Applies ToWindows Server 2016, all editions Windows Server 2012 R2 Standard Windows Server 2012 Standard Windows 8.1 Windows 10 Windows 7 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows 10, version 1703, all editions Windows 10, version 1709, all editions Windows Server 2016 Windows Server 2008 R2 Standard Windows Server 2008 Foundation Windows Server 2008 Enterprise without Hyper-V Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter without Hyper-V Windows Server 2008 Enterprise Windows Server 2016 Standard Windows Server 2016 Essentials Windows Server 2016 Windows Server version 1709 Windows Server version 1803 Windows Vista Service Pack 2 Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Web Edition Windows 7 Enterprise Windows 7 Ultimate Windows 7 Starter Windows 7 Home Premium Windows 7 Professional Windows 7 Home Basic Windows Server 2008 R2 Foundation Windows Server 2008 R2 Service Pack 1 Windows 7 Service Pack 1 Windows Server 2012 Essentials Windows Server 2012 Datacenter Windows Server 2012 Foundation Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Essentials Windows RT 8.1 Windows Server 2012 R2 Foundation Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2008 Web Edition Windows Server 2008 Standard

Resumen

El protocolo del proveedor de servicios de seguridad de credenciales (CredSSP) es un proveedor de autenticación que procesa las solicitudes de autenticación de otras aplicaciones. Existe una vulnerabilidad de ejecución de código remota en versiones de CredSSP que no hayan sido revisadas. Un atacante que aproveche esta vulnerabilidad puede usar las credenciales del usuario para ejecutar código en el sistema afectado. Cualquier aplicación que dependa de CredSSP para realizar la autenticación puede verse afectada por este tipo de ataque.

Esta actualización de seguridad hace frente a esta vulnerabilidad corrigiendo la manera en que CredSSP valida las solicitudes durante el proceso de autenticación.

Para obtener más información acerca de la vulnerabilidad, consulte CVE-2018-0886.

Actualizaciones

martes, 13 de marzo de 2018

El lanzamiento inicial del 13 de marzo de 2018 se encarga de actualizar el protocolo de autenticación de CredSSP y los clientes del escritorio remoto de todas las plataformas afectadas. La mitigación consiste en instalar la actualización en todos los sistemas operativos de servidor y de cliente adecuados, y usar la configuración de directiva de grupo o su equivalente basada en el Registro para administrar las opciones de configuración en los equipos del servidor y del cliente. Es recomendable que los administradores apliquen esta directiva y la establezcan en los equipos de servidor y de cliente como  “Forzar en clientes actualizados” o como “Mitigado” , tan pronto como sea posible.  Para aplicar estos cambios será necesario reiniciar los sistemas afectados. Preste atención a la directiva de grupo o a los pares de configuración del Registro que tengan interacciones “bloqueadas” entre clientes y servidores (esta información se muestra más adelante en la tabla de compatibilidad).

17 de abril de 2018

La actualización del Cliente del escritorio remoto (RDP) de KB 4093120 mejorará el mensaje de error que se muestra cuando un cliente actualizado no puede conectarse a un servidor que no ha sido actualizado.

8 de mayo de 2018

Actualización para cambiar la configuración predeterminada de Vulnerable a Mitigado.

Los números relacionados con Microsoft Knowledge Base se enumeran en CVE-2018-0886.

De forma predeterminada, después de instalar esta actualización, los clientes revisados no pueden comunicarse con los servidores que no han sido revisados. Use la matriz de interoperabilidad y la configuración de directiva de grupo que se describen en este artículo para habilitar una configuración “permitida”.

Directiva de grupo

Ruta de acceso de la directiva y nombre de la configuración

Descripción

Ruta de acceso de la directiva: Configuración del equipo -> Plantillas administrativas -> Sistema -> Delegación de credenciales Nombre de la configuración: Encryption Oracle Remediation (Corrección del oráculo de cifrado)

Encryption Oracle Remediation (Corrección del oráculo de cifrado)

Esta configuración de directiva se aplica a aplicaciones que usan el componente CredSSP (por ejemplo, Conexión al escritorio remoto).

Algunas versiones del protocolo CredSSP son vulnerables frente a un ataque de oráculo de cifrado dirigido contra el cliente. Esta directiva controla la compatibilidad con clientes y servidores vulnerables. Gracias a ella, puede establecer el nivel de protección que quiera para la vulnerabilidad del oráculo de cifrado.

Si habilita esta configuración de directiva, la compatibilidad con la versión de CredSSP se selecciona en función de las siguientes opciones:

Forzar clientes actualizados: – las aplicaciones de cliente que usen CredSSP no se podrán revertir a versiones inseguras, y los servicios que usen CredSSP no aceptarán clientes que no hayan sido revisados.

Nota: Esta configuración no debe implementarse hasta que todos los hosts remotos sean compatibles con la versión más reciente.

Mitigado: – las aplicaciones de cliente que usen CredSSP no se podrán revertir a versiones inseguras, pero los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

Vulnerable: – las aplicaciones de cliente que usen CredSSP expondrán a los servidores remotos a ataques, ya que se podrán revertir a versiones inseguras, y los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

 

La directiva de grupo de Encryption Oracle Remediation (Corrección del oráculo de cifrado) es compatible con las tres siguientes opciones, que se deben aplicar a clientes y servidores:

Configuración de directiva

Valor del Registro

Comportamiento del cliente

Comportamiento del servidor

Forzar clientes actualizados

0

Las aplicaciones de cliente que usan CredSSP no se pueden revertir a versiones inseguras.

Los servicios que usen CredSSP no aceptarán clientes que no hayan sido revisados.Nota: Esta configuración no debe implementarse hasta que todos los clientes de CredSSP de Windows y de terceros sean compatibles con la versión más reciente de CredSSP.

Mitigado

1

Las aplicaciones de cliente que usan CredSSP no se pueden revertir a versiones inseguras.

Los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

Vulnerable

2

Las aplicaciones de cliente que usen CredSSP expondrán a los servidores remotos a ataques, ya que se podrán revertir a versiones inseguras.

Los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

 

Una segunda actualización, que se lanzará el 8 de mayo de 2018, cambiará el comportamiento predeterminado a la opción “Mitigado”.

Nota: Para aplicar cualquier cambio en Encryption Oracle Remediation (Corrección del oráculo de cifrado) es necesario reiniciar el dispositivo.

Valor del Registro

Advertencia Pueden producirse graves problemas si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft garantiza que estos problemas se puedan solucionar. Modifique el Registro bajo su propia responsabilidad.

En esta actualización se presenta la siguiente configuración del Registro:

Ruta de acceso del Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Valor

AllowEncryptionOracle

Tipo de datos

DWORD

¿Es necesario reiniciar?

Matriz de interoperabilidad

Tanto el servidor como el cliente deben actualizarse o los clientes de CredSSP de Windows y terceros no podrán conectarse a hosts de Windows o de terceros. Consulte la matriz de interoperabilidad para ver qué escenarios tienen vulnerabilidades de seguridad o pueden causar errores de funcionamiento.

Nota Al conectarse a un servidor de Escritorio remoto de Windows, el servidor se puede configurar para usar un mecanismo de reserva que emplea el protocolo TLS para la autenticación y los usuarios pueden obtener resultados distintos de los que se describen en esta matriz. En esta matriz, solo se describe el comportamiento del protocolo CredSSP.

 

 

Servidor

Sin revisar

Forzar clientes actualizados

Mitigado

Vulnerable

Cliente

Sin revisar

Permitido

Bloqueado

Permitido

Permitido

Forzar clientes actualizados

Bloqueado

Permitido

Permitido

Permitido

Mitigado

Bloqueado

Permitido

Permitido

Permitido

Vulnerable

Permitido

Permitido

Permitido

Permitido

 

Configuración de cliente

Estado de revisión CVE-2018-0886

Sin revisar

Vulnerable

Forzar clientes actualizados

Secure

Mitigado

Secure

Vulnerable

Vulnerable

Errores del registro de eventos de Windows

El id.  del evento 6041 se registrará en los clientes de Windows revisados si el cliente y el host remoto se han configurado mediante un proceso de configuración bloqueado.

Registro de eventos

Sistema

Origen del evento

LSA (LsaSrv)

Id. del evento

6041

Texto del mensaje del evento

Una autenticación de CredSSP a <hostname> no pudo negociar una versión común del protocolo. El host remoto ofreció una versión <Protocol Version> que no se admite en Encryption Oracle Remediation (Corrección del oráculo de cifrado).

Errores que crearon los pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows RDP

Errores que presenta el cliente del Escritorio remoto sin la revisión del 17 de abril de 2018 (KB 4093120)

Clientes sin revisar previos a Windows 8.1 y Windows Server 2012 R2 y emparejados con servidores que han sido configurados mediante la opción “Forzar clientes actualizados”

Estos errores se han creado con los pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows 8.1, Windows Server 2012 R2 y RDP posteriores.

Se produjo un error de autenticación.

El token proporcionado en la función no es válido.

Se produjo un error de autenticación.

La función solicitada no se admite.

Errores que presenta el cliente del Escritorio remoto sin la revisión del 17 de abril de 2018 (KB 4093120)

Clientes sin revisar previos a Windows 8.1 y Windows Server 2012 R2 y emparejados con servidores que han sido configurados mediante la opción “Forzar clientes actualizados”

Estos errores se han creado con pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows 8.1, Windows Server 2012 R2 y RDP posteriores.

Se produjo un error de autenticación.

El símbolo proporcionado a la función no es válido.

Se produjo un error de autenticación.

La función solicitada no se admite.

Equipo remoto: <hostname>

Esto podría deberse a la corrección del oráculo de cifrado de CredSSP.

Para obtener más información, consulte https://go.microsoft.com/fwlink/?linkid=866660

Clientes y servidores de Escritorio remoto de terceros

Todos los servidores o clientes de terceros deben usar la versión más reciente del protocolo CredSSP. Póngase en contacto con sus proveedores para determinar si el software es compatible con el protocolo de CredSSP más reciente.

Puede encontrar actualizaciones para el protocolo en el sitio de documentación de protocolos de Windows.

Cambios de archivo

Los siguientes archivos de sistema han sido cambiados en esta actualización.

  • tspkg.dll

El archivo credssp.dll no se cambia. Para obtener más información y detalles sobre la versión del archivo consulte los artículos relevantes.

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.