a causa del quale, gli aggressori potrebbero creare copie di certificati digitali per imitare una società o un altro sito web. Queste copie possono quindi essere impiegate in attacchi di phishing, alle aziende di spoofing o in attacchi man-in-the-middle per ascoltare le sessioni di rete crittografate. A causa dei difetti con i certificati SHA-1, Microsoft e altri creatori si sono allontanati dai certificati SHA-1 e richiedono SHA-2 da utilizzare per installare gli aggiornamenti di Windows.
Microsoft ha dichiarato in un nuovo bollettino di supporto rilasciato ieri, che stanno ritirando tutti i contenuti di Windows firmati con il Secure Hash Algorithm 1 (SHA-1) dall’Area download Microsoft per un aumento della sicurezza.
“Per supportare lo sviluppo di standard di sicurezza del settore e continuare a mantenere la protezione e la produttività, Microsoft lascerà il contenuto firmato da Windows per Secure Hash Algorithm 1 (SHA-1) dall’Area download Microsoft il 3 agosto 2020. Questo è il passo successivo dei nostri sforzi costanti per approvare Secure Hash Algorithm 2 (SHA-2), che meglio soddisfa i requisiti di sicurezza moderni e offre protezioni aggiuntive da vettori di attacco comuni.
“SHA-1 è un hash crittografico legacy che molti nella comunità di sicurezza ritengono non è più sicuro. L’utilizzo dell’algoritmo hash SHA-1 nei certificati digitali potrebbe consentire a un criminale di falsificare contenuti, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle. “Microsoft non utilizza più SHA-1 per verificare gli aggiornamenti del sistema operativo Windows a causa di problemi di sicurezza correlati con l’algoritmo e ha fornito gli aggiornamenti adatti per spostare i clienti a SHA-2 come annunciato in precedenza. Di conseguenza, a partire da agosto 2019, i dispositivi senza supporto SHA-2 non hanno ricevuto gli aggiornamenti di Windows.
Anche se Microsoft supporta solo il contenuto firmato SHA-2 per il contenuto ufficiale, gli eseguibili di Windows firmati con SHA-1 possono comunque essere eseguiti nel sistema operativo. Se nell’Area download Microsoft sono presenti file firmati più vecchi, che vengono ancora utilizzati regolarmente, prima che Microsoft li rimuova il 3 agosto, è necessario scaricarli.