Actualizaciones de CredSSP para CVE-2018-0886

Se aplica a: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard Más

Resumen


El protocolo del proveedor de servicios de seguridad de credenciales (CredSSP) es un proveedor de autenticación que procesa las solicitudes de autenticación de otras aplicaciones.

Existe una vulnerabilidad de ejecución de código remota en versiones de CredSSP que no hayan sido revisadas. Un atacante que aproveche esta vulnerabilidad puede usar las credenciales del usuario para ejecutar código en el sistema afectado. Cualquier aplicación que dependa de CredSSP para realizar la autenticación puede verse afectada por este tipo de ataque.

Esta actualización de seguridad hace frente a esta vulnerabilidad corrigiendo la manera en que CredSSP valida las solicitudes durante el proceso de autenticación.

Para obtener más información acerca de la vulnerabilidad, consulte CVE-2018-0886.

Actualizaciones


martes, 13 de marzo de 2018

El lanzamiento inicial del 13 de marzo de 2018 se encarga de actualizar el protocolo de autenticación de CredSSP y los clientes del escritorio remoto de todas las plataformas afectadas.

La mitigación consiste en instalar la actualización en todos los sistemas operativos de servidor y de cliente adecuados, y usar la configuración de directiva de grupo o su equivalente basada en el Registro para administrar las opciones de configuración en los equipos del servidor y del cliente. Es recomendable que los administradores apliquen esta directiva y la establezcan en los equipos de servidor y de cliente como  “Forzar en clientes actualizados” o como “Mitigado” , tan pronto como sea posible.  Para aplicar estos cambios será necesario reiniciar los sistemas afectados.

Preste atención a la directiva de grupo o a los pares de configuración del Registro que tengan interacciones “bloqueadas” entre clientes y servidores (esta información se muestra más adelante en la tabla de compatibilidad).

17 de abril de 2018

La actualización del Cliente del escritorio remoto (RDP) de KB 4093120 mejorará el mensaje de error que se muestra cuando un cliente actualizado no puede conectarse a un servidor que no ha sido actualizado.

8 de mayo de 2018

Actualización para cambiar la configuración predeterminada de Vulnerable a Mitigado.

Los números relacionados con Microsoft Knowledge Base se enumeran en CVE-2018-0886.

De forma predeterminada, después de instalar esta actualización, los clientes revisados no pueden comunicarse con los servidores que no han sido revisados. Use la matriz de interoperabilidad y la configuración de directiva de grupo que se describen en este artículo para habilitar una configuración “permitida”.

Directiva de grupo


Ruta de acceso de la directiva y nombre de la configuración

Descripción

Ruta de acceso de la directiva: Configuración del equipo -> Plantillas administrativas -> Sistema -> Delegación de credenciales

Nombre de la configuración: Encryption Oracle Remediation (Corrección del oráculo de cifrado)

Encryption Oracle Remediation (Corrección del oráculo de cifrado)

Esta configuración de directiva se aplica a aplicaciones que usan el componente CredSSP (por ejemplo, Conexión al escritorio remoto).

Algunas versiones del protocolo CredSSP son vulnerables frente a un ataque de oráculo de cifrado dirigido contra el cliente. Esta directiva controla la compatibilidad con clientes y servidores vulnerables. Gracias a ella, puede establecer el nivel de protección que quiera para la vulnerabilidad del oráculo de cifrado.

Si habilita esta configuración de directiva, la compatibilidad con la versión de CredSSP se selecciona en función de las siguientes opciones:

Forzar clientes actualizados: – las aplicaciones de cliente que usen CredSSP no se podrán revertir a versiones inseguras, y los servicios que usen CredSSP no aceptarán clientes que no hayan sido revisados.

Nota: Esta configuración no debe implementarse hasta que todos los hosts remotos sean compatibles con la versión más reciente.

Mitigado: – las aplicaciones de cliente que usen CredSSP no se podrán revertir a versiones inseguras, pero los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

Vulnerable: – las aplicaciones de cliente que usen CredSSP expondrán a los servidores remotos a ataques, ya que se podrán revertir a versiones inseguras, y los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

 

La directiva de grupo de Encryption Oracle Remediation (Corrección del oráculo de cifrado) es compatible con las tres siguientes opciones, que se deben aplicar a clientes y servidores:

Configuración de directiva

Valor del Registro

Comportamiento del cliente

Comportamiento del servidor

Forzar clientes actualizados

0

Las aplicaciones de cliente que usan CredSSP no se pueden revertir a versiones inseguras.

Los servicios que usen CredSSP no aceptarán clientes que no hayan sido revisados.

Nota: Esta configuración no debe implementarse hasta que todos los clientes de CredSSP de Windows y de terceros sean compatibles con la versión más reciente de CredSSP.

Mitigado

1

Las aplicaciones de cliente que usan CredSSP no se pueden revertir a versiones inseguras.

Los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

Vulnerable

2

Las aplicaciones de cliente que usen CredSSP expondrán a los servidores remotos a ataques, ya que se podrán revertir a versiones inseguras.

Los servicios que usen CredSSP aceptarán clientes que no hayan sido revisados.

 

Una segunda actualización, que se lanzará el 8 de mayo de 2018, cambiará el comportamiento predeterminado a la opción “Mitigado”.

Nota: Para aplicar cualquier cambio en Encryption Oracle Remediation (Corrección del oráculo de cifrado) es necesario reiniciar el dispositivo.

Valor del Registro


En esta actualización se presenta la siguiente configuración del Registro:

Ruta de acceso del Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Valor

AllowEncryptionOracle

Tipo de datos

DWORD

¿Es necesario reiniciar?

Matriz de interoperabilidad


Tanto el servidor como el cliente deben actualizarse o los clientes de CredSSP de Windows y terceros no podrán conectarse a hosts de Windows o de terceros. Consulte la matriz de interoperabilidad para ver qué escenarios tienen vulnerabilidades de seguridad o pueden causar errores de funcionamiento.

Nota Al conectarse a un servidor de Escritorio remoto de Windows, el servidor se puede configurar para usar un mecanismo de reserva que emplea el protocolo TLS para la autenticación y los usuarios pueden obtener resultados distintos de los que se describen en esta matriz. En esta matriz, solo se describe el comportamiento del protocolo CredSSP.

 

 

Servidor

 

Sin revisar

Forzar clientes actualizados

Mitigado

Vulnerable

Cliente

Sin revisar

Permitido

Bloqueado

Permitido

Permitido

Forzar clientes actualizados

Bloqueado

Permitido

Permitido

Permitido

Mitigado

Bloqueado

Permitido

Permitido

Permitido

Vulnerable

Permitido

Permitido

Permitido

Permitido

 

Configuración de cliente

Estado de revisión CVE-2018-0886

Sin revisar

Vulnerable

Forzar clientes actualizados

Secure

Mitigado

Secure

Vulnerable

Vulnerable

Errores del registro de eventos de Windows


El id.  del evento 6041 se registrará en los clientes de Windows revisados si el cliente y el host remoto se han configurado mediante un proceso de configuración bloqueado.

Registro de eventos

Sistema

Origen del evento

LSA (LsaSrv)

Id. del evento

6041

Texto del mensaje del evento

Una autenticación de CredSSP a <hostname> no pudo negociar una versión común del protocolo. El host remoto ofreció una versión <Protocol Version> que no se admite en Encryption Oracle Remediation (Corrección del oráculo de cifrado).

Errores que crearon los pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows RDP


Errores que presenta el cliente del Escritorio remoto sin la revisión del 17 de abril de 2018 (KB 4093120)

Clientes sin revisar previos a Windows 8.1 y Windows Server 2012 R2 y emparejados con servidores que han sido configurados mediante la opción “Forzar clientes actualizados”

Estos errores se han creado con los pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows 8.1, Windows Server 2012 R2 y RDP posteriores.

Se produjo un error de autenticación.

El token proporcionado en la función no es válido.

Se produjo un error de autenticación.

La función solicitada no se admite.


Errores que presenta el cliente del Escritorio remoto sin la revisión del 17 de abril de 2018 (KB 4093120)

Clientes sin revisar previos a Windows 8.1 y Windows Server 2012 R2 y emparejados con servidores que han sido configurados mediante la opción “Forzar clientes actualizados”

Estos errores se han creado con pares de configuración bloqueada mediante CredSSP en función de los clientes revisados de Windows 8.1, Windows Server 2012 R2 y RDP posteriores.

Se produjo un error de autenticación.

El símbolo proporcionado a la función no es válido.

Se produjo un error de autenticación.

La función solicitada no se admite.

Equipo remoto: <hostname>

Esto podría deberse a la corrección del oráculo de cifrado de CredSSP.

Para obtener más información, consulte https://go.microsoft.com/fwlink/?linkid=866660

Clientes y servidores de Escritorio remoto de terceros


Todos los servidores o clientes de terceros deben usar la versión más reciente del protocolo CredSSP. Póngase en contacto con sus proveedores para determinar si el software es compatible con el protocolo de CredSSP más reciente.

Puede encontrar actualizaciones para el protocolo en el sitio de documentación de protocolos de Windows.

Cambios de archivo


Los siguientes archivos de sistema han sido cambiados en esta actualización.

  • tspkg.dll

El archivo credssp.dll no se cambia. Para obtener más información y detalles sobre la versión del archivo consulte los artículos relevantes.