Riepilogo

Il protocollo CredSSP (Credential Security Support Provider) è un provider di autenticazione che elabora le richieste di autenticazione per altre applicazioni. Una vulnerabilità di esecuzione di codice remoto esiste nelle versioni senza patch di CredSSP. Un utente malintenzionato che sfrutta con successo questa vulnerabilità potrebbe inoltrare le credenziali utente per eseguire codice nel sistema di destinazione. Qualsiasi applicazione che dipende da CredSSP per l'autenticazione può essere vulnerabile a questo tipo di attacco.

Questo aggiornamento della protezione risolve la vulnerabilità correggendo il modo in cui CredSSP convalida le richieste durante il processo di autenticazione.

Per ulteriori informazioni sulla vulnerabilità, vedere CVE-2018-0886.

Aggiornamenti

martedì 13 marzo 2018

Il 13 marzo 2018, la versione iniziale aggiorna il protocollo di autenticazione CredSSP e i client Desktop remoto per tutte le piattaforme interessate. La mitigazione consiste nell'installare l'aggiornamento in tutti i sistemi operativi client e server idonei e quindi nell'utilizzare le impostazioni di Criteri di gruppo incluse o gli equivalenti basati sul Registro di sistema per gestire le opzioni di impostazione nei computer client e server. È consigliabile che gli amministratori applichino il criterio e lo impostino su "Forza client aggiornati" o "Mitigati" nei computer client e server il prima possibile.  Queste modifiche richiederanno un riavvio dei sistemi interessati. Prestare particolare attenzione alle coppie di impostazioni di Criteri di gruppo o del Registro di sistema che determinano interazioni "Bloccate" tra client e server nella tabella di compatibilità più avanti in questo articolo.

giovedì 17 aprile 2018

L'aggiornamento di aggiornamento Di Desktop Remoto (RDP) in 4093120 KB migliorerà il messaggio di errore che viene visualizzato quando un client aggiornato non riesce a connettersi a un server che non è stato aggiornato.

giovedì 8 maggio 2018

Un aggiornamento per modificare l'impostazione predefinita da vulnerabile a attenuato.

I numeri della Microsoft Knowledge Base correlati sono elencati in CVE-2018-0886.

Per impostazione predefinita, dopo l'installazione di questo aggiornamento, i client con patch non possono comunicare con i server senza patch. Utilizzare la matrice di interoperabilità e le impostazioni dei criteri di gruppo descritte in questo articolo per abilitare una configurazione "consentita".

Criteri di gruppo

Percorso dei criteri e nome dell'impostazione

Descrizione

Percorso dei criteri: Configurazione computer -> Modelli amministrativi -> Sistema -> Delega credenziali Nome dell'impostazione: Encryption Oracle Remediation

Correzione dell'oracolo di crittografiaEncryption oracle remediation

Questa impostazione dei criteri si applica alle applicazioni che utilizzano il componente CredSSP, ad esempio Connessione desktop remoto.

Alcune versioni del protocollo CredSSP sono vulnerabili a un attacco oracolo di crittografia contro il client. Questo criterio controlla la compatibilità con i client e i server vulnerabili. Questo criterio consente di impostare il livello di protezione desiderato per la vulnerabilità dell'oracolo di crittografia.

Se si abilita questa impostazione dei criteri, il supporto della versione CredSSP verrà selezionato in base alle opzioni seguenti:

Forza clienti aggiornati – Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure e i servizi che utilizzano CredSSP non accetteranno client senza patch.

Nota: Questa impostazione non deve essere distribuita fino a quando tutti gli host remoti non supportano la versione più recente.

Mitigato – Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure, ma i servizi che utilizzano CredSSP accetteranno client senza patch.

Vulnerabile – Le applicazioni client che utilizzano CredSSP esporranno i server remoti agli attacchi supportando il fallback a versioni non sicure e i servizi che utilizzano CredSSP accetteranno client senza patch.

 

I Criteri di gruppo per la correzione Oracle di crittografia supportano le tre opzioni seguenti, che devono essere applicate a client e server:

Impostazione dei criteri

Valore del Registro di sistema

Comportamento del client

Comportamento server

Forzare i client aggiornati

0

Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure.

I servizi che utilizzano CredSSP non accettano client senza patch. Nota: Questa impostazione non deve essere distribuita fino a quando tutti i client CredSSP di Windows e di terze parti non supportano la versione CredSSP più recente.

Mitigato

1

Le applicazioni client che utilizzano CredSSP non saranno in grado di eseguire il back back alle versioni non sicure.

I servizi che utilizzano CredSSP accetteranno client senza patch.

Vulnerabile

2

Le applicazioni client che utilizzano CredSSP esporranno i server remoti agli attacchi supportando il fallback a versioni non sicure.

I servizi che utilizzano CredSSP accetteranno client senza patch.

 

Un secondo aggiornamento, che verrà rilasciato l'8 maggio 2018, cambierà il comportamento predefinito con l'opzione "Mitigata".

Nota: Qualsiasi modifica alla correzione Oracle di crittografia richiede un riavvio.

Valore del Registro di sistema

Avvertenza Se si modifica il Registro di sistema in modo non corretto utilizzando l'Editor del Registro di sistema o un altro metodo, potrebbero verificarsi problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio e pericolo.

L'aggiornamento introduce la seguente impostazione del Registro di sistema:

Percorso del Registro di sistema

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

valore

AllowEncryptionOracle

Tipo di data

Dword

Riavvio richiesto?

Matrice di interoperabilità

Sia il client che il server devono essere aggiornati oppure i client CredSSP di Windows e di terze parti potrebbero non essere in grado di connettersi a host Windows o di terze parti. Vedere la matrice di interoperabilità seguente per gli scenari vulnerabili all'exploit o causare errori operativi.

Nota: Quando ci si connette a un server Desktop remoto di Windows, il server può essere configurato per utilizzare un meccanismo di fallback che utilizza il protocollo TLS per l'autenticazione e gli utenti possono ottenere risultati diversi da quelli descritti in questa matrice. Questa matrice descrive solo il comportamento del protocollo CredSSP.

 

 

server

Senza patch

Forzare i client aggiornati

Mitigato

Vulnerabile

cliente

Senza patch

Consentito

Bloccato

Consentito

Consentito

Forzare i client aggiornati

Bloccato

Consentito

Consentito

Consentito

Mitigato

Bloccato

Consentito

Consentito

Consentito

Vulnerabile

Consentito

Consentito

Consentito

Consentito

 

Impostazione client

Stato patch CVE-2018-0886

Senza patch

Vulnerabile

Forzare i client aggiornati

sicuro

Mitigato

sicuro

Vulnerabile

Vulnerabile

Errori del registro eventi di Windows

L'ID evento 6041 verrà registrato nei client Windows con patch se il client e l'host remoto sono configurati in una configurazione bloccata.

Registro eventi

sistema

Origine evento

LSA (LsaSrv)

ID evento

6041

Testo del messaggio di evento

Un'autenticazione CredSSP per <nomehost> non è riuscita a negoziare una versione del protocollo comune. Versione dell'host remoto offerta <Protocollo versione> non consentita da Crittografia Oracle Remediation.

Errori generati dalle coppie di configurazione bloccate da CredSSP da client Windows RDP con patch

Errori presentati dal Client Desktop remoto senza la patch del 17 aprile 2018 (KB 4093120)

Senza patch con client precedente a Windows 8.1 e Windows Server 2012 R2 abbinati a server configurati con "Forza client aggiornati"

Errori generati dalle coppie di configurazione bloccate da CredSSP da client RDP di Windows 8.1/Windows Server 2012 R2 e versioni successive con patch

Si è verificato un errore di autenticazione.

Il token fornito alla funzione non è valido

Si è verificato un errore di autenticazione.

La funzione richiesta non è supportata.

Errori presentati dal client Desktop remoto con la patch del 17 aprile 2018 (KB 4093120)

Client senza patch pre-Windows 8.1 e Windows Server 2012 R2 associati a server configurati con " Forza clienti aggiornati"

Questi errori vengono generati dalle coppie di configurazione bloccate da CredSSP da client RDP di Windows 8.1/Windows Server 2012 R2 e versioni successive con patch.

Si è verificato un errore di autenticazione.

Il token fornito alla funzione non è valido.

Si è verificato un errore di autenticazione.

La funzione richiesta non è supportata.

Computer remoto: <nomehost>

Ciò potrebbe essere dovuto alla correzione dell'oracolo di crittografia CredSSP.

Per ulteriori informazioni, vedere https://go.microsoft.com/fwlink/?linkid=866660

Server e client desktop remoti di terze parti

Tutti i client o i server di terze parti devono utilizzare la versione più recente del protocollo CredSSP. Contattare i fornitori per determinare se il loro software è compatibile con il protocollo CredSSP più recente.

Gli aggiornamenti del protocollo sono disponibili nel sito Documentazione protocollo Windows.

Modifiche ai file

I seguenti file di sistema sono stati modificati in questo aggiornamento.

  • tspkg.dll

Il file credssp.dll rimane invariato. Per ulteriori informazioni, consulta gli articoli pertinenti per informazioni sulla versione dei file.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Quanto ti soddisfa la qualità della traduzione?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×