Аннотация
Протокол поставщика поддержки учетных данных (CredSSP) является поставщиком аутентификации, который обрабатывает запросы на аутентификацию для других приложений. Уязвимость удаленного выполнения кода существует в неисправленных версиях CredSSP. Злоумышленник, успешно использующий эту уязвимость, может передавать учетные данные пользователей для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для проверки подлинности, может быть уязвимым для такого типа атак.
Это обновление безопасности устраняет уязвимость, исправляя, как CredSSP проверяет запросы в процессе проверки подлинности.
Чтобы узнать больше об уязвимости, см. CVE-2018-0886.
Обновления
13 марта 2018 года
Первоначальный релиз 13 марта 2018 года обновляет протокол проверки подлинности CredSSP и удаленные настольные клиенты для всех затронутых платформ. Смягчение состоит в установке обновления на всех подходящих клиента хитрое и серверных операционных системах, а затем с использованием включенных настроек групповой политики или эквивалентов на основе реестра для управления параметрами настройки на компьютерах клиента и сервера. Мы рекомендуем администраторам применять политику и как можно скорее настроить ее на "Принудительно обновляемых клиентов" или "Смягченные" на компьютерах клиентов и серверов. Эти изменения потребуют перезагрузки затронутых систем. Обратите пристальное внимание на пары параметров групповой политики или реестра, которые приводят к "заблокированным" взаимодействиям между клиентами и серверами в таблице совместимости позже в этой статье.
17 апреля 2018 года
Обновление удаленного настольного клиента (RDP) в KB 4093120 усилит сообщение об ошибке, которое представляется, когда обновленный клиент не подключится к серверу, который не был обновлен.
8 мая 2018 года
Обновление для изменения параметра по умолчанию с уязвимого на смягченный.
Похожие номера базы знаний Microsoft перечислены в CVE-2018-0886.
По умолчанию, после установки этого обновления, исправленные клиенты не могут общаться с неисправленными серверами. Используйте матрицу совместимости и параметры групповой политики, описанные в этой статье, чтобы включить "разрешенную" конфигурацию.
Групповая политика
Путь политики и имя настройки |
Описание |
Политический путь: Компьютерная конфигурация - Настройка имени: Восстановление шифрования Oracle |
Шифрование оракула исправления Эта настройка политики применяется к приложениям, использующему компонент CredSSP (например, удаленное подключение к рабочему столу). Некоторые версии протокола CredSSP уязвимы для атаки оракула шифрования против клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет установить уровень защиты, который вы хотите для уязвимости оракула шифрования. Если вы включите эту настройку политики, поддержка версии CredSSP будет выбрана на основе следующих вариантов: Силовые обновленные клиенты - Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям, а службы, которые используют CredSSP, не будут принимать неисправленных клиентов. Заметка Эта настройка не должна быть развернута до тех пор, пока все удаленные узлы не поддержат новейшую версию. Смягчено - Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям, но службы, которые используют CredSSP, будут принимать неисправленных клиентов. Уязвимые - Клиентские приложения, которые используют CredSSP, подвергают удаленные серверы атакам, поддерживая резервные для небезопасных версий, а службы, которые используют CredSSP, будут принимать неисправленных клиентов. |
Политика группы восстановления шифрования Oracle поддерживает следующие три варианта, которые должны быть применены к клиентам и серверам:
Настройка политики |
Значение реестра |
Поведение клиента |
Поведение сервера |
Силы обновленных клиентов |
0 |
Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям. |
Службы, использующие CredSSP, не принимают неисправленных клиентов. Заметка Эта настройка не должна быть развернута до тех пор, пока все клиенты Windows и сторонних CredSSP не поддержат новейшую версию CredSSP. |
Смягчить |
1 |
Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям. |
Услуги, которые используют CredSSP будет принимать неисправленных клиентов. |
Уязвимых |
2 |
Клиентские приложения, которые используют CredSSP, подвергают удаленные серверы атакам, поддерживая резервные для небезопасных версий. |
Услуги, которые используют CredSSP будет принимать неисправленных клиентов. |
Второе обновление, выпущенное 8 мая 2018 года, изменит поведение по умолчанию на опцию "Mitigated".
Заметка Любое изменение в исправлении шифрования Oracle требует перезагрузки.
Значение реестра
Предупреждение Серьезные проблемы могут возникнуть, если вы измените реестр неправильно, используя редактор реестра или с помощью другого метода. Эти проблемы могут потребовать, чтобы вы переустановить операционную систему. Корпорация Майкрософт не может гарантировать, что эти проблемы могут быть решены. Измените реестр на свой страх и риск.
Обновление вводит следующую настройку реестра:
Путь регистрации |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Значение |
РазрешитьEncryptionOracle |
Тип даты |
Dword |
Требуется перезагрузка? |
Да |
Матрица совместимости
Необходимо обновить как клиент, так и сервер, иначе клиенты CredSSP с Windows и сторонних компаний не смогут подключиться к Windows или сторонним хостам. Ознакомьтесь со следующей матрицей совместимости сценариев, которые либо уязвимы для эксплойта, либо вызывают эксплуатационные сбои.
Заметка При подключении к серверу Windows Remote Desktop сервер может быть настроен для использования механизма резервного копирования, использующий протокол TLS для проверки подлинности, и пользователи могут получить другие результаты, чем описано в этой матрице. Эта матрица описывает только поведение протокола CredSSP.
|
|
Сервера |
|||
Неисправлено |
Силы обновленных клиентов |
Смягчить |
Уязвимых |
||
Клиента |
Неисправлено |
Разрешены |
Заблокирован |
Разрешены |
Разрешены |
Силы обновленных клиентов |
Заблокирован |
Разрешены |
Разрешены |
Разрешены |
|
Смягчить |
Заблокирован |
Разрешены |
Разрешены |
Разрешены |
|
Уязвимых |
Разрешены |
Разрешены |
Разрешены |
Разрешены |
Настройка клиента |
CVE-2018-0886 статус патча |
Неисправлено |
Уязвимых |
Силы обновленных клиентов |
Безопасный |
Смягчить |
Безопасный |
Уязвимых |
Уязвимых |
Ошибки журнала событий Windows
Event ID 6041 будет зарегистрирован на исправленных клиентах Windows, если клиент и удаленный хост настроены в заблокированной конфигурации.
Журнал событий |
Система |
Источник событий |
LSA (LsaSrv) |
ИД события |
6041 |
Текст сообщения событий |
Проверка подлинности CredSSP на «lt;hostname»gt; не смогла договориться об общей версии протокола. Удаленный хост предложил версию lt;Protocol Version,gt; которая не допускается шифрованием Oracle Remediation. |
Ошибки, генерируемые парами конфигураций, заблокированными CredSSP, исправленными клиентами RDP Windows
Ошибки, представленные клиентом удаленного рабочего стола без патча от 17 апреля 2018 г. (KB 4093120)
Неисправленные клиенты pre-Windows 8.1 и Windows Server 2012 R2 в паре с серверами, настроенными с "Обновленными клиентами" |
Ошибки, генерируемые парами конфигураций, заблокированными CredSSP патчированными Windows 8.1/Windows Server 2012 R2 и более поздними клиентами RDP |
Произошла ошибка аутентификации. Токен, поставляемый в функцию, недействителен |
Произошла ошибка аутентификации. Запрошенная функция не поддерживается. |
Ошибки, представленные удаленного настольного клиента с 17 апреля 2018 патч (KB 4093120)
Неисправленные предварительно Windows 8.1 и Windows Server 2012 R2 клиенты в паре с серверами, настроенными с " Сила Обновленные Клиенты" |
Эти ошибки генерируются парами конфигураций, заблокированными CredSSP, исправленными Windows 8.1/Windows Server 2012 R2 и более поздними клиентами RDP. |
Произошла ошибка аутентификации. Токен, поставляемый в функцию, является недействительным. |
Произошла ошибка аутентификации. Запрошенная функция не поддерживается. Удаленный компьютер: Злт;хост-имя Это может быть связано с исправлением credSSP шифрования oracle. Для получения дополнительной информации см https://go.microsoft.com/fwlink/?linkid=866660. |
Сторонние удаленные настольные клиенты и серверы
Все сторонние клиенты или серверы должны использовать последнюю версию протокола CredSSP. Пожалуйста, свяжитесь с поставщиками, чтобы определить, совместимо ли их программное обеспечение с последним протоколом CredSSP.
Обновления протокола можно найти на сайте документации протокола Windows.
Изменения файлов
Следующие системные файлы были изменены в этом обновлении.
-
tspkg.dll
Файл credssp.dll остается неизменным. Для получения дополнительной информации, пожалуйста, просмотрите соответствующие статьи для информации о версии файла.