Resumo
Credential Security Support Provider Protocol (CredSSP) é um provedor de autenticação que processa solicitações de autenticação para outros aplicativos. Existe uma vulnerabilidade de execução remota de código em versões não corrigidas do CredSSP. Um invasor que explora com êxito essa vulnerabilidade pode retransmitir as credenciais do usuário para executar o código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode estar vulnerável a esse tipo de ataque.
Esta atualização de segurança elimina a vulnerabilidade corrigindo como CredSSP valida solicitações durante o processo de autenticação.
Para saber mais sobre a vulnerabilidade, consulte CVE-2018-0886.
Atualizações
13 de março de 2018
A inicial 13 de março de 2018, versão atualiza o protocolo de autenticação CredSSP e os clientes de área de trabalho remota para todas as plataformas afetadas. A mitigação consiste em instalar a atualização em todos os sistemas operacionais de cliente e servidor elegíveis e, em seguida, usar as configurações de diretiva de grupo ou equivalentes baseadas no registro para gerenciar as opções de configuração nos computadores cliente e servidor. Recomendamos que os administradores apliquem a política e a definam como "forçar clientes atualizados" ou "atenuadas" em computadores cliente e servidor assim que possível. Essas alterações exigirão uma reinicialização dos sistemas afetados. Preste muita atenção aos pares de configurações de diretiva de grupo ou registro que resultam em interações "bloqueadas" entre clientes e servidores na tabela de compatibilidade mais adiante neste artigo.
17 de abril de 2018
A actualização de actualização de cliente de ambiente de trabalho remoto (RDP) no KB 4093120 irá melhorar a mensagem de erro apresentada quando um cliente actualizado não consegue ligar a um servidor que não foi actualizado.
8 de maio de 2018
Uma atualização para alterar a configuração padrão de vulnerável para atenuado.
Os números da base de dados de conhecimento da Microsoft relacionados estão listados em CVE-2018-0886.
Por padrão, depois que essa atualização é instalada, os clientes corrigidos não podem se comunicar com servidores não corrigidos. Use a matriz de interoperabilidade e as configurações de diretiva de grupo descritas neste artigo para habilitar uma configuração "permitida".
Política de Grupo
Caminho da política e nome da configuração |
Descrição |
Caminho da política: configuração do computador-> modelos administrativos-> sistema-delegação de credenciais > Nome da configuração: correção de criptografia Oracle |
Remediação de Oracle de criptografia Essa configuração de diretiva se aplica a aplicativos que usam o componente CredSSP (por exemplo, conexão de área de trabalho remota). Algumas versões do protocolo CredSSP são vulneráveis a um ataque Oracle de criptografia contra o cliente. Essa política controla a compatibilidade com clientes e servidores vulneráveis. Esta política permite que você defina o nível de proteção que você deseja para a vulnerabilidade de Oracle de criptografia. Se você habilitar essa configuração de política, o suporte à versão do CredSSP será selecionado com base nas seguintes opções: Forçar clientes atualizados – Os aplicativos cliente que usam o CredSSP não poderão recuar para versões inseguras e os serviços que usam o CredSSP não aceitarão clientes não corrigidos. Nota Essa configuração não deve ser implantada até que todos os hosts remotos suportem a versão mais recente. Atenuado – Os aplicativos cliente que usam o CredSSP não poderão recuar para versões inseguras, mas os serviços que usam o CredSSP aceitarão clientes sem patches. Vulneráveis – Os aplicativos cliente que usam o CredSSP exporão os servidores remotos para ataques ao oferecer suporte a fallback para versões inseguras, e os serviços que usam CredSSP aceitarão clientes não corrigidos. |
A política de grupo de remediação Oracle de criptografia suporta as três opções a seguir, que devem ser aplicadas a clientes e servidores:
Definição de política |
Valor do registro |
Comportamento do cliente |
Comportamento do servidor |
Forçar clientes atualizados |
0 |
Aplicativos cliente que usam CredSSP não poderão recuar para versões inseguras. |
Os serviços que usam o CredSSP não aceitarão clientes não corrigidos. Nota Essa configuração não deve ser implantada até que todos os clientes CredSSP do Windows e de terceiros suportem a versão mais recente do CredSSP. |
Atenuado |
1 |
Aplicativos cliente que usam CredSSP não poderão recuar para versões inseguras. |
Os serviços que usam CredSSP aceitarão clientes sem patches . |
Vulnerável |
2 |
Os aplicativos cliente que usam CredSSP exporão servidores remotos para ataques, suportando fallback para versões inseguras. |
Os serviços que usam CredSSP aceitarão clientes sem patches . |
Uma segunda atualização, a ser lançada em 8 de maio de 2018, alterará o comportamento padrão para a opção "atenuada".
Nota Qualquer alteração no Encryption Oracle remediação requer uma reinicialização.
Valor do registro
Aviso Problemas sérios podem ocorrer se você modificar o registro incorretamente usando o editor do registro ou usando outro método. Esses problemas podem exigir que você reinstale o sistema operacional. A Microsoft não pode garantir que esses problemas podem ser resolvidos. Modifique o registro por sua conta e risco.
A actualização introduz a seguinte definição de registo:
Caminho do registro |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Valor |
Propriedade AllowEncryptionOracle |
Tipo de data |
Dword |
Reinicialização necessária? |
Sim |
Matriz de interoperabilidade
O cliente e o servidor precisam ser atualizados, ou o Windows e os clientes CredSSP de terceiros não poderão se conectar ao Windows ou a hosts de terceiros. Consulte a matriz de interoperabilidade a seguir para cenários que são vulneráveis à exploração ou causam falhas operacionais.
Nota Ao se conectar a um servidor de área de trabalho remota do Windows, o servidor pode ser configurado para usar um mecanismo de fallback que emprega o protocolo TLS para autenticação e os usuários podem obter resultados diferentes do descrito nesta matriz. Essa matriz descreve apenas o comportamento do protocolo CredSSP.
|
|
Servidor |
|||
Unpatched |
Forçar clientes atualizados |
Atenuado |
Vulnerável |
||
Cliente |
Unpatched |
Permitido |
Bloqueado |
Permitido |
Permitido |
Forçar clientes atualizados |
Bloqueado |
Permitido |
Permitido |
Permitido |
|
Atenuado |
Bloqueado |
Permitido |
Permitido |
Permitido |
|
Vulnerável |
Permitido |
Permitido |
Permitido |
Permitido |
Configuração do cliente |
Status do patch CVE-2018-0886 |
Unpatched |
Vulnerável |
Forçar clientes atualizados |
Seguro |
Atenuado |
Seguro |
Vulnerável |
Vulnerável |
Erros de log de eventos do Windows
O ID de evento 6041 será registrado em clientes Windows corrigidos se o cliente e o host remoto estiverem configurados em uma configuração bloqueada.
Registo de eventos |
Sistema |
Origem do evento |
LSA (LsaSrv) |
ID do evento |
6041 |
Texto da mensagem de evento |
Uma autenticação CredSSP para < nome de host > falha ao negociar uma versão de protocolo comum. O host remoto ofereceu versão < Protocol version > que não é permitida pelo Encryption Oracle remediação. |
Erros gerados por pares de configuração bloqueados pelo CredSSP por clientes Windows RDP corrigidos
Erros apresentados pelo cliente de área de trabalho remota sem o patch de 17 de abril de 2018 (KB 4093120)
Unpatched pre-Windows 8,1 e clientes do Windows Server 2012 R2 emparelhados com servidores configurados com "forçar clientes actualizados" |
Erros gerados pelos pares de configuração bloqueados pelo CredSSP corrigidos pelos clientes RDP do Windows 8.1/Windows Server 2012 R2 e posteriores |
Ocorreu um erro de autenticação. O token fornecido para a função é inválido |
Ocorreu um erro de autenticação. Não há suporte para a função solicitada. |
Erros apresentados pelo cliente de área de trabalho remota com o patch de 17 de abril de 2018 (KB 4093120)
Não corrigidos os clientes 8,1 e Windows Server 2012 R2 de pré-Windows emparelhados com servidores configurados com " Forçar clientes atualizados " |
Esses erros são gerados pelos pares de configuração bloqueados pelo CredSSP, corrigidos pelos clientes RDP do Windows 8.1/Windows Server 2012 R2 e posteriores. |
Ocorreu um erro de autenticação. O token fornecido para a função é inválido. |
Ocorreu um erro de autenticação. Não há suporte para a função solicitada. Computador remoto: <hostname> Isso pode ser devido à remediação do Oracle de criptografia CredSSP. Para obter mais informações, consulte https://go.Microsoft.com/fwlink/?linkid=866660 |
Servidores e clientes de Desktop remotos de terceiros
Todos os clientes ou servidores de terceiros devem usar a versão mais recente do protocolo CredSSP. Entre em contato com os fornecedores para determinar se o software é compatível com o protocolo CredSSP mais recente.
As atualizações de protocolo podem ser encontradas no site de documentação do protocolo Windows.
Alterações de arquivo
Os seguintes arquivos de sistema foram alterados nesta atualização.
-
tspkg.dll
O arquivo CredSSP. dll permanece inalterado. Para obter mais informações, revise os artigos relevantes para obter informações sobre a versão do arquivo.