概要
Credential Security Support Provider (CredSSP) プロトコルは、他のアプリケーションの認証要求を処理する認証プロバイダーです。
パッチが適用されていないバージョンの CredSSP にリモートでコードが実行される脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、ユーザーの資格情報を中継し、標的のシステムでコードを実行する可能性があります。 認証のために CredSSP に依存しているアプリケーションは、このような攻撃に対して脆弱です。このセキュリティ更新プログラムは、認証プロセス中に CredSSP プロトコルが要求を検証する方法を修正することにより、この脆弱性を解決します。
この脆弱性の詳細については、CVE-2018-0886 を参照してください。
更新プログラム
2018 年 3 月 14 日
2018 年 3 月 14 日、影響を受けるすべてのプラットフォーム用に CredSSP 認証プロトコルとリモート デスクトップ クライアントの更新プログラムをリリースします。
緩和策として、対象となるすべてのクライアントおよびサーバー オペレーティング システムに更新プログラムをインストールし、それに含まれるグループ ポリシー設定またはレジストリベースの同等の設定を使用して、クライアント コンピューターとサーバー コンピューターの設定オプションを管理する必要があります。 管理者は、このポリシーを適用し、できるだけ早くクライアントとサーバー コンピューターで [Force Updated Clients] または [Mitigated] を設定することをお勧めします。これらの変更により、影響を受けるシステムでは再起動が必要になります。 この資料で後述する互換性の一覧に記載されている、クライアントとサーバー間の対話が “ブロックされる” グループ ポリシーまたはレジストリ設定の組み合わせに注意してください。2018 年 4 月 18 日
KB 4093120 のリモート デスクトップ クライアント (RDP) の更新プログラムで、更新されたクライアントが更新されていないサーバーに接続できない場合に表示されるエラー メッセージが改善される予定です。
2018 年 5 月 9 日
既定の設定を [Vulnerable] から [Mitigated] に変更する更新プログラムです。
関連するマイクロソフト サポート技術情報番号については、CVE-2018-0886 を参照してください。
既定では、この更新プログラムをインストールした後に、パッチが適用されたクライアントはパッチが適用されていないサーバーと通信できなくなります。 “許可した” 構成を有効にするには、この資料に記載されている相互運用性一覧とグループ ポリシーの設定を使用してください。
グループ ポリシー
ポリシーのパスと設定名 |
説明 |
ポリシーのパス: [コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任] 設定名: Encryption Oracle Remediation |
Encryption oracle remediation このポリシー設定は、CredSSP コンポーネント (たとえば、リモート デスクトップ接続) を使用するアプリケーションに適用されます。 CredSSP プロトコルの一部のバージョンは、クライアントに対する暗号化 oracle 攻撃に対して脆弱です。 このポリシーは、脆弱なクライアントとサーバーとの互換性を制御します。 このポリシーを使用すると、暗号化 oracle の脆弱性に対する保護のレベルを設定できます。 このポリシー設定を有効にすると、次のオプションに基づいて CredSSP バージョンのサポートが選択されます。 [Force Updated Clients] – CredSSP を使用するクライアント アプリケーションを安全ではないバージョンにフォールバックすることができなくなります。また、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れなくなります。 注: この設定は、すべてのリモート ホストが最新バージョンをサポートするまで展開しないでください。 [Mitigated] – CredSSP を使用するクライアント アプリケーションを安全ではないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 [Vulnerable] – CredSSP を使用するクライアント アプリケーションは安全ではないバージョンにフォールバックできますが、それによってリモート サーバーは攻撃にさらされることになります。また、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 |
Encryption Oracle Remediation グループ ポリシーは、次の 3 つのオプションがサポートされています。これらのオプションはクライアントとサーバーに適用する必要があります。
ポリシー設定 |
レジストリの値 |
クライアントの動作 |
サーバーの動作 |
Force updated clients |
0 |
CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。 |
CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れません。 注: この設定は、すべての Windows およびサードパーティの CredSSP クライアントが最新の CredSSP バージョンをサポートするまで展開しないでください。 |
Mitigated |
1 |
CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。 |
CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 |
Vulnerable |
2 |
CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできますが、それによってリモート サーバーは攻撃にさらされることになります。 |
CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 |
2018 年 5 月 9 日にリリースされる第 2 の更新プログラムでは、既定の動作が [Mitigated] オプションに変更されます。
注: Encryption Oracle Remediation に変更を加えると、再起動が必要になります。
レジストリの値
警告: レジストリ エディターまたは別の方法を使用してレジストリを誤って編集すると、深刻な問題が発生することがあります。 最悪の場合、オペレーティング システムの再インストールが必要になることがあります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更は、自己の責任において行ってください。
この更新プログラムで、次のレジストリ設定が行われます。
レジストリ パス |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
値 |
AllowEncryptionOracle |
データの種類 |
DWORD |
リブートが必要 |
あり |
相互運用性一覧
クライアントとサーバーの両方を更新する必要があります。そうしないと、Windows とサードパーティの CredSSP クライアントは、Windows またはサードパーティのホストに接続できなくなる可能性があります。 悪用される可能性のあるシナリオ、または運用時に障害を引き起こすシナリオについては、次の相互運用性一覧を参照してください。
注: Windows リモート デスクトップ サーバーに接続する場合、認証に TLS プロトコルを利用するフォールバック メカニズムを使用するようサーバーを構成できます。また、ユーザーはこの一覧 で説明される結果と異なる結果を得ることがあります。 この一覧では CredSSP プロトコルの動作のみを説明しています。
|
|
サーバー |
|||
パッチが未適用 |
Force updated clients |
Mitigated |
Vulnerable |
||
クライアント |
パッチが未適用 |
許可 |
拒否 |
許可 |
許可 |
Force updated clients |
拒否 |
許可 |
許可 |
許可 |
|
Mitigated |
拒否 |
許可 |
許可 |
許可 |
|
Vulnerable |
許可 |
許可 |
許可 |
許可 |
クライアント設定 |
CVE-2018-0886 のパッチの状態 |
パッチが未適用 |
Vulnerable |
Force updated clients |
Secure |
Mitigated |
Secure |
Vulnerable |
Vulnerable |
Windows イベント ログ エラー
クライアントとリモート ホストがブロック構成で構成されている場合、パッチが適用されている Windows クライアントにイベント ID 6041 が記録されます。
イベント ログ |
システム |
イベント ソース |
LSA (LsaSrv) |
イベント ID |
6041 |
エラー メッセージのテキスト |
A CredSSP authentication to <ホスト名> failed to negotiate a common protocol version. The remote host offered version <プロトコル バージョン> which is not permitted by Encryption Oracle Remediation. |
パッチが適用された Windows RDP クライアントによる CredSSP ブロック構成ペアによって生成されるエラー
2018 年 4 月 18 日のパッチ (KB 4093120) が適用されていないリモート デスクトップ クライアントに表示されるエラー
パッチが適用されていない Windows 8.1 および Windows Server 2012 R2 クライアントと、[Force Updated Clients] が構成されたサーバーの組み合わせ |
パッチが適用された Windows 8.1/Windows Server 2012 R2 以降の RDP クライアントの CredSSP ブロック構成ペアによって生成されるエラー |
An authentication error has occurred. The token supplied to the function is invalid |
An authentication error has occurred. The function requested is not supported. |
4093120)が適用されたリモート デスクトップ クライアントに表示されるエラー
2018 年 4 月 18 日のパッチ (KB
パッチが適用されていない Windows 8.1 および Windows Server 2012 R2 クライアントと、[Force Updated Clients] が構成されたサーバーの組み合わせ |
これらのエラーは、パッチが適用された Windows 8.1/Windows Server 2012 R2 以降の RDP クライアントの CredSSP ブロック構成ペアによって生成されます。 |
An authentication error has occurred. The token supplied to the function is invalid. |
An authentication error has occurred. The function requested is not supported. Remote computer: <ホスト名> This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660 |
サードパーティのリモート デスクトップ クライアントとサーバー
サードパーティのすべてのクライアントまたはサーバーは、最新バージョンの CredSSP プロトコルを使用する必要があります。 ご使用のソフトウェアが最新の CredSSP プロトコルと互換性があるかどうかについては、ベンダーに問い合わせてください。
プロトコルの更新プログラムについては、Windows Protocol Documentation のサイト (英語情報) を参照してください。
ファイルの変更
この更新プログラムでは、以下のシステム ファイルが変更されています。
-
tspkg.dll
credssp.dll ファイルは変更されていません。 ファイル バージョンの詳細については、関連する資料を参照してください。