Kokkuvõte
Mandaat turvalisuse tugiteenuste pakkuja protokoll (CredSSP) on autentimise pakkuja, mis töötleb autentimise taotlusi teiste rakenduste. Koodi käivitumise haavatavuse olemas CredSSP unpatched versioonid. Ründaja, kes kasutab edukalt selle haavatavuse võib relee kasutaja mandaat käivitada koodi TARGET süsteemi. Mis tahes rakendus, mis sõltub CredSSP autentimine võib olla haavatav seda tüüpi rünnak.
See värskendus kõrvaldab haavatavuse, parandades Kuidas CredSSP kinnitab taotlusi autentimise käigus.
Haavatavuse kohta lisateabe saamiseks vaadake CVE-2018-0886.
Värskendused
13. märts 2018
Esialgne märts 13, 2018, väljalaske värskendab CredSSP autentimisprotokolli ja kaugtöölaua klientide kõigi mõjutatud platvormid. Leevendamine seisneb värskenduse installimisel kõik aktsepteeritud kliendi ja serveri operatsioonisüsteemid ja seejärel kasutades kaasatud rühmapoliitika sätted või registripõhised ekvivalendid kliendi ja serveri arvutite sätte suvandite haldamiseks. Soovitame administraatoritel rakendada poliitika ja seadke see "sundida värskendatud kliente" või "maandatud" kliendi ja serveri arvutites niipea kui võimalik. Need muudatused nõuavad mõjutatud süsteemide taaskäivitamist. Pöörake tähelepanu rühmapoliitika või registrisätete paarid, mis põhjustavad "blokeeritud" koostoimed klientide ja serverite ühilduvuse tabelis hiljem käesolevas artiklis.
17. aprill 2018
Kaugtöölaua kliendi (RDP) värskenduse KB 4093120 parandab tõrketeate, mis on esitatud, kui värskendatud klient ei saa ühendust serveriga, mida pole värskendatud.
8. mai 2018
Värskendus muuta vaikesäte haavatavaks leevendatakse.
Seotud Microsofti teabebaasi (Knowledge Base) numbrid on loetletud CVE-2018-0886.
Vaikimisi pärast selle värskenduse installimist paigatud kliendid ei saa suhelda unpatched serverid. Kasutage "lubatud" konfiguratsiooni lubamiseks käesolevas artiklis kirjeldatud koostalitlusvõime maatriksi ja rühmapoliitika sätteid.
Rühmapoliitika
|
Poliitika tee ja sätte nimi |
Kirjeldus |
|
Poliitika tee: Arvuti konfiguratsioon-> haldusmallid-> süsteemi > mandaat delegeerimine Sätte nimi: krüptimine Oracle ' i tervendamine |
Krüpteerimisoracle ' i tervendamine See poliitikasäte kehtib rakendustes, mis kasutavad CredSSP komponenti (nt Kaugtöölaua ühendus). Mõned versioonid CredSSP protokolli on tundlikud krüptimine Oracle rünnak kliendi vastu. See poliitika reguleerib ühilduvust haavatavamate klientide ja serveritega. See poliitika võimaldab teil määrata kaitse tase, mida soovite krüptimise Oracle haavatavus. Kui lubate selle Poliitikasätte, valitakse CredSSP versiooni tugi järgmiste suvandite põhjal: Force värskendatud kliendid – Kliendi rakendused, mis kasutavad CredSSP ei saa langeda tagasi ebaturvalisi versioone ja teenused, mis kasutavad CredSSP ei aktsepteeri unpatched klientidele. Märkus Seda sätet ei tohiks juurutada enne, kui kõik kaughostid toetavad uusimat versiooni. Maandatud – Kliendi rakendused, mis kasutavad CredSSP ei saa langeda tagasi ebaturvalisi versioone, kuid teenused, mis kasutavad CredSSP aktsepteerivad unpatched klientidele. Haavatavamad – Kliendi rakendused, mis kasutavad CredSSP paljastada kaugserverites rünnakud toetades Fall ebaturvalisi versioone ja teenused, mis kasutavad CredSSP aktsepteerivad unpatched klientidele. |
Krüptimisoracle ' i tervendamise rühmapoliitika toetab järgmisi kolme suvandit, mida tuleks rakendada klientidele ja serveritesse.
|
Poliitikasäte |
Registri väärtus |
Kliendi käitumine |
Serveri käitumine |
|
Sundida värskendatud kliente |
0 |
Kliendi rakendused, mis kasutavad CredSSP ei saa langeda tagasi ebaturvalisi versioone. |
CredSSP abil teenused ei aktsepteeri unpatched klientidele. Märkus Seda sätet ei tohiks juurutada enne, kui Kõik Windowsi ja kolmanda osapoole CredSSP kliendid toetavad uusimat CredSSP versiooni. |
|
Leevendada |
1 |
Kliendi rakendused, mis kasutavad CredSSP ei saa langeda tagasi ebaturvalisi versioone. |
Teenused, mis kasutavad CredSSP aktsepteerivad unpatched klientidele. |
|
Haavatav |
2 |
Kliendi rakendused, mis kasutavad CredSSP paljastada kaugserverites rünnakud toetades Fall ebakindel versioonid. |
Teenused, mis kasutavad CredSSP aktsepteerivad unpatched klientidele. |
Teine värskendus, mis vabastatakse mai 8, 2018, muudab vaikekäitumise "kergendatud" variant.
Märkus Krüptimisoracle ' i tervendamise muutmine nõuab taaskäivitamist.
Registri väärtus
Hoiatus Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Need probleemid võivad nõuda opsüsteemi uuesti installida. Microsoft ei garanteeri, et neid probleeme saab lahendada. Muutke registrit omal vastutusel.
Selle värskendusega tutvustatakse järgmist registrisätet:
|
Registri tee |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Väärtus |
AllowEncryptionOracle |
|
Kuupäeva tüüp |
Dword |
|
Kas Taaskäivitamine on nõutav? |
Jah |
Koostalitlusvõime maatriks
Klient ja server on vaja värskendada või Windows ja kolmanda osapoole CredSSP kliendid ei pruugi olla võimalik ühendust Windows või kolmanda osapoole hosts. Vaadake järgmist koostalitlusvõime maatriksi stsenaariumide puhul, mis on kas ekspluateerimise või tegevuse ebaõnnestumiste suhtes tundlikud.
Märkus Kui ühendate Windowsi kaugtöölaua serveriga, saab serveri konfigureerida kasutama varumine mehhanism, mis töötab TLS-i protokolli autentimiseks ja kasutajad võivad saada erinevaid tulemusi kui selles maatriksis kirjeldatud. See maatriks kirjeldab ainult CredSSP protokolli käitumist.
|
|
|
Server |
|||
|
Unpatched |
Sundida värskendatud kliente |
Leevendada |
Haavatav |
||
|
Klient |
Unpatched |
Lubatud |
Blokeeritud |
Lubatud |
Lubatud |
|
Sundida värskendatud kliente |
Blokeeritud |
Lubatud |
Lubatud |
Lubatud |
|
|
Leevendada |
Blokeeritud |
Lubatud |
Lubatud |
Lubatud |
|
|
Haavatav |
Lubatud |
Lubatud |
Lubatud |
Lubatud |
|
|
Kliendi seadistus |
CVE-2018-0886 paiga olek |
|
Unpatched |
Haavatav |
|
Sundida värskendatud kliente |
Turvaline |
|
Leevendada |
Turvaline |
|
Haavatav |
Haavatav |
Windowsi sündmuselogi tõrked
Sündmuse ID 6041 logitakse paigatud Windowsi klientide kui kliendi ja serveri hosti on konfigureeritud blokeeritud konfiguratsiooni.
|
Sündmuste logi |
Süsteemi |
|
Sündmuse allikas |
LSA (LsaSrv) |
|
Sündmuse ID |
6041 |
|
Sündmuse sõnumi tekst |
CredSSP autentimise < hostname > ei saa läbirääkimisi ühise protokolli versioon. Kaughost pakutud versioon < protokolli versioon > , mis ei ole lubatud krüptimine Oracle tervendamine. |
Tõrked, mis on loodud CredSSP blokeeritud konfiguratsiooni paari paigatud Windows RDP kliendid
Tõrked kaugtöölaua kliendi esitatud ilma 17 aprill 2018 paik (KB 4093120)
|
Unpatched pre-Windows 8,1 ja Windows Server 2012 R2 klientide ühendatud serverid konfigureeritud "Force värskendatud klientidega" |
Tõrked, mis on loodud CredSSP blokeeritud konfiguratsiooni paari paigatud Windows 8.1/Windows Server 2012 R2 ja uuemad RDP kliendid |
|
Ilmnes autentimistõrge. Funktsioonile antud luba ei sobi |
Ilmnes autentimistõrge. Taotletud funktsiooni ei toetata. |
Kaugtöölaua kliendi esitatud vead aprill 17, 2018 patch (KB 4093120)
|
Unpatched pre-windows 8,1 ja Windows Server 2012 R2 klientide ühendatud serverid konfigureeritud " Force värskendatud kliendid " |
Need tõrked on loodud CredSSP blokeeritud konfiguratsiooni paari paigatud Windows 8.1/Windows Server 2012 R2 ja hiljem RDP klientidele. |
|
Ilmnes autentimistõrge. Funktsioonile antud luba ei sobi. |
Ilmnes autentimistõrge. Taotletud funktsiooni ei toetata. Kaugarvuti: <hostname> Selle põhjuseks võib olla CredSSP krüptimise Oracle ' i tervendamine. Lisateabe saamiseks vaadake https://go.microsoft.com/fwlink/?linkid=866660 |
Kolmanda osapoole kaugtöölaua kliendid ja serverid
Kõik kolmanda osapoole kliendid või serverid tuleb kasutada CredSSP protokolli uusim versioon. Võtke ühendust hankijatega, et teha kindlaks, kas nende tarkvara ühildub uusima CredSSP protokolliga.
Protokolli uuendused leiate Windowsi protokolli dokumentatsiooni saidilt.
Faili muudatused
See värskendus on muudetud järgmised süsteemifailid.
-
tspkg.dll
CredSSP. dll fail jääb muutmata. Lisateabe saamiseks vaadake vastavaid artikleid faili versiooniteabe.
