Resumo
O protocolo CredSSP é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos.
Existe uma vulnerabilidade de execução remota de código nas versões não corrigidas do CredSSP. Um invasor que conseguir explorar essa vulnerabilidade poderá retransmitir credenciais do usuário para executar um código no sistema alvo. Qualquer aplicativo que dependa do CredSSP para autenticação pode ser vulnerável a esse tipo de ataque.
Essa atualização de segurança resolve a vulnerabilidade, corrigindo como o CredSSP valida solicitações durante o processo de autenticação.
Para saber mais sobre a vulnerabilidade, consulte CVE-2018-0886.
Atualizações
terça-feira, 13 de março de 2018
O lançamento inicial de 13 de março de 2018 atualiza o protocolo de autenticação CredSSP e os clientes da Área de Trabalho Remota para todas as plataformas afetadas.
A mitigação consiste em instalar a atualização em todos os sistemas operacionais cliente e servidor elegíveis e, em seguida, usar configurações de Política de Grupo ou equivalentes com base no Registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como “Forçar clientes atualizados” ou “Mitigada” nos computadores cliente e servidor o mais rápido possível. Essas alterações exigirão uma reinicialização dos sistemas afetados.
Preste muita atenção aos pares de configurações da Política de Grupo ou do Registro que resultarem em interações “Bloqueadas” entre clientes e servidores na tabela de compatibilidade mais adiante neste artigo.
terça-feira, 17 de abril de 2018
A atualização do Cliente de Área de Trabalho Remota (RDP) no KB 4093120 melhorará a mensagem de erro que é apresentada quando um cliente atualizado não consegue se conectar a um servidor que não foi atualizado.
terça-feira, 8 de maio de 2018
Uma atualização para alterar a configuração padrão de Vulnerável para Mitigada.
Os números relacionados da Base de Dados de Conhecimento Microsoft estão listados na CVE-2018-0886.
Por padrão, depois que essa atualização é instalada, os clientes corrigidos não podem se comunicar com servidores não corrigidos. Use a matriz de interoperabilidade e as configurações de política de grupo descritas neste artigo para habilitar uma configuração “permitida”.
Diretiva de grupo
Caminho da política e nome da configuração |
Descrição |
Caminho da política: Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais |
Remediação de criptografia da Oracle Essa configuração de política aplica-se a aplicativos que usam o componente CredSSP (por exemplo, Conexão de Conexão de Área de Trabalho Remota). Algumas versões do protocolo CredSSP são vulneráveis a um ataque de criptografia da Oracle contra o cliente. Essa política controla a compatibilidade com clientes e servidores vulneráveis. Essa política permite definir o nível de proteção desejado para a vulnerabilidade de criptografia da Oracle. Se você habilitar essa configuração de política, o suporte à versão do CredSSP será selecionado com base nas seguintes opções: Forçar clientes atualizados – Aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras, e os serviços que usam o CredSSP não aceitarão clientes sem patch. Observação Essa configuração não deve ser implantada até que todos os hosts remotos ofereçam suporte à versão mais recente. Mitigada – Aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras, mas os serviços que usam o CredSSP aceitarão clientes sem patch. Vulnerável – Aplicativos cliente que usam o CredSSP deixarão os servidores remotos expostos a ataques por oferecerem suporte a versões não seguras, e os serviços que usam o CredSSP aceitarão clientes sem patch. |
A Política de Grupo Remediação de Criptografia da Oracle dá suporte às três opções a seguir, que devem ser aplicadas a clientes e servidores:
Configuração de política |
Valor do Registro |
Comportamento do cliente |
Comportamento do servidor |
Forçar clientes atualizados |
0 |
Os aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras. |
Os serviços que usam o CredSSP não aceitarão clientes sem patch. |
Mitigada |
1 |
Os aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras. |
Os serviços que usam o CredSSP aceitarão clientes sem patch. |
Vulnerável |
2 |
Os aplicativos cliente que usam o CredSSP deixarão os servidores remotos expostos a ataques por oferecerem suporte a versões não seguras. |
Os serviços que usam o CredSSP aceitarão clientes sem patch. |
Uma segunda atualização, cujo lançamento será em 8 de maio de 2018, mudará o comportamento padrão para a opção “Mitigada”.
Observação Qualquer alteração na Remediação de Criptografia da Oracle exigirá uma reinicialização.
Valor do registro
Aviso: podem ocorrer problemas sérios se você modificar incorretamente o Registro usando o Editor do Registro ou qualquer outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Todo e qualquer risco decorrente da modificação do Registro é responsabilidade do usuário.
A atualização apresenta a seguinte configuração do Registro:
Caminho do Registro |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Valor |
AllowEncryptionOracle |
Tipo de data |
DWORD |
Reinicialização necessária? |
Sim |
Matriz de interoperabilidade
Tanto o cliente quanto o servidor precisam ser atualizados, ou os clientes CredSSP do Windows e de terceiros talvez não consigam se conectar a hosts do Windows ou de terceiros. Consulte a seguinte matriz de interoperabilidade para cenários que são vulneráveis à exploração ou que causam falhas operacionais.
Observação Ao se conectar a um servidor Windows Remote Desktop, o servidor pode ser configurado para usar um mecanismo de fallback que adota o protocolo TLS para autenticação, e os usuários podem obter resultados diferentes dos descritos nesta matriz. Esta matriz descreve apenas o comportamento do protocolo CredSSP.
|
|
Server |
|||
Sem patch |
Forçar clientes atualizados |
Mitigada |
Vulnerável |
||
Client |
Sem patch |
Permitido |
Bloqueado |
Permitido |
Permitido |
Forçar clientes atualizados |
Bloqueado |
Permitido |
Permitido |
Permitido |
|
Mitigada |
Bloqueado |
Permitido |
Permitido |
Permitido |
|
Vulnerável |
Permitido |
Permitido |
Permitido |
Permitido |
Configuração do cliente |
Status do patch CVE-2018-0886 |
Sem patch |
Vulnerável |
Forçar clientes atualizados |
Secure |
Mitigada |
Secure |
Vulnerável |
Vulnerável |
Erros do log de eventos do Windows
O ID de Evento 6041 será registrado em clientes Windows com patch se o cliente e o host remoto estiverem definidos em uma configuração bloqueada.
Log de eventos |
Sistema |
Origem do evento |
LSA (LsaSrv) |
ID do Evento |
6041 |
Texto da mensagem do evento |
Uma autenticação CredSSP em <hostname> falhou ao negociar uma versão de protocolo comum. O host remoto ofereceu a versão <Versão do Protocolo> que não é permitida pela Remediação de Criptografia da Oracle. |
Erros gerados por pares de configuração bloqueados pelo CredSSP por clientes de RDP do Windows com patch
Erros apresentados pelo Cliente de Área de Trabalho Remota sem o patch de 17 de abril de 2018 (KB 4093120)
Clientes pré-Windows 8.1 e Windows Server 2012 R2 sem patch emparelhados com servidores configurados com “Forçar clientes atualizados” |
Erros gerados por pares de configuração bloqueados pelo CredSSP por clientes de RDP Windows 8.1/Windows Server 2012 R2 e posteriores com patch |
Ocorreu um erro de autenticação. O token fornecido para a função é inválido |
Ocorreu um erro de autenticação. A função solicitada não tem suporte. |
Erros apresentados pelo Cliente de Área de Trabalho Remota com o patch de 17 de abril de 2018 (KB 4093120)
Clientes pré-Windows 8.1 e Windows Server 2012 R2 sem patch emparelhados com servidores configurados com “Forçar clientes atualizados” |
Esses erros são gerados por pares de configuração bloqueados pelo CredSSP por clientes de RDP Windows 8.1/Windows Server 2012 R2 e posteriores com patch. |
Ocorreu um erro de autenticação. O token fornecido para a função é inválido. |
Ocorreu um erro de autenticação. A função solicitada não tem suporte. Computador remoto: <hostname> Isso pode ser devido à Remediação de criptografia da Oracle para CredSSP. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=866660 |
Clientes e servidores de área de trabalho remota de terceiros
Todos os servidores ou clientes de terceiros devem usar a última versão do protocolo CredSSP. Entre em contato com os fornecedores para determinar se seus softwares são compatíveis com o protocolo CredSSP mais recente.
As atualizações do protocolo podem ser encontradas no site de Documentação de protocolos do Windows.
Alterações de arquivos
Os seguintes arquivos do sistema foram alterados nesta atualização.
-
tspkg.dll
O arquivo credssp.dll permanece inalterado. Para obter mais informações, reveja os artigos pertinentes de informações sobre a versão dos arquivos.