Riepilogo
Il protocollo CredSSP (Credential Security Support Provider) è un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni. Una vulnerabilità di esecuzione di codice remoto esiste nelle versioni senza patch di CredSSP. Un utente malintenzionato che sfrutta con successo questa vulnerabilità potrebbe inoltrare le credenziali utente per eseguire codice nel sistema di destinazione. Qualsiasi applicazione che dipende da CredSSP per l'autenticazione può essere vulnerabile a questo tipo di attacco.
Questo aggiornamento della protezione risolve la vulnerabilità correggendo il modo in cui CredSSP convalida le richieste durante il processo di autenticazione.
Per ulteriori informazioni sulla vulnerabilità, vedere CVE-2018-0886.
Aggiornamenti
martedì 13 marzo 2018
Il 13 marzo 2018, la versione iniziale aggiorna il protocollo di autenticazione CredSSP e i client Desktop remoto per tutte le piattaforme interessate. La mitigazione consiste nell'installare l'aggiornamento in tutti i sistemi operativi client e server idonei e quindi nell'utilizzare le impostazioni di Criteri di gruppo incluse o gli equivalenti basati sul Registro di sistema per gestire le opzioni di impostazione nei computer client e server. È consigliabile che gli amministratori applichino il criterio e lo impostino su "Forza client aggiornati" o "Mitigati" nei computer client e server il prima possibile. Queste modifiche richiederanno un riavvio dei sistemi interessati. Prestare particolare attenzione alle coppie di impostazioni di Criteri di gruppo o del Registro di sistema che determinano interazioni "Bloccate" tra client e server nella tabella di compatibilità più avanti in questo articolo.
giovedì 17 aprile 2018
L'aggiornamento di aggiornamento Di Desktop Remoto (RDP) in 4093120 KB migliorerà il messaggio di errore che viene visualizzato quando un client aggiornato non riesce a connettersi a un server che non è stato aggiornato.
giovedì 8 maggio 2018
Un aggiornamento per modificare l'impostazione predefinita da vulnerabile a attenuato.
I numeri della Microsoft Knowledge Base correlati sono elencati in CVE-2018-0886.
Per impostazione predefinita, dopo l'installazione di questo aggiornamento, i client con patch non possono comunicare con i server senza patch. Utilizzare la matrice di interoperabilità e le impostazioni dei criteri di gruppo descritte in questo articolo per abilitare una configurazione "consentita".
Criteri di gruppo
|
Percorso dei criteri e nome dell'impostazione |
Descrizione |
|
Percorso dei criteri: Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali Nome dell'impostazione: Encryption Oracle Remediation |
Correzione dell'oracolo di crittografiaEncryption oracle remediation Questa impostazione dei criteri si applica alle applicazioni che utilizzano il componente CredSSP, ad esempio Connessione desktop remoto. Alcune versioni del protocollo CredSSP sono vulnerabili a un attacco oracolo di crittografia contro il client. Questo criterio controlla la compatibilità con i client e i server vulnerabili. Questo criterio consente di impostare il livello di protezione desiderato per la vulnerabilità dell'oracolo di crittografia. Se si abilita questa impostazione dei criteri, il supporto della versione CredSSP verrà selezionato in base alle opzioni seguenti: Forza clienti aggiornati – Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure e i servizi che utilizzano CredSSP non accetteranno client senza patch. Nota: Questa impostazione non deve essere distribuita fino a quando tutti gli host remoti non supportano la versione più recente. Mitigato – Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure, ma i servizi che utilizzano CredSSP accetteranno client senza patch. Vulnerabile – Le applicazioni client che utilizzano CredSSP esporranno i server remoti agli attacchi supportando il fallback a versioni non sicure e i servizi che utilizzano CredSSP accetteranno client senza patch. |
I Criteri di gruppo per la correzione Oracle di crittografia supportano le tre opzioni seguenti, che devono essere applicate a client e server:
|
Impostazione dei criteri |
Valore del Registro di sistema |
Comportamento del client |
Comportamento server |
|
Forzare i client aggiornati |
0 |
Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure. |
I servizi che utilizzano CredSSP non accettano client senza patch. Nota: Questa impostazione non deve essere distribuita fino a quando tutti i client CredSSP di Windows e di terze parti non supportano la versione CredSSP più recente. |
|
Mitigato |
1 |
Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure. |
I servizi che utilizzano CredSSP accetteranno client senza patch. |
|
Vulnerabile |
2 |
Le applicazioni client che utilizzano CredSSP esporranno i server remoti agli attacchi supportando il fallback a versioni non sicure. |
I servizi che utilizzano CredSSP accetteranno client senza patch. |
Un secondo aggiornamento, che verrà rilasciato l'8 maggio 2018, cambierà il comportamento predefinito con l'opzione "Mitigata".
Nota: Qualsiasi modifica alla correzione Oracle di crittografia richiede un riavvio.
Valore del Registro di sistema
Avvertenza Se si modifica il Registro di sistema in modo non corretto utilizzando l'Editor del Registro di sistema o un altro metodo, potrebbero verificarsi problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio e pericolo.
L'aggiornamento introduce la seguente impostazione del Registro di sistema:
|
Percorso del Registro di sistema |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
valore |
AllowEncryptionOracle |
|
Tipo di data |
Dword |
|
Riavvio richiesto? |
Sì |
Matrice di interoperabilità
Sia il client che il server devono essere aggiornati oppure i client CredSSP di Windows e di terze parti potrebbero non essere in grado di connettersi a host Windows o di terze parti. Vedere la matrice di interoperabilità seguente per gli scenari vulnerabili all'exploit o causare errori operativi.
Nota: Quando ci si connette a un server Desktop remoto di Windows, il server può essere configurato per utilizzare un meccanismo di fallback che utilizza il protocollo TLS per l'autenticazione e gli utenti possono ottenere risultati diversi da quelli descritti in questa matrice. Questa matrice descrive solo il comportamento del protocollo CredSSP.
|
|
|
server |
|||
|
Senza patch |
Forzare i client aggiornati |
Mitigato |
Vulnerabile |
||
|
cliente |
Senza patch |
Consentito |
Bloccato |
Consentito |
Consentito |
|
Forzare i client aggiornati |
Bloccato |
Consentito |
Consentito |
Consentito |
|
|
Mitigato |
Bloccato |
Consentito |
Consentito |
Consentito |
|
|
Vulnerabile |
Consentito |
Consentito |
Consentito |
Consentito |
|
|
Impostazione client |
Stato patch CVE-2018-0886 |
|
Senza patch |
Vulnerabile |
|
Forzare i client aggiornati |
sicuro |
|
Mitigato |
sicuro |
|
Vulnerabile |
Vulnerabile |
Errori del registro eventi di Windows
L'ID evento 6041 verrà registrato nei client Windows con patch se il client e l'host remoto sono configurati in una configurazione bloccata.
|
Registro eventi |
sistema |
|
Origine evento |
LSA (LsaSrv) |
|
ID evento |
6041 |
|
Testo del messaggio di evento |
Un'autenticazione CredSSP per <nomehost> non è riuscita a negoziare una versione del protocollo comune. Versione dell'host remoto offerta <Protocollo versione> non consentita da Crittografia Oracle Remediation. |
Errori generati dalle coppie di configurazione bloccate da CredSSP da client Windows RDP con patch
Errori presentati dal Client Desktop remoto senza la patch del 17 aprile 2018 (KB 4093120)
|
Senza patch con client precedente a Windows 8.1 e Windows Server 2012 R2 abbinati a server configurati con "Forza client aggiornati" |
Errori generati dalle coppie di configurazione bloccate da CredSSP da client RDP di Windows 8.1/Windows Server 2012 R2 e versioni successive con patch |
|
Si è verificato un errore di autenticazione. Il token fornito alla funzione non è valido |
Si è verificato un errore di autenticazione. La funzione richiesta non è supportata. |
Errori presentati dal client Desktop remoto con la patch del 17 aprile 2018 (KB 4093120)
|
Client senza patch pre-Windows 8.1 e Windows Server 2012 R2 associati a server configurati con " Forza clienti aggiornati" |
Questi errori vengono generati dalle coppie di configurazione bloccate da CredSSP da client RDP di Windows 8.1/Windows Server 2012 R2 e versioni successive con patch. |
|
Si è verificato un errore di autenticazione. Il token fornito alla funzione non è valido. |
Si è verificato un errore di autenticazione. La funzione richiesta non è supportata. Computer remoto: <nomehost> Ciò potrebbe essere dovuto alla correzione dell'oracolo di crittografia CredSSP. Per ulteriori informazioni, vedere https://go.microsoft.com/fwlink/?linkid=866660 |
Server e client desktop remoti di terze parti
Tutti i client o i server di terze parti devono utilizzare la versione più recente del protocollo CredSSP. Contattare i fornitori per determinare se il loro software è compatibile con il protocollo CredSSP più recente.
Gli aggiornamenti del protocollo sono disponibili nel sito Documentazione protocollo Windows.
Modifiche ai file
I seguenti file di sistema sono stati modificati in questo aggiornamento.
-
tspkg.dll
Il file credssp.dll rimane invariato. Per ulteriori informazioni, consulta gli articoli pertinenti per informazioni sulla versione dei file.
