CVE-2018-0886용 CredSSP 업데이트

적용 대상: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard 자세히

요약


CredSSP(Credential Security Support Provider 프로토콜)는 다른 응용 프로그램의 인증 요청을 처리하는 인증 공급자입니다.

패치가 적용되지 않은 CredSSP 버전에는 원격 코드 실행 취약성이 있습니다. 이 취약성 악용에 성공한 공격자는 사용자 자격 증명을 릴레이하여 대상 시스템에서 코드를 실행할 수 있습니다. 인증에 CredSSP를 사용하는 모든 응용 프로그램은 이러한 공격 유형에 취약할 수 있습니다.

이 보안 업데이트는 인증 프로세스 중 CredSSP가 요청의 유효성을 검사하는 방식을 수정하여 취약성을 해결합니다.

이 취약성에 대해 자세히 알아보려면 CVE-2018-0886을 참조하세요.

업데이트


2018년 3월 13일 화요일

최초 릴리스(2018년 3월 13일 화요일)는 영향받는 모든 플랫폼에서 CredSSP 인증 프로토콜 및 원격 데스크톱 클라이언트를 업데이트합니다.

완화 기능은 해당하는 모든 클라이언트 및 서버 운영 체제에 업데이트를 설치한 다음 포함된 그룹 정책 설정 또는 레지스트리 기반 설정을 사용하여 클라이언트 및 서버 컴퓨터에서 설정 옵션을 관리하는 과정을 진행합니다. 관리자는 클라이언트 및 서버 컴퓨터에서 최대한 빨리 정책을 적용하고 “업데이트된 클라이언트 강제 적용” 또는 “완화됨”으로 설정하는 것이 좋습니다. 이러한 변경을 수행하려면 영향 받는 시스템을 다시 부팅해야 합니다.

이 문서 뒷부분의 호환성 표에 나와 있는 클라이언트와 서버 간의 상호 작용 “차단”을 야기하는 그룹 정책 또는 레지스트리 설정 쌍을 자세히 확인하세요.

2018년 4월 17일 화요일

KB 4093120의 RDP(원격 데스크톱 클라이언트) 업데이트를 설치하면 업데이트된 클라이언트가 업데이트되지 않은 서버에 연결하지 못하면 표시되는 오류 메시지가 개선됩니다.

2018년 5월 8일 화요일

기본 설정을 취약에서 완화됨으로 변경하는 업데이트입니다.

관련 Microsoft 기술 자료 번호는 CVE-2018-0886에 나와 있습니다.

기본적으로 이 업데이트를 설치한 후에는 패치가 적용된 클라이언트가 패치가 적용되지 않은 서버와 통신할 수 없습니다. 이 문서에 설명된 상호 운용성 표 및 그룹 정책 설정을 사용하여 “허용되는” 구성을 사용하도록 설정하세요.

그룹 정책


정책 경로 및 설정 이름

설명

정책 경로: 컴퓨터 구성 -> 관리 템플릿 -> 시스템 -> 자격 증명 위임

설정 이름: 암호화 Oracle 수정

암호화 Oracle 수정

이 정책 설정은 원격 데스크톱 연결 등 CredSSP 구성 요소를 사용하는 응용 프로그램에 적용됩니다.

일부 CredSSP 프로토콜 버전은 클라이언트에 대한 암호화 Oracle 공격에 취약합니다. 이 정책은 취약한 클라이언트 및 서버와의 호환성을 제어합니다. 이 정책을 사용하면 암호화 Oracle 취약성에 대해 원하는 보호 수준을 설정할 수 있습니다.

이 정책 설정을 사용하도록 설정하면 다음 옵션에 따라 CredSSP 버전 지원이 선택됩니다.

업데이트된 클라이언트 강제 적용 – CredSSP를 사용하는 클라이언트 응용 프로그램을 안전하지 않은 버전으로 대체할 수 없으며 CredSSP를 사용하는 서비스는 패치가 적용되지 않은 클라이언트를 수락하지 않습니다.

참고 모든 원격 호스트가 최신 버전을 지원할 때까지는 이 설정을 배포해서는 안 됩니다.

완화됨 – CredSSP를 사용하는 클라이언트 응용 프로그램을 안전하지 않은 버전으로 대체할 수는 없지만 CredSSP를 사용하는 서비스는 패치가 적용되지 않은 클라이언트를 수락합니다.

취약 – CredSSP를 사용하는 클라이언트 응용 프로그램이 안전하지 않은 버전으로의 대체를 지원하므로 원격 서버를 공격에 노출시키며, CredSSP를 사용하는 서비스는 패치가 적용되지 않은 클라이언트를 수락합니다.

 

암호화 Oracle 수정 그룹 정책은 다음의 세 가지 옵션을 지원합니다. 이러한 옵션 중 하나를 클라이언트와 서버에 적용해야 합니다.

정책 설정

레지스트리 값

클라이언트 동작

서버 동작

업데이트된 클라이언트 강제 적용

0

CredSSP를 사용하는 클라이언트 응용 프로그램을 안전하지 않은 버전으로 대체할 수 없습니다.

CredSSP를 사용하는 서비스는 패치가 적용되지 않은 클라이언트를 수락하지 않습니다.

참고 모든 Windows 및 타사 CredSSP 클라이언트가 최신 CredSSP 버전을 지원할 때까지는 이 설정을 배포해서는 안 됩니다.

완화됨

1

CredSSP를 사용하는 클라이언트 응용 프로그램을 안전하지 않은 버전으로 대체할 수 없습니다.

CredSSP를 사용하는 서비스는 패치가 적용되지 않은 클라이언트를 수락합니다.

취약

2

CredSSP를 사용하는 클라이언트 응용 프로그램이 안전하지 않은 버전으로의 대체를 지원하므로 원격 서버를 공격에 노출시킵니다.

CredSSP를 사용하는 서비스는 패치가 적용되지 않은 클라이언트를 수락합니다.

 

2018년 5월 8일에 발표될 예정인 2차 업데이트는 기본 동작을 “완화됨” 옵션으로 변경할 예정입니다.

참고 암호화 Oracle 수정 정책을 변경할 때마다 컴퓨터를 다시 부팅해야 합니다.

레지스트리 값


이 업데이트는 다음 레지스트리 설정을 도입합니다.

레지스트리 경로

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

AllowEncryptionOracle

데이터 형식

DWORD

다시 부팅 필요 여부

상호 운용성 표


클라이언트와 서버를 모두 업데이트해야 합니다. 이렇게 하지 않으면 Windows 및 타사 CredSSP 클라이언트가 Windows 또는 타사 호스트에 연결하지 못할 수 있습니다. 다음 상호 운용성 표에서 익스플로잇에 취약하거나 작동상의 오류를 야기하는 시나리오를 확인하세요.

참고 Windows 원격 데스크톱 서버에 연결할 때 인증에 TLS 프로토콜을 활용하는 대체 메커니즘을 사용하도록 서버를 구성할 수 있으며, 사용자에게는 이 표에 설명된 것과 다른 결과가 나타날 수 있습니다. 이 표에서는 CredSSP 프로토콜의 동작에 대해서만 설명합니다.

 

 

서버

 

패치 미적용

업데이트된 클라이언트 강제 적용

완화됨

취약

클라이언트

패치 미적용

허용됨

차단됨

허용됨

허용됨

업데이트된 클라이언트 강제 적용

차단됨

허용됨

허용됨

허용됨

완화됨

차단됨

허용됨

허용됨

허용됨

취약

허용됨

허용됨

허용됨

허용됨

 

클라이언트 설정

CVE-2018-0886 해치 상태

패치 미적용

취약

업데이트된 클라이언트 강제 적용

안전

완화됨

안전

취약

취약

Windows 이벤트 로그 오류


클라이언트 및 원격 호스트가 차단된 구성에 구성되어 있으면 패치가 적용된 Windows 클라이언트에서 이벤트 ID 6041이 기록됩니다.

이벤트 로그

시스템

이벤트 원본

LSA(LsaSrv)

이벤트 ID

6041

이벤트 메시지 텍스트

<호스트 이름>에 대한 CredSSP 인증이 일반 프로토콜 버전을 협상하지 못했습니다. 원격 호스트가 암호화 Oracle 수정에서 허용되지 않는 <프로토콜 버전> 버전을 제공했습니다.

패치가 적용된 Windows RDP 클라이언트의 CredSSP 차단 구성 쌍으로 인해 생성되는 오류


2018년 4월 17일 패치(KB 4093120)가 적용되지 않은 원격 데스크톱 클라이언트에서 표시되는 오류

패치가 적용되지 않은 Windows 8.1 및 Windows Server 2012 R2 이전 버전 클라이언트와 “업데이트된 클라이언트 강제 적용”이 구성된 서버 쌍

패치가 적용된 Windows 8.1/Windows Server 2012 R2 이상 RDP 클라이언트의 CredSSP 차단 구성 쌍으로 인해 생성되는 오류

인증 오류가 발생했습니다.

함수에 제공된 토큰이 올바르지 않습니다.

인증 오류가 발생했습니다.

요청한 함수가 지원되지 않습니다.


2018년 4월 17일 패치(KB 4093120)가 적용된 원격 데스크톱 클라이언트에서 표시되는 오류

패치가 적용되지 않은 Windows 8.1 및 Windows Server 2012 R2 이전 버전 클라이언트와 “업데이트된 클라이언트 강제 적용”이 구성된 서버 쌍

패치가 적용된 Windows 8.1/Windows Server 2012 R2 이상 RDP 클라이언트의 CredSSP 차단 구성 쌍으로 인해 생성되는 오류

인증 오류가 발생했습니다.

함수에 제공된 토큰이 올바르지 않습니다.

인증 오류가 발생했습니다.

요청한 함수가 지원되지 않습니다.

원격 컴퓨터: <호스트 이름>

CredSSP 암호화 Oracle 수정 때문일 수 있습니다.

자세한 내용은 https://go.microsoft.com/fwlink/?linkid=866660을 참조하세요.

타사 원격 데스크톱 클라이언트 및 서버


모든 타사 클라이언트나 서버는 최신 버전의 CredSSP 프로토콜을 사용해야 합니다. 공급업체에 문의하여 해당 소프트웨어가 최신 CredSSP 프로토콜과 호환되는지 확인하세요.

프로토콜 업데이트는 Windows 프로토콜 설명서 사이트에서 확인할 수 있습니다.

파일 변경 내용


이 업데이트에서는 다음 시스템 파일이 변경되었습니다.

  • tspkg.dll

credssp.dll 파일은 변경되지 않았습니다. 자세한 내용을 확인하려면 관련 문서에서 파일 버전 정보를 살펴보세요.