Sažetak
Protokol za sigurnosnu podršku davatelja vjerodajnica (CredSSP) je davatelj provjere autentičnosti koji obrađuje zahtjeve za provjeru autentičnosti za druge aplikacije. Slabe točke izvršavanja udaljenog koda postoji u nezakrpanim verzijama CredSSP. Napadač koji uspješno ekspsitirati ovu ranjivost može prenositi korisničke vjerodajnice za izvršavanje koda na ciljanom sustavu. Svaka aplikacija koja ovisi o CredSSP za provjeru autentičnosti može biti osjetljiva na ovu vrstu napada.
Ovo Sigurnosno ažuriranje rješava ranjivost ispravljanjem načina na koji CredSSP validati zahtjeva tijekom postupka provjere autentičnosti.
Da biste saznali više o ranjivosti, pogledajte CVE-2018-0886.
Ažuriranja
Ožujak 13, 2018
Početni Ožujak 13, 2018, izdanje ažurira CredSSP protokol provjere autentičnosti i klijente udaljene radne površine za sve zahvaćene platforme. Ublažavanje se sastoji od instaliranja ažuriranja na sve prihvatljive klijente i operacijske sustave poslužitelja, a zatim koristite uključene postavke pravila grupe ili ekvivalenti temeljeni na registru za upravljanje opcijama postavke na klijentskim i poslužiteljima računala. Preporučujemo da administratori primjenjuju pravila i postavite ga na "Force ažurirane klijente" ili "Mitigated" na klijentskim i serverskim računalima što je prije moguće. Te promjene će zahtijevati ponovno pokretanje zahvaćenih sustava. Obratite pažnju na pravila grupe ili parove postavki registra koji rezultiraju interakcijama "blokirani" između klijenata i poslužitelja u tablici kompatibilnosti kasnije u ovom članku.
Travanj 17, 2018
Ažuriranje Update Remote Desktop klijent (RDP) u KB 4093120 će poboljšati poruku o pogrešci koja je predstavljen kada ažurirani klijent ne uspije povezati s poslužiteljem koji nije ažuriran.
Svibanj 8, 2018
Ažuriranje za promjenu zadane postavke od ranjivog do ublažene.
Povezani brojevi Microsoft baze znanja navedeni su u CVE-2018-0886.
Prema zadanim postavkama, nakon instaliranja ovog ažuriranja, zakrpane klijenti ne mogu komunicirati s nezakrpanim poslužiteljima. Upotrijebite matricu interoperabilnosti i postavke pravila grupe opisane u ovom članku da biste omogućili konfiguraciju "dopuštene".
Group Policy (Pravilnik grupe)
Put pravila i naziv postavke |
Opis |
Put politike: Konfiguracija računala-> Administrativni predlošci-> sustav-> vjerodajnice delegiranje Naziv postavljanja: korekcija Oracle šifriranja |
Korekcija Oracle šifriranja Ova postavka pravila primjenjuje se na aplikacije koje koriste tu komponentu CredSSP (na primjer, veza s udaljenom radnom površinom). Neke verzije CredSSP protokola ranjive su za napad Oracle šifriranje protiv klijenta. Ova pravila kontroliraju kompatibilnost s ranjivim klijentima i poslužiteljima. Ovo pravilo vam omogućuje da postavite razinu zaštite koju želite u Oracle ranjivosti šifriranja. Ako omogućite ovu postavku pravila, podrška CredSSP verzija će biti odabrana na temelju sljedećih mogućnosti: Force ažurirani klijenti – Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrati na nesigurne verzije, a usluge koje koriste CredSSP neće prihvatiti bez zakrpan klijenata. Note Ova postavka ne smije se implementirati dok svi udaljeni domaćini ne podržavaju najnoviju verziju. Ublažen – Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrati u nesigurne verzije, ali usluge koje koriste CredSSP će prihvatiti nezakrpan klijenata. Ranjivim – Klijentske aplikacije koje koriste CredSSP će izložiti udaljene poslužitelje za napade podržavajući pričuvne nesigurne verzije, a usluge koje koriste CredSSP će prihvatiti bez zakrpan klijenata. |
Pravilnik grupe za ispravljanje Oracle šifriranja podržava sljedeće tri mogućnosti koje treba primijeniti na klijente i poslužitelje:
Postavka pravila |
Vrijednost registra |
Ponašanje klijenta |
Ponašanje poslužitelja |
Prisilno ažuriraju klijente |
0 |
Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrate u nesigurne verzije. |
Usluge koje koriste CredSSP neće prihvatiti Nezakrpane klijente. Note Ta se postavka ne smije implementirati dok Svi Windows i CredSSP klijenti treće strane ne podržavaju najnoviju verziju CredSSP. |
Ublažiti |
1 |
Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrate u nesigurne verzije. |
Usluge koje koriste CredSSP prihvatit će Nezakrpane klijente. |
Ranjiv |
2 |
Klijentske aplikacije koje koriste CredSSP će izložiti udaljene poslužitelje za napade podupirući rezervu na nesigurne verzije. |
Usluge koje koriste CredSSP prihvatit će Nezakrpane klijente. |
Drugo ažuriranje, biti objavljen na Svibanj 8, 2018, promijenit će zadano ponašanje na "Mitigated" opciju.
Note Svaka promjena korekcija Oracle šifriranje zahtijeva ponovno podizanje sustava.
Vrijednost registra
Upozorenja Ako nepravilno izmijenite registar pomoću uređivača registra ili pomoću druge metode, može doći do ozbiljnih problema. Ti problemi možda zahtijevaju ponovnu instalaciju operacijskog sustava. Microsoft ne može jamčiti da se ti problemi mogu riješiti. Izmijenite registar na vlastiti rizik.
Ažuriranje uvodi sljedeću postavku registra:
Put registra |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Vrijednost |
Dopuštanje šifriranja |
Vrsta datuma |
Dword |
Potrebno je ponovno podizanje sustava? |
Da |
Matrica interoperabilnosti
Klijent i poslužitelj moraju biti ažurirani ili se Windows i CredSSP klijenti treće strane možda neće moći povezati sa sustavom Windows ili domaćinu trećih strana. Pogledajte sljedeću matricu interoperabilnosti za scenarije koji su ili ranjivi na eksploataciju ili uzrokuju neispravne operativne pogreške.
Note Prilikom povezivanja na poslužitelj udaljene radne površine sustava Windows, poslužitelj se može konfigurirati za korištenje pričuvnog mehanizma koji koristi TLS protokol za provjeru autentičnosti, a korisnici mogu dobiti različite rezultate nego što je opisano u ovoj matrici. Ova matrica opisuje samo ponašanje CredSSP protokola.
|
|
Poslužitelj |
|||
Unpatched |
Prisilno ažuriraju klijente |
Ublažiti |
Ranjiv |
||
Klijent |
Unpatched |
Dopušteno |
Blokiran |
Dopušteno |
Dopušteno |
Prisilno ažuriraju klijente |
Blokiran |
Dopušteno |
Dopušteno |
Dopušteno |
|
Ublažiti |
Blokiran |
Dopušteno |
Dopušteno |
Dopušteno |
|
Ranjiv |
Dopušteno |
Dopušteno |
Dopušteno |
Dopušteno |
Postavka klijenta |
U stanju zakrpe CVE-2018-0886 |
Unpatched |
Ranjiv |
Prisilno ažuriraju klijente |
Siguran |
Ublažiti |
Siguran |
Ranjiv |
Ranjiv |
Pogreške zapisnika događaja u sustavu Windows
ID događaja 6041 će biti prijavljeni na zakrpan Windows klijenti ako klijent i udaljeni Host su konfigurirani u blokirane konfiguracije.
Zapisnik događaja |
Sustav |
Izvor događaja |
LSA (LsaSrv) |
ID događaja |
6041 |
Tekst poruke o događaju |
CredSSP provjera autentičnosti za < naziv hosta > nije uspio pregovarati zajedničku verziju protokola. Udaljeni host ponudio je verziju < Protocol version > koja nije dopuštena korekcijom Oracle šifriranje. |
Pogreške koje generira parova CredSSP blokirani konfiguracije zakrpan Windows RDP klijenti
Pogreške koje je predstavio klijent udaljene radne površine bez zakrpe 17. travnja 2018 (KB 4093120)
Nezakrpan prije Windows 8,1 i Windows Server 2012 R2 klijenti upareni s poslužiteljima konfiguriran s "Force ažurirani klijenti" |
Pogreške koje generira parova CredSSP blokirani konfiguracije zakrpe Windows 8.1/Windows Server 2012 R2 i noviji RDP klijenti |
Došlo je do pogreške u provjeri autentičnosti. Token isporučen funkciji nije valjan |
Došlo je do pogreške u provjeri autentičnosti. Zatražena funkcija nije podržana. |
Pogreške koje je predstavio klijent udaljene radne površine s zakrpom travnja 17, 2018 (KB 4093120)
Nezakrpan prije Windows 8,1 i Windows Server 2012 R2 klijenti upareni s poslužiteljima konfiguriran s " Prisilno ažurirani klijenti " |
Ove pogreške generira parova CredSSP blokirani konfiguracije zakrpe Windows 8.1/Windows Server 2012 R2 i noviji RDP klijenti. |
Došlo je do pogreške u provjeri autentičnosti. Token isporučen funkciji nije valjan. |
Došlo je do pogreške u provjeri autentičnosti. Zatražena funkcija nije podržana. Udaljeno računalo: <naziv hosta> To bi moglo biti posljedica proracenja CredSSP šifriranja. Za više informacija pogledajte https://go.Microsoft.com/fwlink/?linkid=866660 |
Klijenti i poslužitelji udaljene radne površine treće strane
Svi klijenti ili poslužitelji trećih strana moraju koristiti najnoviju verziju CredSSP protokola. Obratite se dobavljačima kako biste utvrdili je li njihov softver kompatibilan s najnovijim CredSSP protokolom.
Ažuriranja protokola mogu se pronaći na web-mjestu dokumentacija protokola Windows.
Promjene datoteka
U ovom se ažuriranju mijenjaju sljedeće sistemske datoteke.
-
tspkg.dll
Datoteka CredSSP. dll ostaje nepromijenjena. Za više informacija pregledajte relevantne članke za informacije o verziji datoteke.