Samenvatting
Credential Security Support Provider protocol (CredSSP) is een verificatie provider die verificatieaanvragen voor andere toepassingen verwerkt. Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code in ongepatchte versies van CredSSP. Een aanvaller die dit beveiligingslek misbruikt, kan gebruikersreferenties doorsturen om code uit te voeren op het doelsysteem. Elke toepassing die afhankelijk is van CredSSP voor verificatie kan kwetsbaar zijn voor dit type aanval.
Deze beveiligingsupdate lost het beveiligingslek op door de manier te verbeteren waarop CredSSP aanvragen valideert tijdens het verificatieproces.
Zie voor meer informatie over het beveiligingslek, CVE-2018-0886.
Updates
Maart 13, 2018
De eerste 13 maart 2018, release updates het CredSSP-verificatieprotocol en de Extern bureaublad-clients voor alle betrokken platforms. Risicobeperking bestaat uit het installeren van de update op alle in aanmerking komende client-en Server besturingssystemen en vervolgens met behulp van opgenomen instellingen voor Groepsbeleid of op basis van het register voor het beheren van de instellingsopties op de client-en Server computers. Het is raadzaam dat beheerders het beleid toepassen en instellen op ' bijgewerkte clients forceren ' of ' beperkt ' op client-en Server computers zo snel mogelijk. Deze wijzigingen moeten opnieuw worden opgestart van de betrokken systemen. Let op de combinaties van Groepsbeleid of registerinstellingen die resulteren in ' geblokkeerde ' interacties tussen clients en servers in de Compatibiliteitstabel verderop in dit artikel.
April 17, 2018
De update voor extern bureaublad-client (RDP) update in KB 4093120 verbetert het foutbericht dat wordt weergegeven wanneer een bijgewerkte client geen verbinding kan maken met een server die niet is bijgewerkt.
8 mei 2018
Een update voor het wijzigen van de standaardinstelling van kwetsbaar voor beperkt.
Verwante Microsoft Knowledge Base-nummers worden vermeld in CVE-2018-0886.
Nadat deze update is geïnstalleerd, kunnen gepatchte clients standaard niet communiceren met niet-gepatchte servers. Gebruik de interoperabiliteits matrix en groepsbeleidinstellingen die in dit artikel worden beschreven om een ' toegestane ' configuratie in te schakelen.
Groepsbeleid
Beleidspad en Instellingsnaam |
Beschrijving |
Beleidspad: computer configuratie-> Beheersjablonen-> systeem-> delegering van referenties Instelling naam: versleuteling Oracle Remediation |
Versleuteling Oracle Remediation Deze beleidsinstelling is van toepassing op toepassingen die gebruikmaken van de component CredSSP (bijvoorbeeld verbinding met extern bureaublad). Sommige versies van het CredSSP-protocol zijn kwetsbaar voor een versleuteling Oracle-aanval op de client. Dit beleid regelt de compatibiliteit met kwetsbare clients en servers. Dit beleid u het niveau van de bescherming die u wilt instellen voor de versleuteling Oracle kwetsbaarheid. Als u deze beleidsinstelling inschakelt, wordt ondersteuning voor CredSSP-versies geselecteerd op basis van de volgende opties: Bijgewerkte clients forceren – Client toepassingen die gebruikmaken van CredSSP kunnen niet terugvallen op onveilige versies en services die gebruikmaken van CredSSP niet-herstelde clients accepteert. Opmerking Deze instelling moet niet worden geïmplementeerd totdat alle hosts op afstand de nieuwste versie ondersteunen. Gematigd – Client toepassingen die gebruikmaken van CredSSP kunnen niet worden terugvallen op onveilige versies, maar services die gebruikmaken van CredSSP niet-gepatchte clients worden geaccepteerd. Kwetsbaar – Client toepassingen die gebruikmaken van CredSSP wordt de externe servers blootgesteld aan aanvallen door terugval naar onveilige versies ondersteunen en services die gebruikmaken van CredSSP ongepatchte clients accepteert. |
De versleuteling Oracle Remediation Groepsbeleid ondersteunt de volgende drie opties, die moeten worden toegepast op clients en servers:
Beleidsinstelling |
Registerwaarde |
Gedrag van client |
Server gedrag |
Bijgewerkte clients forceren |
0 |
Client toepassingen die gebruikmaken van CredSSP kunnen niet terugvallen op onveilige versies. |
Services met behulp van CredSSP niet ongepatchte clients accepteren . Opmerking Deze instelling moet niet worden geïmplementeerd totdat alle Windows en derden CredSSP-clients de nieuwste CredSSP-versie ondersteunen. |
Beperkt |
1 |
Client toepassingen die gebruikmaken van CredSSP kunnen niet terugvallen op onveilige versies. |
Services die gebruikmaken van CredSSP worden niet-gepatchte clients accepteren . |
Kwetsbare |
2 |
Client toepassingen die gebruikmaken van CredSSP worden externe servers blootgesteld aan aanvallen door terugval naar onveilige versies te ondersteunen. |
Services die gebruikmaken van CredSSP worden niet-gepatchte clients accepteren . |
Een tweede update, worden uitgebracht op 8 mei 2018, wordt het standaardgedrag gewijzigd in de optie ' beperkt '.
Opmerking Elke wijziging in versleuteling Oracle Remediation moet opnieuw worden opgestart.
Registerwaarde
Waarschuwing Er kunnen ernstige problemen optreden als u het register onjuist wijzigt met de Register-editor of met een andere methode. Deze problemen kunnen vereisen dat u het besturingssysteem opnieuw installeert. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.
De update introduceert de volgende registerinstelling:
Registerpad |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Waarde |
AllowEncryptionOracle |
Datum type |
Dword |
Opnieuw opstarten vereist? |
Ja |
Interoperabiliteits matrix
Zowel de client als de server moeten worden bijgewerkt of Windows en CredSSP-clients van derden kunnen mogelijk geen verbinding maken met Windows of hosts van derden. Zie de volgende interoperabiliteits matrix voor scenario's die kwetsbaar zijn voor de exploit of operationele storingen veroorzaken.
Opmerking Wanneer u verbinding maakt met een Windows Remote Desktop server, kan de server worden geconfigureerd voor het gebruik van een terugval mechanisme dat gebruikmaakt van het TLS-protocol voor verificatie en gebruikers kunnen andere resultaten dan beschreven in deze matrix krijgen. Deze matrix beschrijft alleen het gedrag van het CredSSP-protocol.
|
|
Server |
|||
Unpatched |
Bijgewerkte clients forceren |
Beperkt |
Kwetsbare |
||
Client |
Unpatched |
Toegestaan |
Geblokkeerd |
Toegestaan |
Toegestaan |
Bijgewerkte clients forceren |
Geblokkeerd |
Toegestaan |
Toegestaan |
Toegestaan |
|
Beperkt |
Geblokkeerd |
Toegestaan |
Toegestaan |
Toegestaan |
|
Kwetsbare |
Toegestaan |
Toegestaan |
Toegestaan |
Toegestaan |
Client-instelling |
CVE-2018-0886 patchstatus |
Unpatched |
Kwetsbare |
Bijgewerkte clients forceren |
Veilige |
Beperkt |
Veilige |
Kwetsbare |
Kwetsbare |
Fouten in het Windows-gebeurtenislogboek
Gebeurtenis-ID 6041 wordt vastgelegd op patches Windows-clients als de client en de externe host zijn geconfigureerd in een geblokkeerde configuratie.
Gebeurtenislogboek |
Systeem |
Gebeurtenisbron |
LSA (LsaSrv) |
Gebeurtenis-id |
6041 |
Tekst van gebeurtenisbericht |
Een CredSSP-verificatie naar < hostnaam > is mislukt om te onderhandelen over een algemene Protocol versie. De externe host aangeboden versie < Protocol versie > die niet is toegestaan door de versleuteling van Oracle herstel. |
Fouten die worden gegenereerd door CredSSP-geblokkeerde configuratie paren door patches Windows RDP-clients
Fouten die worden weergegeven door de Extern bureaublad-client zonder de 17 april 2018-patch (KB 4093120)
Unpatched pre-Windows 8,1 en Windows Server 2012 R2 clients gekoppeld aan servers die zijn geconfigureerd met ' Force bijgewerkt clients ' |
Fouten die worden gegenereerd door CredSSP-geblokkeerde configuratie paren door patches Windows 8.1/Windows Server 2012 R2 en latere RDP-clients |
Er is een verificatiefout opgetreden. Het token dat is opgegeven voor de functie is ongeldig |
Er is een verificatiefout opgetreden. De aangevraagde functie wordt niet ondersteund. |
Fouten die worden weergegeven door de extern-bureaubladclient met de patch van 17 April 2018 ( 4093120KB)
Unpatched pre-Windows 8,1 en Windows Server 2012 R2 clients gekoppeld aan servers die zijn geconfigureerd met " Bijgewerkte clients forceren " |
Deze fouten worden gegenereerd door CredSSP-geblokkeerde configuratie paren door patches Windows 8.1/Windows Server 2012 R2 en latere RDP-clients. |
Er is een verificatiefout opgetreden. Het token dat is opgegeven voor de functie is ongeldig. |
Er is een verificatiefout opgetreden. De aangevraagde functie wordt niet ondersteund. Externe computer: <hostnaam> Dit kan te wijten zijn aan CredSSP encryptie Oracle Remediation. Zie voor meer informatie https://go.Microsoft.com/fwlink/?linkid=866660 |
Extern bureaublad-clients en servers van derden
Alle clients of servers van derden moeten de meest recente versie van het CredSSP-protocol gebruiken. Neem contact op met de leveranciers om te bepalen of hun software compatibel is met het nieuwste CredSSP-protocol.
De protocol updates u vinden op de Documentatie site van Windows-protocol.
Bestandswijzigingen
De volgende systeembestanden zijn in deze update gewijzigd.
-
tspkg.dll
Het bestand CredSSP. dll blijft ongewijzigd. Lees voor meer informatie de relevante artikelen voor informatie over de bestandsversie.