CVE-2018-0886 の CredSSP の更新プログラム

適用対象: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard 詳細

概要


Credential Security Support Provider (CredSSP) プロトコルは、他のアプリケーションの認証要求を処理する認証プロバイダーです。

パッチが適用されていないバージョンの CredSSP にリモートでコードが実行される脆弱性が存在します。 この脆弱性の悪用に成功した攻撃者は、ユーザーの資格情報を中継し、標的のシステムでコードを実行する可能性があります。 認証のために CredSSP に依存しているアプリケーションは、このような攻撃に対して脆弱です。

このセキュリティ更新プログラムは、認証プロセス中に CredSSP プロトコルが要求を検証する方法を修正することにより、この脆弱性を解決します。 

この脆弱性の詳細については、CVE-2018-0886 を参照してください。 

更新プログラム


2018 年 3 月 14 日

2018 年 3 月 14 日、影響を受けるすべてのプラットフォーム用に CredSSP 認証プロトコルとリモート デスクトップ クライアントの更新プログラムをリリースします。 

緩和策として、対象となるすべてのクライアントおよびサーバー オペレーティング システムに更新プログラムをインストールし、それに含まれるグループ ポリシー設定またはレジストリベースの同等の設定を使用して、クライアント コンピューターとサーバー コンピューターの設定オプションを管理する必要があります。  管理者は、このポリシーを適用し、できるだけ早くクライアントとサーバー コンピューターで [Force Updated Clients] または [Mitigated] を設定することをお勧めします。これらの変更により、影響を受けるシステムでは再起動が必要になります。      

この資料で後述する互換性の一覧に記載されている、クライアントとサーバー間の対話が “ブロックされる” グループ ポリシーまたはレジストリ設定の組み合わせに注意してください。

2018 年 4 月 18 日

KB 4093120 のリモート デスクトップ クライアント (RDP) の更新プログラムで、更新されたクライアントが更新されていないサーバーに接続できない場合に表示されるエラー メッセージが改善される予定です。

2018 年 5 月 9 日

既定の設定を [Vulnerable] から [Mitigated] に変更する更新プログラムです。 

関連するマイクロソフト サポート技術情報番号については、CVE-2018-0886 を参照してください。 

既定では、この更新プログラムをインストールした後に、パッチが適用されたクライアントはパッチが適用されていないサーバーと通信できなくなります。 “許可した” 構成を有効にするには、この資料に記載されている相互運用性一覧とグループ ポリシーの設定を使用してください。

グループ ポリシー


ポリシーのパスと設定名

説明

ポリシーのパス: [コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任] 

設定名: Encryption Oracle Remediation

Encryption oracle remediation

このポリシー設定は、CredSSP コンポーネント (たとえば、リモート デスクトップ接続) を使用するアプリケーションに適用されます。  

CredSSP プロトコルの一部のバージョンは、クライアントに対する暗号化 oracle 攻撃に対して脆弱です。 このポリシーは、脆弱なクライアントとサーバーとの互換性を制御します。 このポリシーを使用すると、暗号化 oracle の脆弱性に対する保護のレベルを設定できます。

このポリシー設定を有効にすると、次のオプションに基づいて CredSSP バージョンのサポートが選択されます。

[Force Updated Clients] – CredSSP を使用するクライアント アプリケーションを安全ではないバージョンにフォールバックすることができなくなります。また、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れなくなります。 

注: この設定は、すべてのリモート ホストが最新バージョンをサポートするまで展開しないでください。 

[Mitigated] – CredSSP を使用するクライアント アプリケーションを安全ではないバージョンにフォールバックすることができなくなります。ただし、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 

[Vulnerable] – CredSSP を使用するクライアント アプリケーションは安全ではないバージョンにフォールバックできますが、それによってリモート サーバーは攻撃にさらされることになります。また、CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 

 

Encryption Oracle Remediation グループ ポリシーは、次の 3 つのオプションがサポートされています。これらのオプションはクライアントとサーバーに適用する必要があります。  

ポリシー設定

レジストリの値

クライアントの動作

サーバーの動作

Force updated clients

0

CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります

CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れません

注: この設定は、すべての Windows およびサードパーティの CredSSP クライアントが最新の CredSSP バージョンをサポートするまで展開しないでください。 

Mitigated

1

CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります

CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 

Vulnerable

2

CredSSP を使用するクライアント アプリケーションは安全でないバージョンにフォールバックできますが、それによってリモート サーバーは攻撃にさらされることになります

CredSSP を使用するサービスは、パッチが適用されていないクライアントを受け入れます。 

 

2018 年 5 月 9 日にリリースされる第 2 の更新プログラムでは、既定の動作が [Mitigated] オプションに変更されます。

注: Encryption Oracle Remediation に変更を加えると、再起動が必要になります。 

レジストリの値


この更新プログラムで、次のレジストリ設定が行われます。

レジストリ パス

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

AllowEncryptionOracle

データの種類

DWORD

リブートが必要

あり

相互運用性一覧


クライアントとサーバーの両方を更新する必要があります。そうしないと、Windows とサードパーティの CredSSP クライアントは、Windows またはサードパーティのホストに接続できなくなる可能性があります。  悪用される可能性のあるシナリオ、または運用時に障害を引き起こすシナリオについては、次の相互運用性一覧を参照してください。

注:  Windows リモート デスクトップ サーバーに接続する場合、認証に TLS プロトコルを利用するフォールバック メカニズムを使用するようサーバーを構成できます。また、ユーザーはこの一覧で説明される結果と異なる結果を得ることがあります。 この一覧では CredSSP プロトコルの動作のみを説明しています。

 

 

サーバー

 

パッチが未適用

Force updated clients

Mitigated

Vulnerable

クライアント

パッチが未適用

許可

拒否

許可

許可

Force updated clients

拒否

許可

許可

許可

Mitigated

拒否

許可

許可

許可

Vulnerable

許可

許可

許可

許可

 

クライアント設定

CVE-2018-0886 のパッチの状態

パッチが未適用

Vulnerable

Force updated clients

Secure

Mitigated

Secure

Vulnerable

Vulnerable

Windows イベント ログ エラー


クライアントとリモート ホストがブロック構成で構成されている場合、パッチが適用されている Windows クライアントにイベント ID 6041 が記録されます。 

イベント ログ

システム

イベント ソース

LSA (LsaSrv)

イベント ID

6041

エラー メッセージのテキスト

A CredSSP authentication to <ホスト名> failed to negotiate a common protocol version. The remote host offered version <プロトコル バージョン> which is not permitted by Encryption Oracle Remediation.

パッチが適用された Windows RDP クライアントによる CredSSP ブロック構成ペアによって生成されるエラー


2018 年 4 月 18 日のパッチ (KB 4093120) が適用されていないリモート デスクトップ クライアントに表示されるエラー

パッチが適用されていない Windows 8.1 および Windows Server 2012 R2 クライアントと、[Force Updated Clients] が構成されたサーバーの組み合わせ

パッチが適用された Windows 8.1/Windows Server 2012 R2 以降の RDP クライアントの CredSSP ブロック構成ペアによって生成されるエラー

An authentication error has occurred.

The token supplied to the function is invalid

An authentication error has occurred.

The function requested is not supported.


2018 年 4 月 18 日のパッチ (KB 4093120)が適用されたリモート デスクトップ クライアントに表示されるエラー

パッチが適用されていない Windows 8.1 および Windows Server 2012 R2 クライアントと、[Force Updated Clients] が構成されたサーバーの組み合わせ

これらのエラーは、パッチが適用された Windows 8.1/Windows Server 2012 R2 以降の RDP クライアントの CredSSP ブロック構成ペアによって生成されます。

An authentication error has occurred.

The token supplied to the function is invalid.

An authentication error has occurred.

The function requested is not supported.

Remote computer: <ホスト名>

This could be due to CredSSP encryption oracle remediation.

For more information, see https://go.microsoft.com/fwlink/?linkid=866660

サードパーティのリモート デスクトップ クライアントとサーバー


サードパーティのすべてのクライアントまたはサーバーは、最新バージョンの CredSSP プロトコルを使用する必要があります。 ご使用のソフトウェアが最新の CredSSP プロトコルと互換性があるかどうかについては、ベンダーに問い合わせてください。  

プロトコルの更新プログラムについては、Windows Protocol Documentation のサイト (英語情報) を参照してください。

ファイルの変更


この更新プログラムでは、以下のシステム ファイルが変更されています。

  • tspkg.dll

credssp.dll ファイルは変更されていません。 ファイル バージョンの詳細については、関連する資料を参照してください。