Atualizações do CredSSP para CVE-2018-0886

Resumo

Credential Security Support Provider Protocol (CredSSP) é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos. Existe uma vulnerabilidade de execução remota de código em versões não corrigidas do CredSSP. Um invasor que explora com êxito essa vulnerabilidade pode retransmitir as credenciais do usuário para executar o código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode estar vulnerável a esse tipo de ataque.

Esta atualização de segurança elimina a vulnerabilidade corrigindo como CredSSP valida solicitações durante o processo de autenticação.

Para saber mais sobre a vulnerabilidade, consulte CVE-2018-0886.

Atualizações

13 de março de 2018

A inicial 13 de março de 2018, versão atualiza o protocolo de autenticação CredSSP e os clientes de área de trabalho remota para todas as plataformas afetadas. A mitigação consiste em instalar a atualização em todos os sistemas operacionais de cliente e servidor elegíveis e, em seguida, usar as configurações de diretiva de grupo ou equivalentes baseadas no registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como "forçar clientes atualizados" ou "atenuadas" em computadores cliente e servidor assim que possível.  Essas alterações exigirão uma reinicialização dos sistemas afetados. Preste muita atenção aos pares de configurações de diretiva de grupo ou registro que resultam em interações "bloqueadas" entre clientes e servidores na tabela de compatibilidade mais adiante neste artigo.

17 de abril de 2018

A actualização de actualização de cliente de ambiente de trabalho remoto (RDP) no KB 4093120 irá melhorar a mensagem de erro apresentada quando um cliente actualizado não consegue ligar a um servidor que não foi actualizado.

8 de maio de 2018

Uma atualização para alterar a configuração padrão de vulnerável para atenuado.

Os números da base de dados de conhecimento da Microsoft relacionados estão listados em CVE-2018-0886.

Por padrão, depois que essa atualização é instalada, os clientes corrigidos não podem se comunicar com servidores não corrigidos. Use a matriz de interoperabilidade e as configurações de diretiva de grupo descritas neste artigo para habilitar uma configuração "permitida".

Política de Grupo

Caminho da política e nome da configuração

Descrição

Caminho da política: configuração do computador-> modelos administrativos-> sistema-delegação de credenciais > Nome da configuração: correção de criptografia Oracle

Remediação de Oracle de criptografia

Essa configuração de diretiva se aplica a aplicativos que usam o componente CredSSP (por exemplo, conexão de área de trabalho remota).

Algumas versões do protocolo CredSSP são vulneráveis a um ataque Oracle de criptografia contra o cliente. Essa política controla a compatibilidade com clientes e servidores vulneráveis. Esta política permite que você defina o nível de proteção que você deseja para a vulnerabilidade de Oracle de criptografia.

Se você habilitar essa configuração de política, o suporte à versão do CredSSP será selecionado com base nas seguintes opções:

Forçar clientes atualizados – Os aplicativos cliente que usam o CredSSP não poderão recuar para versões inseguras e os serviços que usam o CredSSP não aceitarão clientes não corrigidos.

Nota Essa configuração não deve ser implantada até que todos os hosts remotos suportem a versão mais recente.

Atenuado – Os aplicativos cliente que usam o CredSSP não poderão recuar para versões inseguras, mas os serviços que usam o CredSSP aceitarão clientes sem patches.

Vulneráveis – Os aplicativos cliente que usam o CredSSP exporão os servidores remotos para ataques ao oferecer suporte a fallback para versões inseguras, e os serviços que usam CredSSP aceitarão clientes não corrigidos.

 

A política de grupo de remediação Oracle de criptografia suporta as três opções a seguir, que devem ser aplicadas a clientes e servidores:

Definição de política

Valor do registro

Comportamento do cliente

Comportamento do servidor

Forçar clientes atualizados

0

Aplicativos cliente que usam CredSSP não poderão recuar para versões inseguras.

Os serviços que usam o CredSSP não aceitarão clientes não corrigidos. Nota Essa configuração não deve ser implantada até que todos os clientes CredSSP do Windows e de terceiros suportem a versão mais recente do CredSSP.

Atenuado

1

Aplicativos cliente que usam CredSSP não poderão recuar para versões inseguras.

Os serviços que usam CredSSP aceitarão clientes sem patches .

Vulnerável

2

Os aplicativos cliente que usam CredSSP exporão servidores remotos para ataques, suportando fallback para versões inseguras.

Os serviços que usam CredSSP aceitarão clientes sem patches .

 

Uma segunda atualização, a ser lançada em 8 de maio de 2018, alterará o comportamento padrão para a opção "atenuada".

Nota Qualquer alteração no Encryption Oracle remediação requer uma reinicialização.

Valor do registro

Aviso Problemas sérios podem ocorrer se você modificar o registro incorretamente usando o editor do registro ou usando outro método. Esses problemas podem exigir que você reinstale o sistema operacional. A Microsoft não pode garantir que esses problemas podem ser resolvidos. Modifique o registro por sua conta e risco.

A actualização introduz a seguinte definição de registo:

Caminho do registro

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Valor

Propriedade AllowEncryptionOracle

Tipo de data

Dword

Reinicialização necessária?

Sim

Matriz de interoperabilidade

O cliente e o servidor precisam ser atualizados, ou o Windows e os clientes CredSSP de terceiros não poderão se conectar ao Windows ou a hosts de terceiros. Consulte a matriz de interoperabilidade a seguir para cenários que são vulneráveis à exploração ou causam falhas operacionais.

Nota Ao se conectar a um servidor de área de trabalho remota do Windows, o servidor pode ser configurado para usar um mecanismo de fallback que emprega o protocolo TLS para autenticação e os usuários podem obter resultados diferentes do descrito nesta matriz. Essa matriz descreve apenas o comportamento do protocolo CredSSP.

 

 

Servidor

Unpatched

Forçar clientes atualizados

Atenuado

Vulnerável

Cliente

Unpatched

Permitido

Bloqueado

Permitido

Permitido

Forçar clientes atualizados

Bloqueado

Permitido

Permitido

Permitido

Atenuado

Bloqueado

Permitido

Permitido

Permitido

Vulnerável

Permitido

Permitido

Permitido

Permitido

 

Configuração do cliente

Status do patch CVE-2018-0886

Unpatched

Vulnerável

Forçar clientes atualizados

Seguro

Atenuado

Seguro

Vulnerável

Vulnerável

Erros de log de eventos do Windows

O ID de evento 6041 será registrado em clientes Windows corrigidos se o cliente e o host remoto estiverem configurados em uma configuração bloqueada.

Registo de eventos

Sistema

Origem do evento

LSA (LsaSrv)

ID do evento

6041

Texto da mensagem de evento

Uma autenticação CredSSP para < nome de host > falha ao negociar uma versão de protocolo comum. O host remoto ofereceu versão < Protocol version > que não é permitida pelo Encryption Oracle remediação.

Erros gerados por pares de configuração bloqueados pelo CredSSP por clientes Windows RDP corrigidos

Erros apresentados pelo cliente de área de trabalho remota sem o patch de 17 de abril de 2018 (KB 4093120)

Unpatched pre-Windows 8,1 e clientes do Windows Server 2012 R2 emparelhados com servidores configurados com "forçar clientes actualizados"

Erros gerados pelos pares de configuração bloqueados pelo CredSSP corrigidos pelos clientes RDP do Windows 8.1/Windows Server 2012 R2 e posteriores

Ocorreu um erro de autenticação.

O token fornecido para a função é inválido

Ocorreu um erro de autenticação.

Não há suporte para a função solicitada.

Erros apresentados pelo cliente de área de trabalho remota com o patch de 17 de abril de 2018 (KB 4093120)

Não corrigidos os clientes 8,1 e Windows Server 2012 R2 de pré-Windows emparelhados com servidores configurados com " Forçar clientes atualizados "

Esses erros são gerados pelos pares de configuração bloqueados pelo CredSSP, corrigidos pelos clientes RDP do Windows 8.1/Windows Server 2012 R2 e posteriores.

Ocorreu um erro de autenticação.

O token fornecido para a função é inválido.

Ocorreu um erro de autenticação.

Não há suporte para a função solicitada.

Computador remoto: <hostname>

Isso pode ser devido à remediação do Oracle de criptografia CredSSP.

Para obter mais informações, consulte https://go.Microsoft.com/fwlink/?linkid=866660

Servidores e clientes de Desktop remotos de terceiros

Todos os clientes ou servidores de terceiros devem usar a versão mais recente do protocolo CredSSP. Entre em contato com os fornecedores para determinar se o software é compatível com o protocolo CredSSP mais recente.

As atualizações de protocolo podem ser encontradas no site de documentação do protocolo Windows.

Alterações de arquivo

Os seguintes arquivos de sistema foram alterados nesta atualização.

  • tspkg.dll

O arquivo CredSSP. dll permanece inalterado. Para obter mais informações, revise os artigos relevantes para obter informações sobre a versão do arquivo.

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×