סיכום
פרוטוקול ספק תמיכה באבטחת אישורים (CredSSP) הוא ספק אימות המעבד בקשות אימות עבור יישומים אחרים. קיימת פגיעות של ביצוע קוד מרחוק בגירסאות שאינן מתוקנו של CredSSP. תוקף שיצליח לנצל את הפגיעות המתוארת יוכל להעביר להפעלת קוד במערכת היעד. כל יישום התלוי ב-CredSSP לצורך אימות עלול להיות פגיע לסוג זה של התקפה.
עדכון אבטחה זה מטפל בפגיעות על-ידי תיקון האופן שבו CredSSP מאמת בקשות במהלך תהליך האימות.
כדי ללמוד עוד על הפגיעות, ראה CVE-2018-0886.
עדכונים
13 במרץ, 2018
ה -13 במרץ הראשון, 2018, מהדורה מעדכנת את פרוטוקול האימות CredSSP ואת לקוחות שולחן העבודה המרוחק עבור כל הפלטפורמות המושפעות. הפחתת הסיכון מורכבת מהתקנת העדכון בכל מערכות ההפעלה הראויות של הלקוח והשרת ולאחר מכן שימוש בהגדרות מדיניות קבוצתית כלולות או במקבילות מבוססות רישום לניהול אפשרויות ההגדרה במחשבי הלקוח והשרת. אנו ממליצים למנהלי מערכת להחיל את המדיניות ולהגדיר אותה כ"כפות לקוחות מעודכנים" או "הוחלט" במחשבי הלקוח והשרת בהקדם האפשרי. שינויים אלה ידרשו אתחול מחדש של המערכות המושפעות. שים לב לזוגות של מדיניות קבוצתית או הגדרות רישום הנובעות מאינטראקציות "חסומות" בין לקוחות ושרתים בטבלת התאימות בהמשך מאמר זה.
17 באפריל, 2018
עדכון עדכון לקוח שולחן עבודה מרוחק (RDP) ב-KB 4093120 ישפר את הודעת השגיאה המוצגת כאשר לקוח מעודכן נכשל בהתחברות לשרת שלא עודכן.
08/05/2018
עדכון לשינויהגדרת ברירת המחדל מפגיעות לאירוע.
מספרי מאגר הידע הרלוונטיים של Microsoft מפורטים ב- CVE-2018-0886.
כברירת מחדל, לאחר התקנת עדכון זה, לקוחות שתוקנו אינם יכולים לקיים תקשורת עם שרתים שלא תוקנו. השתמש במטריצת האינטראופרביליות ובהגדרות המדיניות הקבוצתית המתוארות במאמר זה כדי לאפשר תצורה של "מותר".
מדיניות קבוצתית
שם נתיב והגדרת מדיניות |
תיאור |
נתיב מדיניות: תצורת מחשב-> תבניות מנהליות-> הקצאת אישורים > מערכת שם הגדרה: הצפנת Oracle הצפנה |
שתיקון אורקל של הצפנה הגדרת מדיניות זו חלה על יישומים המשתמשים ברכיב CredSSP (לדוגמה, ' חיבור לשולחן עבודה מרוחק '). גירסאות מסוימות של פרוטוקול CredSSP חשופות להתקפה של oracle הצפנה נגד הלקוח. מדיניות זו שולטת בתאימות עם לקוחות פגיעים ושרתים. מדיניות זו מאפשרת לך להגדיר את רמת ההגנה הרצויה עבור הפגיעות של oracle ההצפנה. אם תפעיל הגדרת מדיניות זו, התמיכה בגירסת CredSSP תיבחר בהתאם לאפשרויות הבאות: אלץ לקוחות מעודכנים – יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח, ושירותים המשתמשים ב-CredSSP לא יקבלו לקוחות שתוקנו. שים לב אין לפרוס הגדרה זו עד שכל המחשבים המארחים המרוחקים תומכים בגירסה החדשה ביותר. הוחלט – יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח, אך שירותים המשתמשים ב-CredSSP יקבלו לקוחות שתוקנו. פגיע – יישומי לקוח המשתמשים ב-CredSSP יחשפו את השרתים המרוחקים להתקפות על-ידי תמיכה בנסיגה לגירסאות לא מאובטח ושירותים המשתמשים ב-CredSSP יקבלו לקוחות שאינם תוקנו. |
מדיניות קבוצת התיקונים של Oracle ההצפנה תומכת בשלוש האפשרויות הבאות, שאותן יש להחיל על לקוחות ושרתים:
הגדרת מדיניות |
ערך רישום |
התנהגות לקוח |
התנהגות שרת |
אלץ לקוחות מעודכנים |
0 |
יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח. |
שירותים המשתמשים ב-CredSSP לא יקבלו לקוחות שלא תוקנו. שים לב אין לפרוס הגדרה זו עד שכל לקוחות credssp של צד שלישי תומכים בגירסת credssp החדשה ביותר. |
מיום |
1 |
יישומי לקוח המשתמשים ב-CredSSP לא יוכלו לסגת לגירסאות לא מאובטח. |
שירותים המשתמשים ב-CredSSP יקבלו לקוחות שלא תוקנו . |
פגיע |
2 |
יישומי לקוח המשתמשים ב-CredSSP חושפים שרתים מרוחקים להתקפות על-ידי תמיכה בנסיגה לגירסאות לא בטוחות. |
שירותים המשתמשים ב-CredSSP יקבלו לקוחות שלא תוקנו . |
עדכון שני, שישוחרר ב -8 במאי, 2018, ישנה את התנהגות ברירת המחדל לאפשרות "מוחלט".
שים לב כל שינוי לתיקון Oracle הצפנה דורש אתחול מחדש.
ערך רישום
אזהרה בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי באמצעות עורך הרישום או באמצעות שיטה אחרת. ייתכן שבעיות אלה ידרשו שתתקין מחדש את מערכת ההפעלה. Microsoft אינה יכולה לערוב לכך שבעיות אלה ייפתרו. שנה את הרישום באחריותך.
העדכון מציג את הגדרת הרישום הבאה:
נתיב רישום |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
ערך |
AllowEncryptionOracle |
סוג תאריך |
DWORD |
נדרש אתחול מחדש? |
כן |
מטריצה אינטראופרביליות
יש צורך לעדכן הן את הלקוח והן את השרת, או שייתכן שללקוחות CredSSP של ספק חיצוני לא תהיה אפשרות להתחבר אל Windows או למחשבים מארחים של צד שלישי. לקבלת תרחישים שעלולים להיות פגיעים לניצול או לגרום לכשלים תפעוליים, עיין במטריצת האינטראופרביליות הבאה.
שים לב בעת התחברות לשרת שולחן עבודה מרוחק של Windows, ניתן לקבוע את תצורת השרת כך שישתמש במנגנון ההחזרה המשתמש בפרוטוקול TLS לצורך אימות, ומשתמשים עלולים לקבל תוצאות שונות מאשר תוארו במטריצה זו. מטריצה זו מתארת רק את אופן הפעולה של פרוטוקול CredSSP.
|
|
שרת |
|||
חשמל |
אלץ לקוחות מעודכנים |
מיום |
פגיע |
||
לקוח |
חשמל |
ותר |
חסומים |
ותר |
ותר |
אלץ לקוחות מעודכנים |
חסומים |
ותר |
ותר |
ותר |
|
מיום |
חסומים |
ותר |
ותר |
ותר |
|
פגיע |
ותר |
ותר |
ותר |
ותר |
הגדרת לקוח |
מעמד התיקון CVE-2018-0886 |
חשמל |
פגיע |
אלץ לקוחות מעודכנים |
מאובטח |
מיום |
מאובטח |
פגיע |
פגיע |
שגיאות ביומן האירועים של Windows
מזהה אירוע 6041 יירשם במחשבי Windows שתוקנו, אם הלקוח והמחשב המארח המרוחק מוגדרים בתצורה חסומה.
יומן אירועים |
System |
מקור אירוע |
-LSA (LsaSrv) |
מזהה אירוע |
6041 |
טקסט הודעת אירוע |
אימות CredSSP ל< מארח מארח > נכשל בביצוע משא ומתן על גירסת פרוטוקול משותפת. המחשב המארח המרוחק הציע גירסה < פרוטוקול גירסה > שאינה מותרת על-ידי הצפנת Oracle. |
שגיאות שנוצרו על-ידי CredSSP-שנחסמו זוגות תצורה על ידי לקוחות Windows RDP שתוקנה
שגיאות שהוצגו על-ידי לקוח שולחן עבודה מרוחק ללא אפריל 17, 2018 טלאי (KB 4093120)
לקוחות שטרם תוקנו ב-Windows 8.1 ו-Windows Server 2012 R2 המשויכים לשרתים המוגדרים באמצעות "כפה לקוחות מעודכנים" |
שגיאות שנוצרו על-ידי CredSSP-זוגות תצורה חסומים על-ידי שתוקנה Windows 8.1/Windows Server 2012 R2 ולקוחות RDP מאוחר יותר |
אירעה שגיאת אימות. האסימון שסופק לפונקציה אינו חוקי |
אירעה שגיאת אימות. הפונקציה המבוקשת אינה נתמכת. |
שגיאות שהוצגו על-ידי לקוח שולחן העבודה המרוחק עם 17 באפריל, 2018 טלאי (KB 4093120)
לקוחות שטרם תוקנו ב-windows 8.1 ו-Windows Server 2012 R2 המשויכים לשרתים המוגדרים עם " אלץ לקוחות מעודכנים " |
שגיאות אלה נוצרות על-ידי הגדרת צמדי CredSSP-חסומים על-ידי שתוקנה Windows 8.1/Windows Server 2012 R2 ולקוחות RDP מאוחרים יותר. |
אירעה שגיאת אימות. האסימון שסופק לפונקציה אינו חוקי. |
אירעה שגיאת אימות. הפונקציה המבוקשת אינה נתמכת. מחשב מרוחק: <מארח מארח> הדבר עשוי לנבוע מתיקון oracle הצפנה של CredSSP. לקבלת מידע נוסף, ראה https://go.microsoft.com/fwlink/?linkid=866660 |
לקוחות ושרתים שולחניים מרוחקים של צד שלישי
כל הלקוחות או השרתים של ספקים חיצוניים חייבים להשתמש בגירסה העדכנית ביותר של פרוטוקול CredSSP. נא פנה אל הספקים כדי לקבוע אם התוכנה שלהם תואמת לפרוטוקול CredSSP העדכני ביותר.
עדכוני הפרוטוקול יכולים להימצא באתר של תיעוד פרוטוקול של Windows.
שינויי קבצים
קבצי המערכת הבאים שונו בעדכון זה.
-
tspkg.dll
הקובץ credssp. dll נותר ללא שינוי. לקבלת מידע נוסף, עיין במאמרים הרלוונטיים למידע אודות גירסת הקובץ.