CredSSP-updates voor CVE-2018-0886

Samenvatting

Credential Security Support Provider protocol (CredSSP) is een verificatie provider die verificatieaanvragen voor andere toepassingen verwerkt. Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code in ongepatchte versies van CredSSP. Een aanvaller die dit beveiligingslek misbruikt, kan gebruikersreferenties doorsturen om code uit te voeren op het doelsysteem. Elke toepassing die afhankelijk is van CredSSP voor verificatie kan kwetsbaar zijn voor dit type aanval.

Deze beveiligingsupdate lost het beveiligingslek op door de manier te verbeteren waarop CredSSP aanvragen valideert tijdens het verificatieproces.

Zie voor meer informatie over het beveiligingslek, CVE-2018-0886.

Updates

Maart 13, 2018

De eerste 13 maart 2018, release updates het CredSSP-verificatieprotocol en de Extern bureaublad-clients voor alle betrokken platforms. Risicobeperking bestaat uit het installeren van de update op alle in aanmerking komende client-en Server besturingssystemen en vervolgens met behulp van opgenomen instellingen voor Groepsbeleid of op basis van het register voor het beheren van de instellingsopties op de client-en Server computers. Het is raadzaam dat beheerders het beleid toepassen en instellen op ' bijgewerkte clients forceren ' of ' beperkt ' op client-en Server computers zo snel mogelijk.  Deze wijzigingen moeten opnieuw worden opgestart van de betrokken systemen. Let op de combinaties van Groepsbeleid of registerinstellingen die resulteren in ' geblokkeerde ' interacties tussen clients en servers in de Compatibiliteitstabel verderop in dit artikel.

April 17, 2018

De update voor extern bureaublad-client (RDP) update in KB 4093120 verbetert het foutbericht dat wordt weergegeven wanneer een bijgewerkte client geen verbinding kan maken met een server die niet is bijgewerkt.

8 mei 2018

Een update voor het wijzigen van de standaardinstelling van kwetsbaar voor beperkt.

Verwante Microsoft Knowledge Base-nummers worden vermeld in CVE-2018-0886.

Nadat deze update is geïnstalleerd, kunnen gepatchte clients standaard niet communiceren met niet-gepatchte servers. Gebruik de interoperabiliteits matrix en groepsbeleidinstellingen die in dit artikel worden beschreven om een ' toegestane ' configuratie in te schakelen.

Groepsbeleid

Beleidspad en Instellingsnaam

Beschrijving

Beleidspad: computer configuratie-> Beheersjablonen-> systeem-> delegering van referenties Instelling naam: versleuteling Oracle Remediation

Versleuteling Oracle Remediation

Deze beleidsinstelling is van toepassing op toepassingen die gebruikmaken van de component CredSSP (bijvoorbeeld verbinding met extern bureaublad).

Sommige versies van het CredSSP-protocol zijn kwetsbaar voor een versleuteling Oracle-aanval op de client. Dit beleid regelt de compatibiliteit met kwetsbare clients en servers. Dit beleid u het niveau van de bescherming die u wilt instellen voor de versleuteling Oracle kwetsbaarheid.

Als u deze beleidsinstelling inschakelt, wordt ondersteuning voor CredSSP-versies geselecteerd op basis van de volgende opties:

Bijgewerkte clients forceren – Client toepassingen die gebruikmaken van CredSSP kunnen niet terugvallen op onveilige versies en services die gebruikmaken van CredSSP niet-herstelde clients accepteert.

Opmerking Deze instelling moet niet worden geïmplementeerd totdat alle hosts op afstand de nieuwste versie ondersteunen.

Gematigd – Client toepassingen die gebruikmaken van CredSSP kunnen niet worden terugvallen op onveilige versies, maar services die gebruikmaken van CredSSP niet-gepatchte clients worden geaccepteerd.

Kwetsbaar – Client toepassingen die gebruikmaken van CredSSP wordt de externe servers blootgesteld aan aanvallen door terugval naar onveilige versies ondersteunen en services die gebruikmaken van CredSSP ongepatchte clients accepteert.

 

De versleuteling Oracle Remediation Groepsbeleid ondersteunt de volgende drie opties, die moeten worden toegepast op clients en servers:

Beleidsinstelling

Registerwaarde

Gedrag van client

Server gedrag

Bijgewerkte clients forceren

0

Client toepassingen die gebruikmaken van CredSSP kunnen niet terugvallen op onveilige versies.

Services met behulp van CredSSP niet ongepatchte clients accepteren . Opmerking Deze instelling moet niet worden geïmplementeerd totdat alle Windows en derden CredSSP-clients de nieuwste CredSSP-versie ondersteunen.

Beperkt

1

Client toepassingen die gebruikmaken van CredSSP kunnen niet terugvallen op onveilige versies.

Services die gebruikmaken van CredSSP worden niet-gepatchte clients accepteren .

Kwetsbare

2

Client toepassingen die gebruikmaken van CredSSP worden externe servers blootgesteld aan aanvallen door terugval naar onveilige versies te ondersteunen.

Services die gebruikmaken van CredSSP worden niet-gepatchte clients accepteren .

 

Een tweede update, worden uitgebracht op 8 mei 2018, wordt het standaardgedrag gewijzigd in de optie ' beperkt '.

Opmerking Elke wijziging in versleuteling Oracle Remediation moet opnieuw worden opgestart.

Registerwaarde

Waarschuwing Er kunnen ernstige problemen optreden als u het register onjuist wijzigt met de Register-editor of met een andere methode. Deze problemen kunnen vereisen dat u het besturingssysteem opnieuw installeert. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.

De update introduceert de volgende registerinstelling:

Registerpad

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Waarde

AllowEncryptionOracle

Datum type

Dword

Opnieuw opstarten vereist?

Ja

Interoperabiliteits matrix

Zowel de client als de server moeten worden bijgewerkt of Windows en CredSSP-clients van derden kunnen mogelijk geen verbinding maken met Windows of hosts van derden. Zie de volgende interoperabiliteits matrix voor scenario's die kwetsbaar zijn voor de exploit of operationele storingen veroorzaken.

Opmerking Wanneer u verbinding maakt met een Windows Remote Desktop server, kan de server worden geconfigureerd voor het gebruik van een terugval mechanisme dat gebruikmaakt van het TLS-protocol voor verificatie en gebruikers kunnen andere resultaten dan beschreven in deze matrix krijgen. Deze matrix beschrijft alleen het gedrag van het CredSSP-protocol.

 

 

Server

Unpatched

Bijgewerkte clients forceren

Beperkt

Kwetsbare

Client

Unpatched

Toegestaan

Geblokkeerd

Toegestaan

Toegestaan

Bijgewerkte clients forceren

Geblokkeerd

Toegestaan

Toegestaan

Toegestaan

Beperkt

Geblokkeerd

Toegestaan

Toegestaan

Toegestaan

Kwetsbare

Toegestaan

Toegestaan

Toegestaan

Toegestaan

 

Client-instelling

CVE-2018-0886 patchstatus

Unpatched

Kwetsbare

Bijgewerkte clients forceren

Veilige

Beperkt

Veilige

Kwetsbare

Kwetsbare

Fouten in het Windows-gebeurtenislogboek

Gebeurtenis-ID 6041 wordt vastgelegd op patches Windows-clients als de client en de externe host zijn geconfigureerd in een geblokkeerde configuratie.

Gebeurtenislogboek

Systeem

Gebeurtenisbron

LSA (LsaSrv)

Gebeurtenis-id

6041

Tekst van gebeurtenisbericht

Een CredSSP-verificatie naar < hostnaam > is mislukt om te onderhandelen over een algemene Protocol versie. De externe host aangeboden versie < Protocol versie > die niet is toegestaan door de versleuteling van Oracle herstel.

Fouten die worden gegenereerd door CredSSP-geblokkeerde configuratie paren door patches Windows RDP-clients

Fouten die worden weergegeven door de Extern bureaublad-client zonder de 17 april 2018-patch (KB 4093120)

Unpatched pre-Windows 8,1 en Windows Server 2012 R2 clients gekoppeld aan servers die zijn geconfigureerd met ' Force bijgewerkt clients '

Fouten die worden gegenereerd door CredSSP-geblokkeerde configuratie paren door patches Windows 8.1/Windows Server 2012 R2 en latere RDP-clients

Er is een verificatiefout opgetreden.

Het token dat is opgegeven voor de functie is ongeldig

Er is een verificatiefout opgetreden.

De aangevraagde functie wordt niet ondersteund.

Fouten die worden weergegeven door de extern-bureaubladclient met de patch van 17 April 2018 ( 4093120KB)

Unpatched pre-Windows 8,1 en Windows Server 2012 R2 clients gekoppeld aan servers die zijn geconfigureerd met " Bijgewerkte clients forceren "

Deze fouten worden gegenereerd door CredSSP-geblokkeerde configuratie paren door patches Windows 8.1/Windows Server 2012 R2 en latere RDP-clients.

Er is een verificatiefout opgetreden.

Het token dat is opgegeven voor de functie is ongeldig.

Er is een verificatiefout opgetreden.

De aangevraagde functie wordt niet ondersteund.

Externe computer: <hostnaam>

Dit kan te wijten zijn aan CredSSP encryptie Oracle Remediation.

Zie voor meer informatie https://go.Microsoft.com/fwlink/?linkid=866660

Extern bureaublad-clients en servers van derden

Alle clients of servers van derden moeten de meest recente versie van het CredSSP-protocol gebruiken. Neem contact op met de leveranciers om te bepalen of hun software compatibel is met het nieuwste CredSSP-protocol.

De protocol updates u vinden op de Documentatie site van Windows-protocol.

Bestandswijzigingen

De volgende systeembestanden zijn in deze update gewijzigd.

  • tspkg.dll

Het bestand CredSSP. dll blijft ongewijzigd. Lees voor meer informatie de relevante artikelen voor informatie over de bestandsversie.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×