Microsoft vai remover todos os downloads do Windows assinados com SHA-1 na próxima semana
A Microsoft anunciou esta semana que está a remover todos os downloads do Windows do Microsoft Download Center que são assinados criptograficamente usando certificados SHA-1 no dia 3 de agosto de 2020. O algoritmo SHA-1 era frequentemente utilizado para assinar códigos executáveis e certificados TLS e SSL usados em domínios web para autenticar a legitimidade de um editor.
Os analistas de segurança divulgaram um relatório em 2015, descrevendo como a SHA-1 está exposta a ataques de colisão devido aos quais os atacantes poderiam criar cópias de certificados digitais para imitar uma empresa ou outro website. Estas cópias podem então ser utilizadas em ataques de phishing, em empresas falsas ou em ataques man-in-the-middle para ouvir em sessões de rede encriptadas. Devido às falhas com os certificados SHA-1, a Microsoft e outros criadores têm vindo a afastar-se dos certificados SHA-1 e a exigir que o SHA-2 seja utilizado para instalar atualizações do Windows.
A Microsoft afirmou num novo boletim de suporte emitido ontem, que estão a retirar todos os conteúdos do Windows assinados com o Algoritmo de Hash Seguro 1 (SHA-1) do Microsoft Download Center para aumentar a segurança.
“Para suportar o desenvolvimento de padrões de segurança da indústria, e continuar a mantê-lo protegido e produtivo, a Microsoft deixará conteúdo assinado pelo Windows para Secure Hash Algorithm 1 (SHA-1) do Microsoft Download Center a 3 de agosto de 2020. Este é o próximo passo nos nossos esforços constantes para aprovar o Algoritmo de Hash Seguro 2 (SHA-2), que melhor satisfaz os requisitos modernos de segurança e oferece proteções adicionais de vetores de ataque comuns.”
“SHA-1 é um legado de haxixe criptográfico que muitos na comunidade de segurança acreditam que já não é seguro. A utilização do algoritmo de hashing SHA-1 em certificados digitais poderia permitir que um criminoso falsificasse conteúdo, executasse ataques de phishing ou realizasse ataques man-in-the-middle”. “A Microsoft já não utiliza o SHA-1 para verificar as atualizações do sistema operativo windows devido a preocupações de segurança relacionadas com o algoritmo, e forneceu as atualizações adequadas para transferir os clientes para o SHA-2, tal como anunciado anteriormente. Assim, a partir de agosto de 2019, os dispositivos sem suporte SHA-2 não receberam atualizações do Windows.
Apesar de a Microsoft apenas suportar conteúdo assinado SHA-2 para conteúdo oficial, os executáveis do Windows assinados com SHA-1 ainda podem ser executados no sistema operativo. Se existirem ficheiros mais antigos assinados pela SHA-1 no Microsoft Download Center que ainda utiliza rotineiramente, antes de a Microsoft os remover no dia 3 de agosto, deverá descarregá-los.