Résumé
Le protocole CredSSP (Credential Security Support Provider) est un fournisseur d’authentification qui traite les demandes d’authentification pour d’autres applications.
Il existe une vulnérabilité d’exécution de code à distance dans les versions non corrigées de CredSSP. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer des informations d’identification utilisateur pour exécuter du code sur le système cible. Toutes les applications qui reposent sur CredSSP pour l’authentification peuvent être vulnérables à ce type d’attaque.
Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont le protocole CredSSP valide les demandes pendant le processus d’authentification.
Pour en savoir plus sur cette vulnérabilité, consultez la page CVE-2018-0886.
Mises à jour
13 mars 2018
La publication initiale du 13 mars 2018 met à jour le protocole d’authentification CredSSP et les clients Bureau à distance pour toutes les plateformes concernées.
L’atténuation consiste à installer la mise à jour sur tous les systèmes d’exploitation clients et serveurs éligibles, puis à utiliser les paramètres de stratégie de groupe inclus ou les équivalents basés sur le Registre pour gérer les options des paramètres sur les ordinateurs clients et serveurs. Nous recommandons aux administrateurs d’appliquer la stratégie et de la définir sur « Forcer les clients mis à jour » ou sur « Atténué » sur les ordinateurs clients et serveurs dans les plus brefs délais. Ces modifications nécessitent un redémarrage des systèmes concernés.
Accordez une attention particulière aux combinaisons de paramètres de stratégie de groupe ou de Registre qui entraînent des interactions de type « Bloqué » entre les clients et les serveurs dans le tableau de compatibilité figurant plus loin dans cet article.
17 avril 2018
La mise à jour du client Bureau à distance (RDP) dans l’article 4093120 de la Base de connaissances améliore le message d’erreur qui s’affiche lorsqu’un client mis à jour ne parvient pas à se connecter à un serveur qui n’a pas été mis à jour.
8 mai 2018
Mise à jour visant à remplacer le paramètre par défaut Vulnérable par Atténué.
Les numéros des articles correspondants de la Base de connaissances Microsoft sont mentionnés sur la page CVE-2018-0886.
Par défaut, après l’installation de cette mise à jour, les clients corrigés ne peuvent plus communiquer avec des serveurs non corrigés. Utilisez les paramètres de tableau d’interopérabilité et de stratégie de groupe décrits dans cet article pour activer une configuration « autorisée ».
Stratégie de groupe
|
Chemin de stratégie et nom du paramètre |
Description |
|
Chemin de stratégie : Configuration ordinateur > Modèles d’administration > Système > Délégation d’informations d’identification |
Atténuation Oracle de chiffrement Ce paramètre de stratégie s’applique aux applications qui utilisent le composant CredSSP (par exemple, Connexion Bureau à distance). Certaines versions du protocole CredSSP sont vulnérables à une attaque par oracle de chiffrement sur le client. Cette stratégie détermine la compatibilité avec les clients et serveurs vulnérables. Elle permet de définir le niveau de protection souhaité pour la vulnérabilité d’oracle de chiffrement. Si vous activez ce paramètre de stratégie, la prise en charge de la version de CredSSP est sélectionnée en fonction des options suivantes : Forcer les clients mis à jour : les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée et les services faisant appel à CredSSP n’acceptent pas les clients non corrigés. Remarque Ce paramètre ne doit être déployé que lorsque tous les hôtes distants prennent en charge la version la plus récente. Atténué : les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée, mais les services faisant appel à CredSSP acceptent les clients non corrigés. Vulnérable : les applications clientes qui utilisent CredSSP exposent les serveurs distants à des attaques par la prise en charge du rétablissement à une version non sécurisée et les services faisant appel à CredSSP acceptent les clients non corrigés. |
La stratégie de groupe Atténuation Oracle de chiffrement prend en charge les trois options suivantes, qui doivent être appliquées aux clients et aux serveurs :
|
Paramètre de stratégie |
Valeur de Registre |
Comportement client |
Comportement serveur |
|
Forcer les clients mis à jour |
0 |
Les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée. |
Les services faisant appel à CredSSP n’acceptent pas les clients non corrigés. |
|
Atténué |
1 |
Les applications clientes qui utilisent CredSSP ne peuvent pas revenir à une version non sécurisée. |
Les services faisant appel à CredSSP acceptent les clients non corrigés. |
|
Vulnérable |
2 |
Les applications clientes qui utilisent CredSSP exposent les serveurs distants à des attaques par la prise en charge du rétablissement à une version non sécurisée. |
Les services faisant appel à CredSSP acceptent les clients non corrigés. |
Une deuxième mise à jour, qui sera publiée le 8 mai 2018, appliquera l’option « Atténué » au comportement par défaut.
Remarque Toute modification du paramètre Atténuation Oracle de chiffrement nécessite un redémarrage.
Valeur de Registre
Avertissement Toute modification incorrecte du Registre à l’aide de l’Éditeur du Registre ou d’une autre méthode peut entraîner des problèmes sérieux. Ces problèmes peuvent vous obliger à réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous modifiez le Registre à vos risques et périls.
La mise à jour ajoute le paramètre de Registre suivant :
|
Chemin d’accès du Registre |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Valeur |
AllowEncryptionOracle |
|
Type de données |
DWORD |
|
Redémarrage nécessaire ? |
Oui |
Tableau d’interopérabilité
Le client et le serveur doivent être mis à jour, sinon les clients CredSSP Windows et tiers risquent de ne pas pouvoir se connecter aux hôtes Windows ou tiers. Consultez le tableau d’interopérabilité ci-dessous pour connaître les scénarios vulnérables ou qui provoquent des pannes fonctionnelles.
Remarque En cas de connexion à un serveur Bureau à distance Windows, le serveur peut être configuré pour utiliser un mécanisme de rétablissement qui fait appel au protocole TLS à des fins d’authentification, et les utilisateurs peuvent obtenir des résultats différents de ceux décrits dans ce tableau. Ce tableau décrit uniquement le comportement du protocole CredSSP.
|
|
|
Serveur |
|||
|
Non corrigé |
Forcer les clients mis à jour |
Atténué |
Vulnérable |
||
|
Client |
Non corrigé |
Autorisé |
Bloqué |
Autorisé |
Autorisé |
|
Forcer les clients mis à jour |
Bloqué |
Autorisé |
Autorisé |
Autorisé |
|
|
Atténué |
Bloqué |
Autorisé |
Autorisé |
Autorisé |
|
|
Vulnérable |
Autorisé |
Autorisé |
Autorisé |
Autorisé |
|
|
Paramètre client |
État du correctif pour CVE-2018-0886 |
|
Non corrigé |
Vulnérable |
|
Forcer les clients mis à jour |
Sécurisé |
|
Atténué |
Sécurisé |
|
Vulnérable |
Vulnérable |
Erreurs du journal des événements Windows
L’ID d’événement 6041 est enregistré sur les clients Windows corrigés sir le client et l’hôte distant sont configurés avec le paramètre Bloqué.
|
Journal des événements |
Système |
|
Source de l’événement |
LSA (LsaSrv) |
|
ID d’événement |
6041 |
|
Texte du message d’événement |
Une authentification CredSSP à <nom_hôte> n’est pas parvenue à négocier une version de protocole commune. L’hôte distant proposait la version <version_protocole> qui n’est pas autorisée par l’atténuation Oracle de chiffrement. |
Erreurs générées par des paires de configuration bloquée par CredSSP par des clients RDP Windows corrigés
Erreurs générées par le client Bureau à distance sans le correctif du 17 avril 2018 (KB 4093120)
|
Clients antérieurs à Windows 8.1 et Windows Server 2012 R2 non corrigés associés à des serveurs configurés avec l’option « Forcer les clients mis à jour » |
Erreurs générées par des paires de configuration bloquée par CredSSP par des clients RDP Windows 8.1/Windows Server 2012 R2 et versions ultérieures |
|
Une erreur d’authentification s’est produite. Le jeton fourni à la fonction n’est pas valide. |
Une erreur d’authentification s’est produite. La fonction demandée n’est pas prise en charge. |
Erreurs générées par le client Bureau à distance avec le correctif du 17 avril 2018 (KB 4093120)
|
Clients antérieurs à Windows 8.1 et Windows Server 2012 R2 non corrigés associés à des serveurs configurés avec l’option « Forcer les clients mis à jour »” |
Ces erreurs sont générées par des paires de configuration bloquée par CredSSP par des clients RDP Windows 8.1/Windows Server 2012 R2 et versions ultérieures. |
|
Une erreur d’authentification s’est produite. Le jeton fourni à la fonction n’est pas valide. |
Une erreur d’authentification s’est produite. La fonction demandée n’est pas prise en charge. Ordinateur distant : <nom_hôte> Cette erreur peut être due à l’atténuation Oracle de chiffrement CredSSP. Pour plus d’informations, voir https://go.microsoft.com/fwlink/?linkid=866660. |
Clients et serveurs Bureau à distance tiers
Tous les clients ou serveurs tiers doivent utiliser la dernière version du protocole CredSSP. Contactez les fournisseurs pour déterminer si leur logiciel est compatible avec le protocole CredSSP le plus récent.
Les mises à jour du protocole sont disponibles sur le site de documentation sur le protocole Windows.
Modifications des fichiers
Les fichiers système suivants ont été modifiés dans cette mise à jour.
-
tspkg.dll
Le fichier credssp.dll reste inchangé. Pour obtenir des informations sur les versions des fichiers, consultez les articles connexes.
