Обновления CredSSP для CVE-2018-0886

Применимо к: Windows Server 2016Windows Server 2012 R2 StandardWindows Server 2012 Standard

Аннотация


Протокол поставщика поддержки учетных данных (CredSSP) является поставщиком аутентификации, который обрабатывает запросы на аутентификацию для других приложений.Уязвимость удаленного выполнения кода существует в неисправленных версиях CredSSP. Злоумышленник, успешно использующий эту уязвимость, может передавать учетные данные пользователей для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для проверки подлинности, может быть уязвимым для такого типа атак.

Это обновление безопасности устраняет уязвимость, исправляя, как CredSSP проверяет запросы в процессе проверки подлинности.

Чтобы узнать больше об уязвимости, см. CVE-2018-0886.

Обновления


13 марта 2018 года

Первоначальный релиз 13 марта 2018 года обновляет протокол проверки подлинности CredSSP и удаленные настольные клиенты для всех затронутых платформ.Смягчение состоит в установке обновления на всех подходящих клиента хитрое и серверных операционных системах, а затем с использованием включенных настроек групповой политики или эквивалентов на основе реестра для управления параметрами настройки на компьютерах клиента и сервера. Мы рекомендуем администраторам применять политику и как можно скорее настроить ее на "Принудительно обновляемых клиентов" или "Смягченные" на компьютерах клиентов и серверов.  Эти изменения потребуют перезагрузки затронутых систем.Обратите пристальное внимание на пары параметров групповой политики или реестра, которые приводят к "заблокированным" взаимодействиям между клиентами и серверами в таблице совместимости позже в этой статье.

17 апреля 2018 года

Обновление удаленного настольного клиента (RDP) в KB 4093120 усилит сообщение об ошибке, которое представляется, когда обновленный клиент не подключится к серверу, который не был обновлен.

8 мая 2018 года

Обновление для изменения параметра по умолчанию с уязвимого на смягченный.

Похожие номера базы знаний Microsoft перечислены в CVE-2018-0886.

По умолчанию, после установки этого обновления, исправленные клиенты не могут общаться с неисправленными серверами. Используйте матрицу совместимости и параметры групповой политики, описанные в этой статье, чтобы включить "разрешенную" конфигурацию.

Групповая политика


Путь политики и имя настройки

Описание

Политический путь: Компьютерная конфигурация - Настройка имени: Восстановление шифрования Oracle

Шифрование оракула исправления

Эта настройка политики применяется к приложениям, использующему компонент CredSSP (например, удаленное подключение к рабочему столу).

Некоторые версии протокола CredSSP уязвимы для атаки оракула шифрования против клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет установить уровень защиты, который вы хотите для уязвимости оракула шифрования.

Если вы включите эту настройку политики, поддержка версии CredSSP будет выбрана на основе следующих вариантов:

Силовые обновленные клиенты - Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям, а службы, которые используют CredSSP, не будут принимать неисправленных клиентов.

Заметка Эта настройка не должна быть развернута до тех пор, пока все удаленные узлы не поддержат новейшую версию.

Смягчено - Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям, но службы, которые используют CredSSP, будут принимать неисправленных клиентов.

Уязвимые - Клиентские приложения, которые используют CredSSP, подвергают удаленные серверы атакам, поддерживая резервные для небезопасных версий, а службы, которые используют CredSSP, будут принимать неисправленных клиентов.

 

Политика группы восстановления шифрования Oracle поддерживает следующие три варианта, которые должны быть применены к клиентам и серверам:

Настройка политики

Значение реестра

Поведение клиента

Поведение сервера

Силы обновленных клиентов

0

Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям.

Службы, использующие CredSSP, не принимают неисправленных клиентов. Заметка Эта настройка не должна быть развернута до тех пор, пока все клиенты Windows и сторонних CredSSP не поддержат новейшую версию CredSSP.

Смягчить

1

Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям.

Услуги, которые используют CredSSP будет принимать неисправленных клиентов.

Уязвимых

2

Клиентские приложения, которые используют CredSSP, подвергают удаленные серверы атакам, поддерживая резервные для небезопасных версий.

Услуги, которые используют CredSSP будет принимать неисправленных клиентов.

 

Второе обновление, выпущенное 8 мая 2018 года, изменит поведение по умолчанию на опцию "Mitigated".

Заметка Любое изменение в исправлении шифрования Oracle требует перезагрузки.

Значение реестра


Обновление вводит следующую настройку реестра:

Путь регистрации

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Значение

РазрешитьEncryptionOracle

Тип даты

Dword

Требуется перезагрузка?

Да

Матрица совместимости


Необходимо обновить как клиент, так и сервер, иначе клиенты CredSSP с Windows и сторонних компаний не смогут подключиться к Windows или сторонним хостам. Ознакомьтесь со следующей матрицей совместимости сценариев, которые либо уязвимы для эксплойта, либо вызывают эксплуатационные сбои.

Заметка При подключении к серверу Windows Remote Desktop сервер может быть настроен для использования механизма резервного копирования, использующий протокол TLS для проверки подлинности, и пользователи могут получить другие результаты, чем описано в этой матрице. Эта матрица описывает только поведение протокола CredSSP.

 

 

Сервера

 

Неисправлено

Силы обновленных клиентов

Смягчить

Уязвимых

Клиента

Неисправлено

Разрешены

Заблокирован

Разрешены

Разрешены

Силы обновленных клиентов

Заблокирован

Разрешены

Разрешены

Разрешены

Смягчить

Заблокирован

Разрешены

Разрешены

Разрешены

Уязвимых

Разрешены

Разрешены

Разрешены

Разрешены

 

Настройка клиента

CVE-2018-0886 статус патча

Неисправлено

Уязвимых

Силы обновленных клиентов

Безопасный

Смягчить

Безопасный

Уязвимых

Уязвимых

Ошибки журнала событий Windows


Event ID 6041 будет зарегистрирован на исправленных клиентах Windows, если клиент и удаленный хост настроены в заблокированной конфигурации.

Журнал событий

Система

Источник событий

LSA (LsaSrv)

ИД события

6041

Текст сообщения событий

Проверка подлинности CredSSP на «lt;hostname»gt; не смогла договориться об общей версии протокола. Удаленный хост предложил версию lt;Protocol Version,gt; которая не допускается шифрованием Oracle Remediation.

Ошибки, генерируемые парами конфигураций, заблокированными CredSSP, исправленными клиентами RDP Windows


Ошибки, представленные клиентом удаленного рабочего стола без патча от 17 апреля 2018 г. (KB 4093120)

Неисправленные клиенты pre-Windows 8.1 и Windows Server 2012 R2 в паре с серверами, настроенными с "Обновленными клиентами"

Ошибки, генерируемые парами конфигураций, заблокированными CredSSP патчированными Windows 8.1/Windows Server 2012 R2 и более поздними клиентами RDP

Произошла ошибка аутентификации.

Токен, поставляемый в функцию, недействителен

Произошла ошибка аутентификации.

Запрошенная функция не поддерживается.

Ошибки, представленные удаленного настольного клиента с 17 апреля 2018 патч (KB 4093120)

Неисправленные предварительно Windows 8.1 и Windows Server 2012 R2 клиенты в паре с серверами, настроенными с " Сила Обновленные Клиенты"

Эти ошибки генерируются парами конфигураций, заблокированными CredSSP, исправленными Windows 8.1/Windows Server 2012 R2 и более поздними клиентами RDP.

Произошла ошибка аутентификации.

Токен, поставляемый в функцию, является недействительным.

Произошла ошибка аутентификации.

Запрошенная функция не поддерживается.

Удаленный компьютер: Злт;хост-имя

Это может быть связано с исправлением credSSP шифрования oracle.

Для получения дополнительной информации см https://go.microsoft.com/fwlink/?linkid=866660.

Сторонние удаленные настольные клиенты и серверы


Все сторонние клиенты или серверы должны использовать последнюю версию протокола CredSSP. Пожалуйста, свяжитесь с поставщиками, чтобы определить, совместимо ли их программное обеспечение с последним протоколом CredSSP.

Обновления протокола можно найти на сайте документации протокола Windows.

Изменения файлов


Следующие системные файлы были изменены в этом обновлении.

  • tspkg.dll

Файл credssp.dll остается неизменным. Для получения дополнительной информации, пожалуйста, просмотрите соответствующие статьи для информации о версии файла.