Resumen
El protocolo del proveedor de servicios de seguridad de credenciales (CredSSP) es un proveedor de autenticación que procesa las solicitudes de autenticación de otras aplicaciones.
Existe una vulnerabilidad de ejecución de código remota en versiones de CredSSP que no hayan sido revisadas. Un atacante que aproveche esta vulnerabilidad puede usar las credenciales del usuario para ejecutar código en el sistema afectado. Cualquier aplicación que dependa de CredSSP para realizar la autenticación puede verse afectada por este tipo de ataque.Esta actualización de seguridad hace frente a esta vulnerabilidad corrigiendo la manera en que CredSSP valida las solicitudes durante el proceso de autenticación.
Para obtener más información acerca de la vulnerabilidad, consulte CVE-2018-0886.
Actualizaciones
martes, 13 de marzo de 2018
El lanzamiento inicial del 13 de marzo de 2018 se encarga de actualizar el protocolo de autenticación de CredSSP y los clientes del escritorio remoto de todas las plataformas afectadas.
La mitigación consiste en instalar la actualización en todos los sistemas operativos de servidor y de cliente adecuados, y usar la configuración de directiva de grupo o su equivalente basada en el Registro para administrar las opciones de configuración en los equipos del servidor y del cliente. Es recomendable que los administradores apliquen esta directiva y la establezcan en los equipos de servidor y de cliente como “Forzar en clientes actualizados” o como “Mitigado” , tan pronto como sea posible. Para aplicar estos cambios será necesario reiniciar los sistemas afectados. Preste atención a la directiva de grupo o a los pares de configuración del Registro que tengan interacciones “bloqueadas” entre clientes y servidores (esta información se muestra más adelante en la tabla de compatibilidad).17 de abril de 2018
La actualización del Cliente del escritorio remoto (RDP) de KB 4093120 mejorará el mensaje de error que se muestra cuando un cliente actualizado no puede conectarse a un servidor que no ha sido actualizado.
8 de mayo de 2018
Actualización para cambiar la configuración predeterminada de Vulnerable a Mitigado.
Los números relacionados con Microsoft Knowledge Base se enumeran en CVE-2018-0886.
De forma predeterminada, después de instalar esta actualización, los clientes revisados no pueden comunicarse con los servidores que no han sido revisados. Use la matriz de interoperabilidad y la configuración de directiva de grupo que se describen en este artículo para habilitar una configuración “permitida”.
Directiva de grupo
Ruta de acceso de la directiva y nombre de la configuración |
Descripción |
Ruta de acceso de la directiva: Configuración del equipo -> Plantillas administrativas -> Sistema -> Delegación de credenciales Nombre de la configuración: Encryption Oracle Remediation (Corrección del oráculo de cifrado) |
Encryption Oracle Remediation (Corrección del oráculo de cifrado) Esta configuración de directiva se aplica a aplicaciones que usan el componente CredSSP (por ejemplo, Conexión al escritorio remoto). Algunas versiones del protocolo CredSSP son vulnerables frente a un ataque de oráculo de cifrado dirigido contra el cliente. Esta directiva controla la compatibilidad con clientes y servidores vulnerables. Gracias a ella, puede establecer el nivel de protección que quiera para la vulnerabilidad del oráculo de cifrado. Si habilita esta configuración de directiva, la compatibilidad con la versión de CredSSP se selecciona en función de las siguientes opciones: Forzar clientes actualizados: – las aplicaciones de cliente que usen CredSSP no se podrán revertir a versiones inseguras, y los servicios que usen CredSSP no aceptarán clientes que no hayan sido revisados. Nota: Esta configuración no debe implementarse hasta que todos los hosts remotos sean compatibles con la versión más reciente. Mitigado: – las aplicaciones de cliente que usen CredSSP no se podrán revertir a versiones inseguras, pero los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados. Vulnerable: – las aplicaciones de cliente que usen CredSSP expondrán a los servidores remotos a ataques, ya que se podrán revertir a versiones inseguras, y los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados. |
La directiva de grupo de Encryption Oracle Remediation (Corrección del oráculo de cifrado) es compatible con las tres siguientes opciones, que se deben aplicar a clientes y servidores:
Configuración de directiva |
Valor del Registro |
Comportamiento del cliente |
Comportamiento del servidor |
Forzar clientes actualizados |
0 |
Las aplicaciones de cliente que usan CredSSP no se pueden revertir a versiones inseguras. |
Los servicios que usen CredSSP no aceptarán clientes que no hayan sido revisados. Nota: Esta configuración no debe implementarse hasta que todos los clientes de CredSSP de Windows y de terceros sean compatibles con la versión más reciente de CredSSP. |
Mitigado |
1 |
Las aplicaciones de cliente que usan CredSSP no se pueden revertir a versiones inseguras. |
Los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados. |
Vulnerable |
2 |
Las aplicaciones de cliente que usen CredSSP expondrán a los servidores remotos a ataques, ya que se podrán revertir a versiones inseguras. |
Los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados. |
Una segunda actualización, que se lanzará el 8 de mayo de 2018, cambiará el comportamiento predeterminado a la opción “Mitigado”.
Nota: Para aplicar cualquier cambio en Encryption Oracle Remediation (Corrección del oráculo de cifrado) es necesario reiniciar el dispositivo.
Valor del Registro
Advertencia Pueden producirse graves problemas si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft garantiza que estos problemas se puedan solucionar. Modifique el Registro bajo su propia responsabilidad.
En esta actualización se presenta la siguiente configuración del Registro:
Ruta de acceso del Registro |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Valor |
AllowEncryptionOracle |
Tipo de datos |
DWORD |
¿Es necesario reiniciar? |
Sí |
Matriz de interoperabilidad
Tanto el servidor como el cliente deben actualizarse o los clientes de CredSSP de Windows y terceros no podrán conectarse a hosts de Windows o de terceros. Consulte la matriz de interoperabilidad para ver qué escenarios tienen vulnerabilidades de seguridad o pueden causar errores de funcionamiento.
Nota Al conectarse a un servidor de Escritorio remoto de Windows, el servidor se puede configurar para usar un mecanismo de reserva que emplea el protocolo TLS para la autenticación y los usuarios pueden obtener resultados distintos de los que se describen en esta matriz. En esta matriz, solo se describe el comportamiento del protocolo CredSSP.
|
|
Servidor |
|||
Sin revisar |
Forzar clientes actualizados |
Mitigado |
Vulnerable |
||
Cliente |
Sin revisar |
Permitido |
Bloqueado |
Permitido |
Permitido |
Forzar clientes actualizados |
Bloqueado |
Permitido |
Permitido |
Permitido |
|
Mitigado |
Bloqueado |
Permitido |
Permitido |
Permitido |
|
Vulnerable |
Permitido |
Permitido |
Permitido |
Permitido |
Configuración de cliente |
Estado de revisión CVE-2018-0886 |
Sin revisar |
Vulnerable |
Forzar clientes actualizados |
Secure |
Mitigado |
Secure |
Vulnerable |
Vulnerable |
Errores del registro de eventos de Windows
El id. del evento 6041 se registrará en los clientes de Windows revisados si el cliente y el host remoto se han configurado mediante un proceso de configuración bloqueado.
Registro de eventos |
Sistema |
Origen del evento |
LSA (LsaSrv) |
Id. del evento |
6041 |
Texto del mensaje del evento |
Una autenticación de CredSSP a <hostname> no pudo negociar una versión común del protocolo. El host remoto ofreció una versión <Protocol Version> que no se admite en Encryption Oracle Remediation (Corrección del oráculo de cifrado). |
Errores que crearon los pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows RDP
Errores que presenta el cliente del Escritorio remoto sin la revisión del 17 de abril de 2018 (KB 4093120)
Clientes sin revisar previos a Windows 8.1 y Windows Server 2012 R2 y emparejados con servidores que han sido configurados mediante la opción “Forzar clientes actualizados” |
Estos errores se han creado con los pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows 8.1, Windows Server 2012 R2 y RDP posteriores. |
Se produjo un error de autenticación. El token proporcionado en la función no es válido. |
Se produjo un error de autenticación. La función solicitada no se admite. |
Clientes sin revisar previos a Windows 8.1 y Windows Server 2012 R2 y emparejados con servidores que han sido configurados mediante la opción “Forzar clientes actualizados” |
Estos errores se han creado con pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows 8.1, Windows Server 2012 R2 y RDP posteriores. |
Se produjo un error de autenticación. El símbolo proporcionado a la función no es válido. |
Se produjo un error de autenticación. La función solicitada no se admite. Equipo remoto: <hostname> Esto podría deberse a la corrección del oráculo de cifrado de CredSSP. Para obtener más información, consulte https://go.microsoft.com/fwlink/?linkid=866660 |
Clientes y servidores de Escritorio remoto de terceros
Todos los servidores o clientes de terceros deben usar la versión más reciente del protocolo CredSSP. Póngase en contacto con sus proveedores para determinar si el software es compatible con el protocolo de CredSSP más reciente.
Puede encontrar actualizaciones para el protocolo en el sitio de documentación de protocolos de Windows.
Cambios de archivo
Los siguientes archivos de sistema han sido cambiados en esta actualización.
-
tspkg.dll
El archivo credssp.dll no se cambia. Para obtener más información y detalles sobre la versión del archivo consulte los artículos relevantes.