Esperar! O que? Aaah … sistemas legados atacam novamente, mas não vão receber outra mordida.
O que pode surpreender alguns leitores, visto que o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos descontinuou o SHA-1 em 2011 e a Microsoft o baniu de seus navegadores Internet Explorer e Edge em 2017.
Ambos fizeram isso porque o algoritmo de hashing era suscetível a ataques de colisão que permitiam a criação de réplicas, uma falha que o Google provou no início de 2017.
Então, por que a Microsoft reviveu o SHA-1 agora?
A explicação de Redmond inclui a admissão de que “pode parecer estranho que estejamos adicionando uma configuração obsoleta à linha de base”, mas insiste que “este é importante”.
“O Microsoft Edge proíbe certificados assinados usando SHA-1 por padrão, e a linha de base de segurança está impondo isso para garantir que as empresas reconheçam que permitir cadeias SHA-1 não é uma configuração segura”, escreveu o camarada de segurança da Microsoft Rick Munck. “Se você precisar usar uma cadeia SHA-1 para compatibilidade com os aplicativos existentes que dependem dela, abandonar essa configuração o mais rápido possível é fundamental para a segurança de sua organização.”
O alívio também é temporário: “Na versão 92 do Microsoft Edge (meados de 2021), essa configuração será removida e não haverá nenhum mecanismo compatível para permitir SHA-1, mesmo para certificados emitidos por suas Autoridades de Certificação não públicas, depois disso ”, Escreveu Munck.
A nova linha de base para o Edge 85 também adiciona uma política intitulada “Definir uma lista de protocolos que podem iniciar um aplicativo externo de origens listadas sem avisar o usuário”, o que significa que os usuários terão a opção de sempre permitir que os navegadores gerem aplicativos locais.
A Microsoft argumenta que essa mudança é necessária porque ver um prompt toda vez que um usuário clica em um link para aplicativos conhecidos, como Teams e Skype, os dessensibiliza para ameaças reais e cria reclamações para os departamentos de TI. A nova política, portanto, significa que os usuários receberão uma caixa de seleção para sempre permitir que o navegador inicie determinados aplicativos.
“Aproveitar essa configuração suprimirá essa solicitação e reduzirá o ruído para o usuário final, aprovando o conteúdo no nível empresarial. Reduzir as solicitações do usuário final melhora a produtividade do usuário e os ajuda a tomar melhores decisões quando uma solicitação inesperada aparece, reduzindo a fadiga da solicitação ”, escreveu Munck.
A Microsoft classifica sua lista completa de políticas do Edge como uma leitura de 313 minutos. Mas todos nós temos tempo em nossas mãos agora, então por que não pular?
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…