Zusammenfassung
Beim Credential Security Support Provider (CredSSP)-Protokoll handelt es sich um einen Authentifizierungsanbieter, der Authentifizierungsanforderungen für andere Anwendungen verarbeitet.
In ungepatchten Versionen von CredSSP besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Anmeldeinformationen von Benutzern weiterleiten, um Code auf dem Zielsystem auszuführen. Eine Anwendung, die auf CredSSP für die Authentifizierung angewiesen ist, ist möglicherweise anfällig für diese Art von Angriffen.
Dieses Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie CredSSP Anfragen während des Authentifizierungsprozesses prüft.
Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2018-0886.
Updates
13. März 2018
Das ursprüngliche Update vom 13. März 2018 aktualisiert das CredSSP-Authentifizierungsprotokoll und die Remotedesktopclients für alle betroffenen Plattformen.
Die Risikominderung besteht darin, das Update für alle berechtigten Client- und Serverbetriebssysteme zu installieren und anschließend mithilfe vorhandener Gruppenrichtlinieneinstellungen oder registrierungsbasierter Entsprechungen die Optionen auf den Client- und Servercomputern festzulegen. Es wird empfohlen, dass Administratoren die Richtlinie anwenden und auf Client- und Servercomputern so bald wie möglich auf „Force Updated Clients“ oder „Mitigated“ festlegen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme.
Achten Sie sorgfältig auf Gruppenrichtlinien oder Registrierungseinstellungspaare, die in der Kompatibilitätstabelle weiter unten in diesem Artikel zu „Blocked“-Interaktionen zwischen Clients und Servern führen.
17. April 2018
Das Update für den Remotedesktopclient (RDP) in KB 4093120 optimiert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung mit einem nicht aktualisierten Server herstellen kann.
8. Mai 2018
Ein Update, um die Standardeinstellung von Vulnerable in Mitigated zu ändern.
Die zugehörigen Microsoft Knowledge Base-Artikelnummern sind in CVE-2018-0886 aufgelistet.
Nach der Installation dieses Updates können gepatchte Clients standardmäßig nicht mit ungepatchten Servern kommunizieren. Aktivieren Sie mithilfe der in diesem Artikel beschriebenen Interoperabilitätsmatrix und Gruppenrichtlinieneinstellungen eine „zulässige“ Konfiguration.
Gruppenrichtlinie
|
Richtlinienpfad und Einstellungsname |
Beschreibung |
|
Richtlinienpfad: Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen |
Encryption Oracle Remediation Diese Richtlinieneinstellung betrifft Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung). Manche Versionen des CredSSP-Protokolls sind anfällig für einen Oracle-Verschlüsselungsangriff auf den Client. Diese Richtlinie kontrolliert die Kompatibilität mit anfälligen Clients und Servern. Mithilfe dieser Richtlinie können Sie den gewünschten Umfang des Schutzes vor der Sicherheitsanfälligkeit bezüglich der Oracle-Verschlüsselung festlegen. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Unterstützung der CredSSP-Version basierend auf den folgenden Optionen ausgewählt: Force Updated Clients – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, und Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients. Hinweis Diese Einstellung sollte erst verwendet werden, wenn alle Remotehosts die neueste Version unterstützen. Mitigated – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, aber Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients. Vulnerable – Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver dem Risiko von Angriffen aus, da sie auf unsichere Versionen zurückgesetzt werden können, und Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients. |
Die Richtlinie „Encryption Oracle Remediation“ unterstützt die folgenden drei Optionen, die auf Clients und Server angewendet sollten:
|
Richtlinieneinstellung |
Registrierungswert |
Clientverhalten |
Serververhalten |
|
Force Updated Clients |
0 |
Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden. |
Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients. |
|
Mitigated |
1 |
Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden. |
Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients. |
|
Vulnerable |
2 |
Clientanwendungen, die CredSSP verwenden, setzen die Remoteserver dem Risiko von Angriffen aus, da sie auf unsichere Versionen zurückgesetzt werden können. |
Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients. |
Mit einem zweiten Update, das am 8. Mai 2018 veröffentlicht wird, wird das Standardverhalten in „Mitigated“ geändert.
Hinweis Alle Änderungen an „Encryption Oracle Remediation“ erfordern einen Neustart.
Registrierungswert
Warnung Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.
Durch das Update wird die folgende Registrierungseinstellung hinzugefügt:
|
Registrierungspfad |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Wert |
AllowEncryptionOracle |
|
Datentyp |
DWORD |
|
Neustart erforderlich? |
Ja |
Interoperabilitätsmatrix
Der Client und der Server müssen aktualisiert werden, da andernfalls Windows- und Drittanbieter-CredSSP-Clients möglicherweise keine Verbindung mit Windows- oder Drittanbieterhosts herstellen können. In der folgenden Interoperabilitätsmatrix werden Szenarien beschrieben, die entweder anfällig für das Sicherheitsrisiko sind oder zu Betriebsfehlern führen.
Hinweis Wenn Sie eine Verbindung mit einem Windows-Remotedesktopserver herstellen, kann für den Server die Verwendung eines Fallbackmechanismus konfiguriert werden, der das TLS-Protokoll für die Authentifizierung verwendet. Die Benutzer erhalten dann möglicherweise andere Ergebnisse als in dieser Interoperabilitätsmatrix beschrieben. Diese Interoperabilitätsmatrix beschreibt nur das Verhalten des CredSSP-Protokolls.
|
|
|
Server |
|||
|
Unpatched |
Force Updated Clients |
Mitigated |
Vulnerable |
||
|
Client |
Unpatched |
Allowed |
Blocked |
Allowed |
Allowed |
|
Force Updated Clients |
Blocked |
Allowed |
Allowed |
Allowed |
|
|
Mitigated |
Blocked |
Allowed |
Allowed |
Allowed |
|
|
Vulnerable |
Allowed |
Allowed |
Allowed |
Allowed |
|
|
Clienteinstellung |
CVE-2018-0886-Patchstatus |
|
Unpatched |
Vulnerable |
|
Force Updated Clients |
Secure |
|
Mitigated |
Secure |
|
Vulnerable |
Vulnerable |
Windows-Ereignisprotokoll-Fehler
Die Ereignis-ID 6041 wird auf gepatchten Windows-Clients protokolliert, wenn für den Clienthost und den Remotehost eine „Blocked“-Konfiguration vorliegt.
|
Ereignisprotokoll |
System |
|
Ereignisquelle |
LSA (LsaSrv) |
|
Ereignis-ID |
6041 |
|
Ereignismeldungstext |
A CredSSP authentication to <hostname> failed to negotiate a common protocol version. The remote host offered version <Protocol Version> which is not permitted by Encryption Oracle Remediation. (Die CredSSP-Authentifizierung für <Hostname> konnte keine gemeinsame Protokollversion aushandeln. Der Remotehost hat die Version <Protokollversion> angeboten, die für „Encryption Oracle Remediation“ nicht zulässig ist). |
Von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows-RDP-Clients generierte Fehlermeldungen
Vom Remotedesktopclient ohne den Patch vom 17. April 2018 (KB 4093120) angezeigte Fehlermeldungen
|
Ungepatchte Prä-Windows 8.1- und Windows Server 2012 R2-Clients gepaart mit Servern, für die „Force Updated Clients“ konfiguriert ist |
Von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows 8.1-, Windows Server 2012 R2- und neuere RDP-Clients generierte Fehlermeldungen |
|
Authentifizierungsfehler. Das Token, das der Funktion übergeben wurde, ist ungültig. |
Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. |
Vom Remotedesktopclient mit dem Patch vom 17. April 2018 (KB 4093120)) angezeigte Fehlermeldungen
|
Ungepatchte Prä-Windows 8.1- und Windows Server 2012 R2-Clients gepaart mit Servern, für die „Force Updated Clients“ konfiguriert ist |
Diese Fehlermeldungen werden von CredSSP-Blocked-Konfigurationspaaren durch gepatchte Windows 8.1-, Windows Server 2012 R2- und neuere RDP-Clients generiert. |
|
Authentifizierungsfehler. Das Token, das der Funktion übergeben wurde, ist ungültig. |
Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. Remotecomputer: <Hostname> Dies könnte auf CredSSP Encryption Oracle Remediation zurückzuführen sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660 |
Remotedesktopclients und -server von Drittanbietern
Alle Drittanbieterclients oder -server müssen die neueste Version des CredSSP-Protokolls verwenden. Wenden Sie sich an die Anbieter, um festzustellen, ob die Software mit dem neuesten CredSSP-Protokoll kompatibel ist.
Die Protokollupdates finden Sie auf der Website mit der Dokumentation zum Windows-Protokoll.
Änderungen bei Dateien
Die folgenden Systemdateien wurden in diesem Update geändert.
-
„tspkg.dll“
Die Datei „credssp.dll“ ist unverändert. Weitere Informationen zur Dateiversion finden Sie in den entsprechenden Artikeln.
