Súhrn
Poverenia zabezpečenia podpora Provider Protocol (CredSSP) je poskytovateľ overenia, ktorý spracováva požiadavky na overenie pre iné aplikácie. Napadnuteľnosť spúšťania kódu na diaľku existuje v unpatched verziách programu CredSSP. Útočník, ktorí úspešne využíva túto chybu môže relé používateľské poverenia na spustenie kódu v cieľovom systéme. Každá aplikácia, ktorá závisí od protokolu CredSSP na overenie môže byť citlivé na tento typ útoku.
Táto aktualizácia rieši nedostatočné opravou ako CredSSP overuje požiadavky počas procesu overenia.
Ďalšie informácie o zraniteľnosti, nájdete CVE-2018-0886.
Aktualizácie
Marec 13, 2018
Počiatočné 13 marec 2018, vydanie aktualizácie protokolu CredSSP overovací protokol a klientov vzdialenej pracovnej plochy pre všetky príslušné platformy. Zmiernenie spočíva v inštalácii aktualizácie na všetky oprávnené klientske a serverové operačné systémy a potom pomocou zahrnuté nastavenia skupinovej politiky alebo na základe databázy Registry ekvivalenty spravovať možnosti nastavenia na klientskych a serverových počítačoch. Odporúčame, aby správcovia použiť politiku a nastavte ju na "Force aktualizované klientov" alebo "Mitigated" na klientskych a serverových počítačoch čo najskôr. Tieto zmeny budú vyžadovať reštartovanie postihnutých systémov. Venujte zvýšenú pozornosť skupinovej politiky alebo nastavenia databázy Registry párov, ktoré majú za následok "blokované" interakcie medzi klientmi a servermi v tabuľke kompatibility neskôr v tomto článku.
Apríl 17, 2018
Aktualizácia aktualizácie klienta vzdialenej pracovnej plochy (RDP) v KB 4093120 zvýši chybové hlásenie, ktoré sa zobrazí, keď aktualizovaný klient nedokáže pripojiť na server, ktorý nebol aktualizovaný.
8. mája, 2018
Aktualizácia zmeniť predvolené nastavenie citlivé na mitigated.
Súvisiace čísla databázy Microsoft Knowledge Base sú uvedené v CVE-2018-0886.
V predvolenom nastavení, po nainštalovaní tejto aktualizácie, oprava klientov nemôže komunikovať s unpatched servery. Použite maticu interoperability a nastavenia skupinovej politiky opísané v tomto článku povoliť "povolené" konfigurácie.
Skupinová politika
Cesta k politike a názov nastavenia |
Popis |
Politika cesta: Konfigurácia počítača-> šablóny pre správu-> systém-> poverenia delegácie Nastavenie názov: šifrovanie Oracle Remediation |
Šifrovanie Oracle nápravy Toto nastavenie politiky sa vzťahuje na aplikácie, ktoré používajú súčasť CredSSP (napríklad pripojenie vzdialenej pracovnej plochy). Niektoré verzie protokolu CredSSP sú citlivé na šifrovanie Oracle útoku proti klientovi. Táto politika kontroluje kompatibilitu s zraniteľnými klientmi a servermi. Táto politika umožňuje nastaviť úroveň ochrany, ktorú chcete pre šifrovanie Oracle zraniteľnosť. Ak zapnete toto nastavenie politiky, podpora verzií CredSSP bude vybratá na základe nasledujúcich možností: Force aktualizované klientov- Klientské aplikácie, ktoré používajú protokol CredSSP, nebudú môcť spadnúť na nezabezpečené verzie a služby, ktoré používajú protokol CredSSP, neprijímajú neopravované klientov. Poznámka: Toto nastavenie by sa nemali nasadiť, kým všetky vzdialené počítače nepodporujú najnovšiu verziu. Zmiernené – Klientske aplikácie, ktoré používajú protokol CredSSP nebude môcť spadnúť späť na nezabezpečené verzie, ale služby, ktoré používajú protokol CredSSP akceptovať unpatched klientov. Zraniteľné – Klientské aplikácie, ktoré používajú protokol CredSSP vystavujú vzdialené servery útokom tým, že podporujú záložný nezabezpečenú verziu a služby, ktoré používajú protokol CredSSP, akceptujú neopravované klientov. |
Šifrovanie Oracle Remediation skupinovej politiky podporuje nasledujúce tri možnosti, ktoré by mali byť použité na klientov a servery:
Nastavenie politiky |
Hodnota databázy Registry |
Správanie klienta |
Správanie servera |
Platnosť aktualizovaných klientov |
0 |
Klientské aplikácie, ktoré používajú protokol CredSSP, nebudú môcť spadnúť späť na nezabezpečené verzie. |
Služby používajúce protokol CredSSP nebudú akceptovať neopravované klientov. Poznámka: Toto nastavenie by sa nemali nasadiť, kým všetky Windows a tretej strany CredSSP klienti podporujú najnovšiu verziu CredSSP. |
Zmierniť |
1 |
Klientské aplikácie, ktoré používajú protokol CredSSP, nebudú môcť spadnúť späť na nezabezpečené verzie. |
Služby, ktoré používajú protokol CredSSP akceptujú unpatched klientov. |
Zraniteľné |
2 |
Klientské aplikácie, ktoré používajú protokol CredSSP, vystavujú vzdialené servery útokom tým, že podporujú záložný nezabezpečenú verziu. |
Služby, ktoré používajú protokol CredSSP akceptujú unpatched klientov. |
Druhá aktualizácia, ktorá má byť vydaná v máji 8, 2018, zmení predvolené správanie "Mitigated" možnosť.
Poznámka: Akákoľvek zmena šifrovania Oracle Remediation vyžaduje reštart.
Hodnota databázy Registry
Varovanie Vážne problémy sa môžu vyskytnúť, ak databázu Registry upravíte nesprávne pomocou editora databázy Registry alebo pomocou inej metódy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že tieto problémy môžu byť vyriešené. Upravte databázu Registry na vlastné riziko.
Aktualizácia zavádza nasledujúce nastavenie databázy Registry:
Cesta databázy Registry |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Hodnota |
AllowEncryptionOracle |
Typ dátumu |
Hodnota dword |
Reštart vyžaduje? |
Áno |
Matica interoperability
Klient aj server je potrebné aktualizovať, alebo Windows a tretej strany CredSSP klienti nemusia byť schopní pripojiť k Windows alebo tretej-party hostiteľov. Pozrite si nasledujúcu maticu interoperability pre scenáre, ktoré sú buď citlivé na zneužiť alebo spôsobiť prevádzkové zlyhania.
Poznámka: Pri pripájaní k serveru Windows Remote Desktop server môže byť nakonfigurovaný na používanie záložný mechanizmus , ktorý používa protokol TLS pre overovanie a používatelia môžu získať odlišné výsledky, ako je popísané v tejto matice. Táto matica popisuje iba správanie protokolu CredSSP.
|
|
Server |
|||
Unpatched |
Platnosť aktualizovaných klientov |
Zmierniť |
Zraniteľné |
||
Klienta |
Unpatched |
Povolené |
Blokované |
Povolené |
Povolené |
Platnosť aktualizovaných klientov |
Blokované |
Povolené |
Povolené |
Povolené |
|
Zmierniť |
Blokované |
Povolené |
Povolené |
Povolené |
|
Zraniteľné |
Povolené |
Povolené |
Povolené |
Povolené |
Nastavenie klienta |
CVE-2018-0886 stav opravy |
Unpatched |
Zraniteľné |
Platnosť aktualizovaných klientov |
Bezpečné |
Zmierniť |
Bezpečné |
Zraniteľné |
Zraniteľné |
Chyby denníka udalostí systému Windows
Identifikácia 6041 sa zaznamená na oprava klientov systému Windows, ak klient a vzdialeného hostiteľa sú nakonfigurované v blokovanej konfigurácii.
Denníka udalostí |
Systém |
Zdroj udalosti |
LSA (LsaSrv) |
Identifikácia |
6041 |
Text správy o udalosti |
Overovanie CredSSP na < hostname > nepodarilo vyjednávať spoločnú verziu protokolu. Vzdialený hostiteľ ponúkol verziu < verziu protokolu > , ktorá nie je povolená šifrovaním Oracle remediation. |
Chyby generované CredSSP-blokované konfigurácie párov oprava klientov systému Windows RDP
Chyby predložené klienta vzdialenej skúsenosti s prácou s počítačom bez apríla 17, 2018 patch (KB 4093120)
Unpatched pre-Windows 8,1 a Windows Server 2012 R2 klienti spárované s servermi nakonfigurovaný s "Force aktualizované klientov" |
Chyby generované CredSSP-blokované konfigurácie párov Oprava Windows 8.1/Windows Server 2012 R2 a novšie RDP klientov |
Vyskytla sa chyba overenia. Token dodaný do funkcie je neplatný. |
Vyskytla sa chyba overenia. Požadovaná funkcia nie je podporovaná. |
Chyby, ktoré predstavuje klient vzdialenej pracovnej plochy s 17 apríla 2018 patch (KB 4093120)
Unpatched pre-windows 8,1 a Windows Server 2012 R2 klienti spárované s servermi nakonfigurovaný s " Force aktualizované klientov " |
Tieto chyby sú generované CredSSP-blokované konfigurácie párov Oprava Windows 8.1/Windows Server 2012 R2 a neskôr RDP klientov. |
Vyskytla sa chyba overenia. Token dodaný do funkcie je neplatný. |
Vyskytla sa chyba overenia. Požadovaná funkcia nie je podporovaná. Vzdialený počítač: <hostname> To by mohlo byť spôsobené CredSSP šifrovanie Oracle remediation. Ďalšie informácie nájdete na https://go.Microsoft.com/fwlink/?linkid=866660 |
Klienti vzdialenej pracovnej plochy tretích strán a servery
Všetky tretej strany klientov alebo servery musia používať najnovšiu verziu protokolu CredSSP. Obráťte sa na dodávateľa a zistite, či je ich softvér kompatibilný s najnovším protokolom CredSSP.
Aktualizácie protokolu možno nájsť na lokalite Windows Protocol Documentation.
Zmeny súborov
Nasledujúce systémové súbory boli zmenené v tejto aktualizácii.
-
tspkg.dll
Súbor CredSSP. dll zostáva nezmenený. Pre viac informácií si prečítajte príslušné články pre informácie o verzii súboru.