Mises à jour de CredSSP pour CVE-2018-0886

S’applique à : Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard Plus

Résumé


Le protocole CredSSP (Credential Security Support Provider) est un fournisseur d’authentification qui traite les demandes d’authentification pour d’autres applications.

Il existe une vulnérabilité d’exécution de code à distance dans les versions non corrigées de CredSSP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer des informations d’identification utilisateur pour exécuter du code sur le système cible. Toutes les applications qui reposent sur CredSSP pour l’authentification peuvent être vulnérables à ce type d’attaque.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont le protocole CredSSP valide les demandes pendant le processus d’authentification.

Pour en savoir plus sur cette vulnérabilité, consultez la page CVE-2018-0886.

Mises à jour


13 mars 2018

La publication initiale du 13 mars 2018 met à jour le protocole d’authentification CredSSP et les clients Bureau à distance pour toutes les plateformes concernées.

L’atténuation consiste à installer la mise à jour sur tous les systèmes d’exploitation clients et serveurs éligibles, puis à utiliser les paramètres de stratégie de groupe inclus ou les équivalents basés sur le Registre pour gérer les options des paramètres sur les ordinateurs clients et serveurs. Nous recommandons aux administrateurs d’appliquer la stratégie et de la définir sur « Forcer les clients mis à jour » ou sur « Atténué » sur les ordinateurs clients et serveurs dans les plus brefs délais. Ces modifications nécessitent un redémarrage des systèmes concernés.

Accordez une attention particulière aux combinaisons de paramètres de stratégie de groupe ou de Registre qui entraînent des interactions de type « Bloqué » entre les clients et les serveurs dans le tableau de compatibilité figurant plus loin dans cet article.

17 avril 2018

La mise à jour du client Bureau à distance (RDP) dans l’article 4093120 de la Base de connaissances améliore le message d’erreur qui s’affiche lorsqu’un client mis à jour ne parvient pas à se connecter à un serveur qui n’a pas été mis à jour.

8 mai 2018

Mise à jour visant à remplacer le paramètre par défaut Vulnérable par Atténué.

Les numéros des articles correspondants de la Base de connaissances Microsoft sont mentionnés sur la page CVE-2018-0886.

Par défaut, après l’installation de cette mise à jour, les clients corrigés ne peuvent plus communiquer avec des serveurs non corrigés. Utilisez les paramètres de tableau d’interopérabilité et de stratégie de groupe décrits dans cet article pour activer une configuration « autorisée ».

Stratégie de groupe


Chemin de stratégie et nom du paramètre

Description

Chemin de stratégie : Configuration ordinateur > Modèles d’administration > Système > Délégation d’informations d’identification

Nom du paramètre : Atténuation Oracle de chiffrement

Atténuation Oracle de chiffrement

Ce paramètre de stratégie s’applique aux applications qui utilisent le composant CredSSP (par exemple, Connexion Bureau à distance).

Certaines versions du protocole CredSSP sont vulnérables à une attaque par oracle de chiffrement sur le client. Cette stratégie détermine la compatibilité avec les clients et serveurs vulnérables. Elle permet de définir le niveau de protection souhaité pour la vulnérabilité d’oracle de chiffrement.

Si vous activez ce paramètre de stratégie, la prise en charge de la version de CredSSP est sélectionnée en fonction des options suivantes :

Forcer les clients mis à jour : les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée et les services faisant appel à CredSSP n’acceptent pas les clients non corrigés.

Remarque Ce paramètre ne doit être déployé que lorsque tous les hôtes distants prennent en charge la version la plus récente.

Atténué : les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée, mais les services faisant appel à CredSSP acceptent les clients non corrigés.

Vulnérable : les applications clientes qui utilisent CredSSP exposent les serveurs distants à des attaques par la prise en charge du rétablissement à une version non sécurisée et les services faisant appel à CredSSP acceptent les clients non corrigés.

 

La stratégie de groupe Atténuation Oracle de chiffrement prend en charge les trois options suivantes, qui doivent être appliquées aux clients et aux serveurs :

Paramètre de stratégie

Valeur de Registre

Comportement client

Comportement serveur

Forcer les clients mis à jour

0

Les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée.

Les services faisant appel à CredSSP n’acceptent pas les clients non corrigés.

Remarque Ce paramètre ne doit être déployé que lorsque tous les clients CredSSP Windows et tiers prennent en charge la version la plus récente de CredSSP.

Atténué

1

Les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée.

Les services faisant appel à CredSSP acceptent les clients non corrigés.

Vulnérable

2

Les applications clientes qui utilisent CredSSP exposent les serveurs distants à des attaques par la prise en charge du rétablissement à une version non sécurisée.

Les services faisant appel à CredSSP acceptent les clients non corrigés.

 

Une deuxième mise à jour, qui sera publiée le 8 mai 2018, appliquera l’option « Atténué » au comportement par défaut.

Remarque Toute modification du paramètre Atténuation Oracle de chiffrement nécessite un redémarrage.

Valeur de Registre


La mise à jour ajoute le paramètre de Registre suivant :

Chemin d’accès du Registre

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Valeur

AllowEncryptionOracle

Type de données

DWORD

Redémarrage nécessaire ?

Oui

Tableau d’interopérabilité


Le client et le serveur doivent être mis à jour, sinon les clients CredSSP Windows et tiers risquent de ne pas pouvoir se connecter aux hôtes Windows ou tiers. Consultez le tableau d’interopérabilité ci-dessous pour connaître les scénarios vulnérables ou qui provoquent des pannes fonctionnelles.

Remarque En cas de connexion à un serveur Bureau à distance Windows, le serveur peut être configuré pour utiliser un mécanisme de rétablissement qui fait appel au protocole TLS à des fins d’authentification, et les utilisateurs peuvent obtenir des résultats différents de ceux décrits dans ce tableau. Ce tableau décrit uniquement le comportement du protocole CredSSP.

 

 

Serveur

 

Non corrigé

Forcer les clients mis à jour

Atténué

Vulnérable

Client

Non corrigé

Autorisé

Bloqué

Autorisé

Autorisé

Forcer les clients mis à jour

Bloqué

Autorisé

Autorisé

Autorisé

Atténué

Bloqué

Autorisé

Autorisé

Autorisé

Vulnérable

Autorisé

Autorisé

Autorisé

Autorisé

 

Paramètre client

État du correctif pour CVE-2018-0886

Non corrigé

Vulnérable

Forcer les clients mis à jour

Sécurisé

Atténué

Sécurisé

Vulnérable

Vulnérable

Erreurs du journal des événements Windows


L’ID d’événement 6041 est enregistré sur les clients Windows corrigés sir le client et l’hôte distant sont configurés avec le paramètre Bloqué.

Journal des événements

Système

Source de l’événement

LSA (LsaSrv)

ID d’événement

6041

Texte du message d’événement

Une authentification CredSSP à <nom_hôte> n’est pas parvenue à négocier une version de protocole commune. L’hôte distant proposait la version <version_protocole> qui n’est pas autorisée par l’atténuation Oracle de chiffrement.

Erreurs générées par des paires de configuration bloquée par CredSSP par des clients RDP Windows corrigés


Erreurs générées par le client Bureau à distance sans le correctif du 17 avril 2018 (KB 4093120)

Clients antérieurs à Windows 8.1 et Windows Server 2012 R2 non corrigés associés à des serveurs configurés avec l’option « Forcer les clients mis à jour »

Erreurs générées par des paires de configuration bloquée par CredSSP par des clients RDP Windows 8.1/Windows Server 2012 R2 et versions ultérieures

Une erreur d’authentification s’est produite.

Le jeton fourni à la fonction n’est pas valide.

Une erreur d’authentification s’est produite.

La fonction demandée n’est pas prise en charge.


Erreurs générées par le client Bureau à distance avec le correctif du 17 avril 2018 (KB 4093120)

Clients antérieurs à Windows 8.1 et Windows Server 2012 R2 non corrigés associés à des serveurs configurés avec l’option « Forcer les clients mis à jour »”

Ces erreurs sont générées par des paires de configuration bloquée par CredSSP par des clients RDP Windows 8.1/Windows Server 2012 R2 et versions ultérieures.

Une erreur d’authentification s’est produite.

Le jeton fourni à la fonction n’est pas valide.

Une erreur d’authentification s’est produite.

La fonction demandée n’est pas prise en charge.

Ordinateur distant : <nom_hôte>

Cette erreur peut être due à l’atténuation Oracle de chiffrement CredSSP.

Pour plus d’informations, voir https://go.microsoft.com/fwlink/?linkid=866660.

Clients et serveurs Bureau à distance tiers


Tous les clients ou serveurs tiers doivent utiliser la dernière version du protocole CredSSP. Contactez les fournisseurs pour déterminer si leur logiciel est compatible avec le protocole CredSSP le plus récent.

Les mises à jour du protocole sont disponibles sur le site de documentation sur le protocole Windows.

Modifications des fichiers


Les fichiers système suivants ont été modifiés dans cette mise à jour.

  • tspkg.dll

Le fichier credssp.dll reste inchangé. Pour obtenir des informations sur les versions des fichiers, consultez les articles connexes.