Atualizações de CredSSP para a CVE-2018-0886

Aplica-se a: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard Mais

Resumo


O protocolo CredSSP é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos.

Existe uma vulnerabilidade de execução remota de código nas versões não corrigidas do CredSSP. Um invasor que conseguir explorar essa vulnerabilidade poderá retransmitir credenciais do usuário para executar um código no sistema alvo. Qualquer aplicativo que dependa do CredSSP para autenticação pode ser vulnerável a esse tipo de ataque.

Essa atualização de segurança resolve a vulnerabilidade, corrigindo como o CredSSP valida solicitações durante o processo de autenticação.

Para saber mais sobre a vulnerabilidade, consulte CVE-2018-0886.

Atualizações


terça-feira, 13 de março de 2018

O lançamento inicial de 13 de março de 2018 atualiza o protocolo de autenticação CredSSP e os clientes da Área de Trabalho Remota para todas as plataformas afetadas.

A mitigação consiste em instalar a atualização em todos os sistemas operacionais cliente e servidor elegíveis e, em seguida, usar configurações de Política de Grupo ou equivalentes com base no Registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como  “Forçar clientes atualizados” ou “Mitigada” nos computadores cliente e servidor o mais rápido possível.  Essas alterações exigirão uma reinicialização dos sistemas afetados.

Preste muita atenção aos pares de configurações da Política de Grupo ou do Registro que resultarem em interações “Bloqueadas” entre clientes e servidores na tabela de compatibilidade mais adiante neste artigo.

terça-feira, 17 de abril de 2018

A atualização do Cliente de Área de Trabalho Remota (RDP) no KB 4093120 melhorará a mensagem de erro que é apresentada quando um cliente atualizado não consegue se conectar a um servidor que não foi atualizado.

terça-feira, 8 de maio de 2018

Uma atualização para alterar a configuração padrão de Vulnerável para Mitigada.

Os números relacionados da Base de Dados de Conhecimento Microsoft estão listados na CVE-2018-0886.

Por padrão, depois que essa atualização é instalada, os clientes corrigidos não podem se comunicar com servidores não corrigidos. Use a matriz de interoperabilidade e as configurações de política de grupo descritas neste artigo para habilitar uma configuração “permitida”.

Diretiva de grupo


Caminho da política e nome da configuração

Descrição

Caminho da política: Configuração do Computador -> Modelos Administrativos -> Sistema -> Delegação de Credenciais

Nome da configuração: Remediação de Criptografia da Oracle

Remediação de criptografia da Oracle

Essa configuração de política aplica-se a aplicativos que usam o componente CredSSP (por exemplo,  Conexão de Conexão de Área de Trabalho Remota).

Algumas versões do protocolo CredSSP são vulneráveis a um ataque de criptografia da Oracle contra o cliente. Essa política controla a compatibilidade com clientes e servidores vulneráveis. Essa política permite definir o nível de proteção desejado para a vulnerabilidade de criptografia da Oracle.

Se você habilitar essa configuração de política, o suporte à versão do CredSSP será selecionado com base nas seguintes opções:

Forçar clientes atualizados – Aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras, e os serviços que usam o CredSSP não aceitarão clientes sem patch.

Observação Essa configuração não deve ser implantada até que todos os hosts remotos ofereçam suporte à versão mais recente.

Mitigada – Aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras, mas os serviços que usam o CredSSP aceitarão clientes sem patch.

Vulnerável – Aplicativos cliente que usam o CredSSP deixarão os servidores remotos expostos a ataques por oferecerem suporte a versões não seguras, e os serviços que usam o CredSSP aceitarão clientes sem patch.

 

A Política de Grupo Remediação de Criptografia da Oracle dá suporte às três opções a seguir, que devem ser aplicadas a clientes e servidores:

Configuração de política

Valor do Registro

Comportamento do cliente

Comportamento do servidor

Forçar clientes atualizados

0

Os aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras.

Os serviços que usam o CredSSP não aceitarão clientes sem patch.

Observação Essa configuração não deve ser implantada até que todos clientes CredSSP do Windows e de terceiros ofereçam suporte à versão mais recente do CredSSP.

Mitigada

1

Os aplicativos cliente que usam o CredSSP não serão capazes de fazer fallback para versões inseguras.

Os serviços que usam o CredSSP aceitarão clientes sem patch.

Vulnerável

2

Os aplicativos cliente que usam o CredSSP deixarão os servidores remotos expostos a ataques por oferecerem suporte a versões não seguras.

Os serviços que usam o CredSSP aceitarão clientes sem patch.

 

Uma segunda atualização, cujo lançamento será em 8 de maio de 2018, mudará o comportamento padrão para a opção “Mitigada”.

Observação Qualquer alteração na Remediação de Criptografia da Oracle exigirá uma reinicialização.

Valor do registro


A atualização apresenta a seguinte configuração do Registro:

Caminho do Registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Valor

AllowEncryptionOracle

Tipo de data

DWORD

Reinicialização necessária?

Sim

Matriz de interoperabilidade


Tanto o cliente quanto o servidor precisam ser atualizados, ou os clientes CredSSP do Windows e de terceiros talvez não consigam se conectar a hosts do Windows ou de terceiros. Consulte a seguinte matriz de interoperabilidade para cenários que são vulneráveis à exploração ou que causam falhas operacionais.

Observação Ao se conectar a um servidor Windows Remote Desktop, o servidor pode ser configurado para usar um mecanismo de fallback que adota o protocolo TLS para autenticação, e os usuários podem obter resultados diferentes dos descritos nesta matriz. Esta matriz descreve apenas o comportamento do protocolo CredSSP.

 

 

Server

 

Sem patch

Forçar clientes atualizados

Mitigada

Vulnerável

Client

Sem patch

Permitido

Bloqueado

Permitido

Permitido

Forçar clientes atualizados

Bloqueado

Permitido

Permitido

Permitido

Mitigada

Bloqueado

Permitido

Permitido

Permitido

Vulnerável

Permitido

Permitido

Permitido

Permitido

 

Configuração do cliente

Status do patch CVE-2018-0886

Sem patch

Vulnerável

Forçar clientes atualizados

Secure

Mitigada

Secure

Vulnerável

Vulnerável

Erros do log de eventos do Windows


O ID de Evento  6041 será registrado em clientes Windows com patch se o cliente e o host remoto estiverem definidos em uma configuração bloqueada.

Log de eventos

Sistema

Origem do evento

LSA (LsaSrv)

ID do Evento

6041

Texto da mensagem do evento

Uma autenticação CredSSP em <hostname> falhou ao negociar uma versão de protocolo comum. O host remoto ofereceu a versão <Versão do Protocolo> que não é permitida pela Remediação de Criptografia da Oracle.

Erros gerados por pares de configuração bloqueados pelo CredSSP por clientes de RDP do Windows com patch


Erros apresentados pelo Cliente de Área de Trabalho Remota sem o patch de 17 de abril de 2018 (KB 4093120)

Clientes pré-Windows 8.1 e Windows Server 2012 R2 sem patch emparelhados com servidores configurados com “Forçar clientes atualizados”

Erros gerados por pares de configuração bloqueados pelo CredSSP por clientes de RDP Windows 8.1/Windows Server 2012 R2 e posteriores com patch

Ocorreu um erro de autenticação.

O token fornecido para a função é inválido

Ocorreu um erro de autenticação.

A função solicitada não tem suporte.


Erros apresentados pelo Cliente de Área de Trabalho Remota com o patch de 17 de abril de 2018 (KB 4093120)

Clientes pré-Windows 8.1 e Windows Server 2012 R2 sem patch emparelhados com servidores configurados com “Forçar clientes atualizados”

Esses erros são gerados por pares de configuração bloqueados pelo CredSSP por clientes de RDP Windows 8.1/Windows Server 2012 R2 e posteriores com patch.

Ocorreu um erro de autenticação.

O token fornecido para a função é inválido.

Ocorreu um erro de autenticação.

A função solicitada não tem suporte.

Computador remoto: <hostname>

Isso pode ser devido à Remediação de criptografia da Oracle para CredSSP.

Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=866660

Clientes e servidores de área de trabalho remota de terceiros


Todos os servidores ou clientes de terceiros devem usar a última versão do protocolo CredSSP. Entre em contato com os fornecedores para determinar se seus softwares são compatíveis com o protocolo CredSSP mais recente.

As atualizações do protocolo podem ser encontradas no site de Documentação de protocolos do Windows.

Alterações de arquivos


Os seguintes arquivos do sistema foram alterados nesta atualização.

  • tspkg.dll

O arquivo credssp.dll permanece inalterado. Para obter mais informações, reveja os artigos pertinentes de informações sobre a versão dos arquivos.