Ringkasan
Protokol penyedia dukungan keamanan credential (CredSSP) adalah penyedia otentikasi yang memproses permintaan otentikasi untuk aplikasi lain. Kerentanan eksekusi kode jauh ada di patch versi CredSSP. Seorang penyerang yang berhasil eksploitasi kerentanan ini dapat relay kredensial pengguna untuk mengeksekusi kode pada sistem target. Setiap aplikasi yang tergantung pada CredSSP untuk otentikasi mungkin rentan terhadap jenis serangan.
Pemutakhiran keamanan ini membahas kerentanan oleh mengoreksi bagaimana CredSSP memvalidasi permintaan selama proses otentikasi.
Untuk mempelajari selengkapnya tentang kerentanan, lihat CVE-2018-0886.
Update
13 Maret 2018
Awal Maret 13, 2018, rilis pembaruan CredSSP protokol otentikasi dan klien desktop jauh untuk semua platform yang terpengaruh. Mitigasi terdiri dari menginstal pembaruan pada semua klien yang memenuhi syarat dan sistem operasi server dan kemudian menggunakan termasuk pengaturan kebijakan grup atau setara berbasis registri untuk mengelola opsi pengaturan pada komputer klien dan server. Kami menyarankan bahwa administrator menerapkan kebijakan dan ditetapkan ke "memaksa klien diperbarui" atau "Mitigated" pada komputer klien dan server sesegera mungkin. Perubahan ini akan memerlukan reboot sistem yang terpengaruh. Perhatikan kebijakan grup atau pengaturan registri pasangan yang menghasilkan "diblokir" interaksi antara klien dan server di tabel kompatibilitas kemudian di artikel ini.
17 April 2018
Klien desktop jauh (RDP) update update di KB 4093120 akan meningkatkan pesan galat yang disajikan saat klien diperbarui gagal untuk menyambung ke server yang belum diperbarui.
8 Mei 2018
Pembaruan untuk mengubah pengaturan default dari rentan untuk mitigated.
Nomor Pangkalan Pengetahuan Microsoft terkait tercantum dalam CVE-2018-0886.
Secara default, setelah menginstal pembaruan ini, patch klien tidak dapat berkomunikasi dengan server patch. Gunakan matriks interoperabilitas dan pengaturan kebijakan grup yang dijelaskan di artikel ini untuk mengaktifkan konfigurasi "diizinkan".
Kebijakan Grup
|
Jalur kebijakan dan nama pengaturan |
Deskripsi |
|
Lintasan kebijakan: konfigurasi komputer-> pola dasar administratif-> sistem-> kredensial delegasi Nama pengaturan: enkripsi Oracle remediasi |
Enkripsi Oracle remediasi Setelan kebijakan ini berlaku untuk aplikasi yang menggunakan komponen CredSSP (misalnya, sambungan desktop jarak jauh). Beberapa versi protokol CredSSP rentan terhadap serangan Oracle enkripsi terhadap klien. Kebijakan ini mengontrol kompatibilitas dengan rentan klien dan server. Kebijakan ini memungkinkan Anda untuk mengatur tingkat perlindungan yang Anda inginkan untuk kerentanan Oracle enkripsi. Jika Anda mengaktifkan pengaturan kebijakan ini, CredSSP versi dukungan akan dipilih berdasarkan opsi berikut ini: Memaksa klien diperbarui- Aplikasi klien yang menggunakan CredSSP tidak akan dapat jatuh kembali ke versi yang tidak aman, dan layanan yang menggunakan CredSSP tidak akan menerima patch klien. Catatan Pengaturan ini tidak akan disebarkan sampai semua host jarak jauh mendukung versi terbaru. Mitigated- Aplikasi klien yang menggunakan CredSSP tidak akan dapat jatuh kembali ke versi yang tidak aman, tetapi layanan yang menggunakan CredSSP akan menerima patch klien. Rentan – Aplikasi klien yang menggunakan CredSSP akan mengekspos server jauh untuk serangan dengan mendukung mundur ke versi yang tidak aman, dan layanan yang menggunakan CredSSP akan menerima patch klien. |
Kebijakan grup enkripsi Oracle remediasi mendukung tiga opsi berikut, yang harus diterapkan ke klien dan server:
|
Setelan kebijakan |
Nilai Registry |
Perilaku klien |
Perilaku server |
|
Memaksa klien Diperbarui |
0 |
Aplikasi klien yang menggunakan CredSSP tidak akan dapat jatuh kembali ke versi yang tidak aman. |
Layanan yang menggunakan CredSSP tidak akan menerima patch klien. Catatan Pengaturan ini tidak akan disebarkan hingga semua Windows dan klien CredSSP pihak ketiga mendukung CredSSP versi terbaru. |
|
Dikurangi |
1 |
Aplikasi klien yang menggunakan CredSSP tidak akan dapat jatuh kembali ke versi yang tidak aman. |
Layanan yang menggunakan CredSSP akan menerima patch klien. |
|
Rentan |
2 |
Aplikasi klien yang menggunakan CredSSP akan mengekspos server jauh untuk menyerang dengan mendukung mundur ke versi yang tidak aman. |
Layanan yang menggunakan CredSSP akan menerima patch klien. |
Pemutakhiran kedua, akan dirilis pada 8 Mei 2018, akan mengubah perilaku default untuk opsi "Mitigated".
Catatan Perubahan ke enkripsi Oracle remediasi memerlukan reboot.
Nilai Registry
Warning Masalah serius dapat terjadi jika Anda mengubah registri secara tidak benar dengan menggunakan Penyunting registri atau dengan menggunakan metode lain. Masalah ini mungkin mengharuskan Anda menginstal ulang sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri.
Pemutakhiran memperkenalkan tataan registri berikut ini:
|
Jalur registri |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Nilai |
Ini AllowEncryptionOracle |
|
Jenis tanggal |
Dword |
|
Reboot diperlukan? |
Ya |
Interoperabilitas matriks
Klien dan server harus diperbarui, atau Windows dan klien CredSSP pihak ketiga mungkin tidak dapat menyambung ke Windows atau host pihak ketiga. Lihat matriks interoperabilitas berikut ini untuk skenario yang rentan terhadap mengeksploitasi atau menyebabkan kegagalan operasional.
Catatan Saat menyambung ke server Windows Remote Desktop, server dapat dikonfigurasi untuk menggunakan mekanisme fallback yang menggunakan protokol TLS untuk otentikasi, dan pengguna mungkin mendapatkan hasil yang berbeda dari yang dijelaskan di matriks ini. Matriks ini hanya menjelaskan perilaku protokol CredSSP.
|
|
|
Server |
|||
|
Patch |
Memaksa klien Diperbarui |
Dikurangi |
Rentan |
||
|
Klien |
Patch |
Diperbolehkan |
Diblokir |
Diperbolehkan |
Diperbolehkan |
|
Memaksa klien Diperbarui |
Diblokir |
Diperbolehkan |
Diperbolehkan |
Diperbolehkan |
|
|
Dikurangi |
Diblokir |
Diperbolehkan |
Diperbolehkan |
Diperbolehkan |
|
|
Rentan |
Diperbolehkan |
Diperbolehkan |
Diperbolehkan |
Diperbolehkan |
|
|
Pengaturan klien |
CVE-2018-0886 status patch |
|
Patch |
Rentan |
|
Memaksa klien Diperbarui |
Aman |
|
Dikurangi |
Aman |
|
Rentan |
Rentan |
Galat log peristiwa Windows
Peristiwa ID 6041 akan logon klien Windows ditambal jika klien dan host jauh dikonfigurasi dalam konfigurasi diblokir.
|
Log peristiwa |
Sistem |
|
Sumber peristiwa |
LSA (LsaSrv) |
|
ID Kejadian |
6041 |
|
Pesan teks peristiwa |
Otentikasi CredSSP untuk < hostname > gagal menegosiasikan versi protokol yang umum. Host jauh menawarkan versi < Protokol versi > yang tidak diizinkan oleh enkripsi Oracle remediasi. |
Galat yang dihasilkan oleh konfigurasi diblokir CredSSP pasang dengan patch Windows RDP klien
Galat yang disajikan oleh klien desktop jauh tanpa 17 April 2018 patch (KB 4093120)
|
Unpatched pra-Windows 8,1 dan Windows Server 2012 R2 klien dipasangkan dengan server yang dikonfigurasi dengan "Force diperbarui klien" |
Galat yang dihasilkan oleh konfigurasi diblokir CredSSP pasang dengan patch Windows 8.1/Windows Server 2012 R2 dan kemudian klien RDP |
|
Telah terjadi galat otentikasi. Token yang dipasok ke fungsi tidak valid |
Telah terjadi galat otentikasi. Fungsi yang diminta tidak didukung. |
Galat yang disajikan oleh klien desktop jauh dengan 17 April 2018 patch (KB 4093120)
|
Unpatched pra-windows 8,1 dan Windows Server 2012 R2 klien dipasangkan dengan server dikonfigurasi dengan " Memaksa klien diperbarui " |
Galat ini dihasilkan oleh konfigurasi diblokir CredSSP pasang dengan patch Windows 8.1/Windows Server 2012 R2 dan kemudian klien RDP. |
|
Telah terjadi galat otentikasi. Token yang dipasok ke fungsi tidak valid. |
Telah terjadi galat otentikasi. Fungsi yang diminta tidak didukung. Komputer jarak jauh: <hostname> Hal ini dapat disebabkan oleh CredSSP enkripsi Oracle remediasi. Untuk informasi lebih lanjut, lihat https://Go.Microsoft.com/fwlink/?linkid=866660 |
Klien desktop jarak jauh pihak ketiga dan server
Semua klien atau server pihak ketiga harus menggunakan versi terbaru dari protokol CredSSP. Silakan hubungi vendor untuk menentukan apakah perangkat lunak mereka kompatibel dengan protokol CredSSP terbaru.
Pembaruan protokol dapat ditemukan di situs dokumentasi protokol Windows.
Perubahan file
Berkas sistem berikut ini telah diubah dalam pembaruan ini.
-
tspkg.dll
Berkas CredSSP. dll tetap tidak berubah. Untuk informasi lebih lanjut, silakan Tinjau artikel yang relevan untuk informasi versi file.
