CredSSP ažuriranja za CVE-2018-0886

Vrijedi za: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard

Sažetak


Protokol za sigurnosnu podršku davatelja vjerodajnica (CredSSP) je davatelj provjere autentičnosti koji obrađuje zahtjeve za provjeru autentičnosti za druge aplikacije.Slabe točke izvršavanja udaljenog koda postoji u nezakrpanim verzijama CredSSP. Napadač koji uspješno ekspsitirati ovu ranjivost može prenositi korisničke vjerodajnice za izvršavanje koda na ciljanom sustavu. Svaka aplikacija koja ovisi o CredSSP za provjeru autentičnosti može biti osjetljiva na ovu vrstu napada.

Ovo Sigurnosno ažuriranje rješava ranjivost ispravljanjem načina na koji CredSSP validati zahtjeva tijekom postupka provjere autentičnosti.

Da biste saznali više o ranjivosti, pogledajte CVE-2018-0886.

Ažuriranja


Ožujak 13, 2018

Početni Ožujak 13, 2018, izdanje ažurira CredSSP protokol provjere autentičnosti i klijente udaljene radne površine za sve zahvaćene platforme.Ublažavanje se sastoji od instaliranja ažuriranja na sve prihvatljive klijente i operacijske sustave poslužitelja, a zatim koristite uključene postavke pravila grupe ili ekvivalenti temeljeni na registru za upravljanje opcijama postavke na klijentskim i poslužiteljima računala. Preporučujemo da administratori primjenjuju pravila i postavite ga na "Force ažurirane klijente" ili "Mitigated" na klijentskim i serverskim računalima što je prije moguće.  Te promjene će zahtijevati ponovno pokretanje zahvaćenih sustava.Obratite pažnju na pravila grupe ili parove postavki registra koji rezultiraju interakcijama "blokirani" između klijenata i poslužitelja u tablici kompatibilnosti kasnije u ovom članku.

Travanj 17, 2018

Ažuriranje Update Remote Desktop klijent (RDP) u KB 4093120 će poboljšati poruku o pogrešci koja je predstavljen kada ažurirani klijent ne uspije povezati s poslužiteljem koji nije ažuriran.

Svibanj 8, 2018

Ažuriranje za promjenu zadane postavke od ranjivog do ublažene.

Povezani brojevi Microsoft baze znanja navedeni su u CVE-2018-0886.

Prema zadanim postavkama, nakon instaliranja ovog ažuriranja, zakrpane klijenti ne mogu komunicirati s nezakrpanim poslužiteljima. Upotrijebite matricu interoperabilnosti i postavke pravila grupe opisane u ovom članku da biste omogućili konfiguraciju "dopuštene".

Group Policy (Pravilnik grupe)


Put pravila i naziv postavke

Opis

Put politike: Konfiguracija računala-> Administrativni predlošci-> sustav-> vjerodajnice delegiranje Naziv postavljanja: korekcija Oracle šifriranja

Korekcija Oracle šifriranja

Ova postavka pravila primjenjuje se na aplikacije koje koriste tu komponentu CredSSP (na primjer, veza s udaljenom radnom površinom).

Neke verzije CredSSP protokola ranjive su za napad Oracle šifriranje protiv klijenta. Ova pravila kontroliraju kompatibilnost s ranjivim klijentima i poslužiteljima. Ovo pravilo vam omogućuje da postavite razinu zaštite koju želite u Oracle ranjivosti šifriranja.

Ako omogućite ovu postavku pravila, podrška CredSSP verzija će biti odabrana na temelju sljedećih mogućnosti:

Force ažurirani klijenti – Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrati na nesigurne verzije, a usluge koje koriste CredSSP neće prihvatiti bez zakrpan klijenata.

Note Ova postavka ne smije se implementirati dok svi udaljeni domaćini ne podržavaju najnoviju verziju.

Ublažen – Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrati u nesigurne verzije, ali usluge koje koriste CredSSP će prihvatiti nezakrpan klijenata.

Ranjivim – Klijentske aplikacije koje koriste CredSSP će izložiti udaljene poslužitelje za napade podržavajući pričuvne nesigurne verzije, a usluge koje koriste CredSSP će prihvatiti bez zakrpan klijenata.

 

Pravilnik grupe za ispravljanje Oracle šifriranja podržava sljedeće tri mogućnosti koje treba primijeniti na klijente i poslužitelje:

Postavka pravila

Vrijednost registra

Ponašanje klijenta

Ponašanje poslužitelja

Prisilno ažuriraju klijente

0

Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrate u nesigurne verzije.

Usluge koje koriste CredSSP neće prihvatiti Nezakrpane klijente. Note Ta se postavka ne smije implementirati dok Svi Windows i CredSSP klijenti treće strane ne podržavaju najnoviju verziju CredSSP.

Ublažiti

1

Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrate u nesigurne verzije.

Usluge koje koriste CredSSP prihvatit će Nezakrpane klijente.

Ranjiv

2

Klijentske aplikacije koje koriste CredSSP će izložiti udaljene poslužitelje za napade podupirući rezervu na nesigurne verzije.

Usluge koje koriste CredSSP prihvatit će Nezakrpane klijente.

 

Drugo ažuriranje, biti objavljen na Svibanj 8, 2018, promijenit će zadano ponašanje na "Mitigated" opciju.

Note Svaka promjena korekcija Oracle šifriranje zahtijeva ponovno podizanje sustava.

Vrijednost registra


Ažuriranje uvodi sljedeću postavku registra:

Put registra

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Vrijednost

Dopuštanje šifriranja

Vrsta datuma

Dword

Potrebno je ponovno podizanje sustava?

Da

Matrica interoperabilnosti


Klijent i poslužitelj moraju biti ažurirani ili se Windows i CredSSP klijenti treće strane možda neće moći povezati sa sustavom Windows ili domaćinu trećih strana. Pogledajte sljedeću matricu interoperabilnosti za scenarije koji su ili ranjivi na eksploataciju ili uzrokuju neispravne operativne pogreške.

Note Prilikom povezivanja na poslužitelj udaljene radne površine sustava Windows, poslužitelj se može konfigurirati za korištenje pričuvnog mehanizma koji koristi TLS protokol za provjeru autentičnosti, a korisnici mogu dobiti različite rezultate nego što je opisano u ovoj matrici. Ova matrica opisuje samo ponašanje CredSSP protokola.

 

 

Poslužitelj

 

Unpatched

Prisilno ažuriraju klijente

Ublažiti

Ranjiv

Klijent

Unpatched

Dopušteno

Blokiran

Dopušteno

Dopušteno

Prisilno ažuriraju klijente

Blokiran

Dopušteno

Dopušteno

Dopušteno

Ublažiti

Blokiran

Dopušteno

Dopušteno

Dopušteno

Ranjiv

Dopušteno

Dopušteno

Dopušteno

Dopušteno

 

Postavka klijenta

U stanju zakrpe CVE-2018-0886

Unpatched

Ranjiv

Prisilno ažuriraju klijente

Siguran

Ublažiti

Siguran

Ranjiv

Ranjiv

Pogreške zapisnika događaja u sustavu Windows


ID događaja 6041 će biti prijavljeni na zakrpan Windows klijenti ako klijent i udaljeni Host su konfigurirani u blokirane konfiguracije.

Zapisnik događaja

Sustav

Izvor događaja

LSA (LsaSrv)

ID događaja

6041

Tekst poruke o događaju

CredSSP provjera autentičnosti za < naziv hosta > nije uspio pregovarati zajedničku verziju protokola. Udaljeni host ponudio je verziju < Protocol version > koja nije dopuštena korekcijom Oracle šifriranje.

Pogreške koje generira parova CredSSP blokirani konfiguracije zakrpan Windows RDP klijenti


Pogreške koje je predstavio klijent udaljene radne površine bez zakrpe 17. travnja 2018 (KB 4093120)

Nezakrpan prije Windows 8,1 i Windows Server 2012 R2 klijenti upareni s poslužiteljima konfiguriran s "Force ažurirani klijenti"

Pogreške koje generira parova CredSSP blokirani konfiguracije zakrpe Windows 8.1/Windows Server 2012 R2 i noviji RDP klijenti

Došlo je do pogreške u provjeri autentičnosti.

Token isporučen funkciji nije valjan

Došlo je do pogreške u provjeri autentičnosti.

Zatražena funkcija nije podržana.

Pogreške koje je predstavio klijent udaljene radne površine s zakrpom travnja 17, 2018 (KB 4093120)

Nezakrpan prije Windows 8,1 i Windows Server 2012 R2 klijenti upareni s poslužiteljima konfiguriran s " Prisilno ažurirani klijenti "

Ove pogreške generira parova CredSSP blokirani konfiguracije zakrpe Windows 8.1/Windows Server 2012 R2 i noviji RDP klijenti.

Došlo je do pogreške u provjeri autentičnosti.

Token isporučen funkciji nije valjan.

Došlo je do pogreške u provjeri autentičnosti.

Zatražena funkcija nije podržana.

Udaljeno računalo: <naziv hosta>

To bi moglo biti posljedica proracenja CredSSP šifriranja.

Za više informacija pogledajte https://go.Microsoft.com/fwlink/?linkid=866660

Klijenti i poslužitelji udaljene radne površine treće strane


Svi klijenti ili poslužitelji trećih strana moraju koristiti najnoviju verziju CredSSP protokola. Obratite se dobavljačima kako biste utvrdili je li njihov softver kompatibilan s najnovijim CredSSP protokolom.

Ažuriranja protokola mogu se pronaći na web-mjestu dokumentacija protokola Windows.

Promjene datoteka


U ovom se ažuriranju mijenjaju sljedeće sistemske datoteke.

  • tspkg.dll

Datoteka CredSSP. dll ostaje nepromijenjena. Za više informacija pregledajte relevantne članke za informacije o verziji datoteke.