CredSSP-Updates für CVE-2018-0886

Gilt für: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard Mehr

Zusammenfassung


Beim Credential Security Support Provider (CredSSP)-Protokoll handelt es sich um einen Authentifizierungsanbieter, der Authentifizierungsanforderungen für andere Anwendungen verarbeitet.

In ungepatchten Versionen von CredSSP besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Anmeldeinformationen von Benutzern weiterleiten, um Code auf dem Zielsystem auszuführen. Eine Anwendung, die auf CredSSP für die Authentifizierung angewiesen ist, ist möglicherweise anfällig für diese Art von Angriffen.

Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie CredSSP Anfragen während des Authentifizierungsprozesses prüft.

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2018-0886.

Updates


13. März 2018

Das ursprüngliche Update vom 13. März 2018 aktualisiert das CredSSP-Authentifizierungsprotokoll und die Remotedesktopclients für alle betroffenen Plattformen.

Die Risikominderung besteht darin, das Update für alle berechtigten Client- und Serverbetriebssysteme zu installieren und anschließend mithilfe vorhandener Gruppenrichtlinieneinstellungen oder registrierungsbasierter Entsprechungen die Optionen auf den Client- und Servercomputern festzulegen. Es wird empfohlen, dass Administratoren die Richtlinie anwenden und auf Client- und Servercomputern so bald wie möglich auf „Force Updated Clients“ oder „Mitigated“ festlegen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme.

Achten Sie sorgfältig auf Gruppenrichtlinien oder Registrierungseinstellungspaare, die in der Kompatibilitätstabelle weiter unten in diesem Artikel zu „Blocked“-Interaktionen zwischen Clients und Servern führen.

17. April 2018

Das Update für den Remotedesktopclient (RDP) in KB 4093120 optimiert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung mit einem nicht aktualisierten Server herstellen kann.

8. Mai 2018

Ein Update, um die Standardeinstellung von Vulnerable in Mitigated zu ändern.

Die zugehörigen Microsoft Knowledge Base-Artikelnummern sind in CVE-2018-0886 aufgelistet.

Nach der Installation dieses Updates können gepatchte Clients standardmäßig nicht mit ungepatchten Servern kommunizieren. Aktivieren Sie mithilfe der in diesem Artikel beschriebenen Interoperabilitätsmatrix und Gruppenrichtlinieneinstellungen eine „zulässige“ Konfiguration.

Gruppenrichtlinie


Richtlinienpfad und Einstellungsname

Beschreibung

Richtlinienpfad: Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen

Einstellungsname: Encryption Oracle Remediation

Encryption Oracle Remediation

Diese Richtlinieneinstellung betrifft Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Manche Versionen des CredSSP-Protokolls sind anfällig für einen Oracle-Verschlüsselungsangriff auf den Client. Diese Richtlinie kontrolliert die Kompatibilität mit anfälligen Clients und Servern. Mithilfe dieser Richtlinie können Sie den gewünschten Umfang des Schutzes vor der Sicherheitsanfälligkeit bezüglich der Oracle-Verschlüsselung festlegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Unterstützung der CredSSP-Version basierend auf den folgenden Optionen ausgewählt:

Force Updated Clients – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, und Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.

Hinweis Diese Einstellung sollte erst verwendet werden, wenn alle Remotehosts die neueste Version unterstützen.

Mitigated – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, aber Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

Vulnerable – Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver dem Risiko von Angriffen aus, da sie auf unsichere Versionen zurückgesetzt werden können, und Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

 

Die Richtlinie „Encryption Oracle Remediation“ unterstützt die folgenden drei Optionen, die auf Clients und Server angewendet sollten:

Richtlinieneinstellung

Registrierungswert

Clientverhalten

Serververhalten

Force Updated Clients

0

Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden.

Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.

Hinweis Diese Einstellung sollte erst verwendet werden, wenn alle Windows- und Drittanbieter-CredSSP-Clients die neueste CredSSP-Version unterstützen.

Mitigated

1

Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden.

Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

Vulnerable

2

Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver dem Risiko von Angriffen aus, da sie auf unsichere Versionen zurückgesetzt werden können.

Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.

 

Mit einem zweiten Update, das am 8. Mai 2018 veröffentlicht wird, wird das Standardverhalten in „Mitigated“ geändert.

Hinweis Alle Änderungen an „Encryption Oracle Remediation“ erfordern einen Neustart.

Registrierungswert


Durch das Update wird die folgende Registrierungseinstellung hinzugefügt:

Registrierungspfad

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Wert

AllowEncryptionOracle

Datentyp

DWORD

Neustart erforderlich?

Ja

Interoperabilitätsmatrix


Der Client und der Server müssen aktualisiert werden, da andernfalls Windows- und Drittanbieter-CredSSP-Clients möglicherweise keine Verbindung mit Windows- oder Drittanbieterhosts herstellen können. In der folgenden Interoperabilitätsmatrix werden Szenarien beschrieben, die entweder anfällig für das Sicherheitsrisiko sind oder zu Betriebsfehlern führen.

Hinweis Wenn Sie eine Verbindung mit einem Windows-Remotedesktopserver herstellen, kann für den Server die Verwendung eines Fallbackmechanismus konfiguriert werden, der das TLS-Protokoll für die Authentifizierung verwendet. Die Benutzer erhalten dann möglicherweise andere Ergebnisse als in dieser Interoperabilitätsmatrix beschrieben. Diese Interoperabilitätsmatrix beschreibt nur das Verhalten des CredSSP-Protokolls.

 

 

Server

 

Unpatched

Force Updated Clients

Mitigated

Vulnerable

Client

Unpatched

Allowed

Blocked

Allowed

Allowed

Force Updated Clients

Blocked

Allowed

Allowed

Allowed

Mitigated

Blocked

Allowed

Allowed

Allowed

Vulnerable

Allowed

Allowed

Allowed

Allowed

 

Clienteinstellung

CVE-2018-0886-Patchstatus

Unpatched

Vulnerable

Force Updated Clients

Secure

Mitigated

Secure

Vulnerable

Vulnerable

Windows-Ereignisprotokoll-Fehler


Die Ereignis-ID 6041 wird auf gepatchten Windows-Clients protokolliert, wenn für den Clienthost und den Remotehost eine „Blocked“-Konfiguration vorliegt.

Ereignisprotokoll

System

Ereignisquelle

LSA (LsaSrv)

Ereignis-ID

6041

Ereignismeldungstext

A CredSSP authentication to <hostname> failed to negotiate a common protocol version. The remote host offered version <Protocol Version> which is not permitted by Encryption Oracle Remediation. (Die CredSSP-Authentifizierung für <Hostname> konnte keine gemeinsame Protokollversion aushandeln. Der Remotehost hat die Version <Protokollversion> angeboten, die für „Encryption Oracle Remediation“ nicht zulässig ist).

Von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows-RDP-Clients generierte Fehlermeldungen


Vom Remotedesktopclient ohne den Patch vom 17. April 2018 (KB 4093120) angezeigte Fehlermeldungen

Ungepatchte Prä-Windows 8.1- und Windows Server 2012 R2-Clients gepaart mit Servern, für die „Force Updated Clients“ konfiguriert ist

Von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows 8.1-, Windows Server 2012 R2- und neuere RDP-Clients generierte Fehlermeldungen

Authentifizierungsfehler.

Das Token, das der Funktion übergeben wurde, ist ungültig.

Authentifizierungsfehler.

Die angeforderte Funktion wird nicht unterstützt.


Vom Remotedesktopclient mit dem Patch vom 17. April 2018 (KB 4093120)) angezeigte Fehlermeldungen

Ungepatchte Prä-Windows 8.1- und Windows Server 2012 R2-Clients gepaart mit Servern, für die „Force Updated Clients“ konfiguriert ist

Diese Fehlermeldungen werden von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows 8.1-, Windows Server 2012 R2- und neuere RDP-Clients generiert.

Authentifizierungsfehler.

Das Token, das der Funktion übergeben wurde, ist ungültig.

Authentifizierungsfehler.

Die angeforderte Funktion wird nicht unterstützt.

Remotecomputer: <Hostname>

Dies könnte auf CredSSP Encryption Oracle Remediation zurückzuführen sein.

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660

Remotedesktopclients und -server von Drittanbietern


Alle Drittanbieterclients oder -server müssen die neueste Version des CredSSP-Protokolls verwenden. Wenden Sie sich an die Anbieter, um festzustellen, ob die Software mit dem neuesten CredSSP-Protokoll kompatibel ist.

Die Protokollupdates finden Sie auf der Website mit der Dokumentation zum Windows-Protokoll.

Änderungen bei Dateien


Die folgenden Systemdateien wurden in diesem Update geändert.

  • „tspkg.dll“

Die Datei „credssp.dll“ ist unverändert. Weitere Informationen zur Dateiversion finden Sie in den entsprechenden Artikeln.