Rezime
Protokol dobavljača bezbednosne podrške za akreditive (CredSSP) je dobavljač potvrde identiteta koji obrađuje zahteve za potvrdu identiteta za druge aplikacije. Daljinska ranjivost izvršavanja koda postoji u nezakrfirenim verzijama programa CredSSP. Napadač koji uspešno koristi ovu ranjivost mogao bi da prenese korisničke akreditive za izvršavanje koda u ciljnom sistemu. Svaka aplikacija koja zavisi od Poverenog dobavljača usluga za potvrdu identiteta može biti ranjiva na ovaj tip napada.
Ova bezbednosna ispravka rešava ranjivost tako što ispravlja kako kreditno dobavljač usluga proverava zahteve tokom procesa potvrde identiteta.
Da biste saznali više o ranjivosti, pogledajte cve-2018-0886.
Ispravke
13. mart, 2018
Prvobitni 13 mart, 2018, Release ažurira protokol za potvrdu verodostojnosti CredSSP i klijente udaljene radne površine za sve pogođene platforme. Ublažavanje se sastoji od instalacije dopune na svim drugim operativnim sistemima klijenta i servera, a zatim korišćenje uključenih postavki smernica grupe ili ekvivalenta zasnovanih na registratoru da bi upravljali opcijama postavljanja na računarima klijenta i servera. Preporučujemo da administratori primenjuju smernice i da ga postave na "nametanje ažuriranih klijenata" ili "ublažavanje" na klijentske i serverske računare što je pre moguće. Ove promene će zahtevati ponovno pokretanje sistema koji su pogođeni. Pažljivo obratite pažnju na smernice grupe ili postavke registratora koje rezultiraju "blokiranim" interakcijama između klijenata i servera u tabeli kompatibilnosti kasnije u ovom članku.
April 17, 2018
Ispravka "Ažuriranje udaljene radne površine (RDP)" u KB 4093120 će poboljšati poruku o grešci koja je predstavljena kada ažurirani klijent ne uspe da se poveže sa serverom koji nije ažuriran.
8. maj, 2018
Ispravka za promenu podrazumevane postavke od ranjivih ka za ublažavanje.
Srodni brojevi Microsoft baze znanja navedeni su u cve-2018-0886.
Kada se ova ispravka instalira, podrazumevano se ne mogu komunicirati sa nezakrfiranim serverima. Da biste omogućili konfiguraciju "dozvoljena", koristite matričnu matricu i postavke smernica grupe opisane u ovom članku.
Smernice grupe
Putanja smernice i ime postavke |
Opis |
Putanja smernica: Konfiguracija računara-> administrativni predlošci-> System-> akreditivi Naziv: šifriranje Oracle-medijacija |
Remedijacija Oracle Ova postavka smernica primenjuje se na aplikacije koje koriste komponentu CredSSP (na primer, veza sa udaljenom radnom površinom). Neke verzije protokola CredSSP su podložni ovom napadu na ovaj softver. Ova smernica kontroliše kompatibilnost sa ranjivim klijentima i serverima. Ova smernica vam omogućava da podesite nivo zaštite koji želite za Oracle ranjivost šifrovanja. Ako omogućite ovu postavku pravila, podrška za verziju CredSSP će biti izabrana na osnovu sledećih opcija: Nametni ažurirane klijente – Klijentske aplikacije koje koriste CredSSP neće moći da se vrate na nebezbedne verzije, a usluge koje koriste kreditno dobavljač neće prihvatiti nijedan od ovih klijenata. Belešku Ova postavka ne bi trebalo da bude primenjena dok svi udaljeni domaćini ne podrže najnoviju verziju. Ublažavanje – Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrate na nebezbedne verzije, ali će usluge koje koriste CredSSP prihvatiti bez zakrpljeni klijente. Ranjivo – Klijentske aplikacije koje koriste CredSSP će izložiti udaljene servere napadima podržavanjem Fallback-a na nebezbedne verzije, a usluge koje koriste kreditno dobavljač će prihvatiti raspakene klijente. |
Smernice grupe "Oracle" za šifrovanje podržavaju sledeće tri opcije koje bi trebalo primeniti na klijente i servere:
Postavke smernice |
Vrednost registratora |
Ponašanje klijenta |
Ponašanje servera |
Nametni ažurirane klijente |
0 |
Klijentske aplikacije koje koriste CredSSP neće moći da se vrate na nebezbedne verzije. |
Usluge koje koriste kreditno dobavljač deljenih usluga neće prihvatiti nezakrpljeni klijente. Belešku Ova postavka ne bi trebalo da bude primenjena sve dok Svi prozori i nezavisni kreditni dobavljači usluga ne podržavaju najnoviju verziju programa creddobavljača. |
Ublažiti |
1 |
Klijentske aplikacije koje koriste CredSSP neće moći da se vrate na nebezbedne verzije. |
Usluge koje koriste CredSSP će prihvatiti nezakrpljeni klijente. |
Ranjiv |
2 |
Klijentske aplikacije koje koriste CredSSP će izložiti udaljene servere napadima podržavanjem Fallback u nebezbedne verzije. |
Usluge koje koriste CredSSP će prihvatiti nezakrpljeni klijente. |
Druga ispravka, koja će biti objavljena 8 maja 2018, promeniće podrazumevano ponašanje u opciju "ublažavanje".
Belešku Svaka promena u proročanstvu za šifrovanje zahteva ponovno pokretanje sistema.
Vrednost registratora
Upozorenju Može doći do ozbiljnih problema ako nepravilno izmenite registrator pomoću programa Registry Editor ili pomoću nekog drugog metoda. Ovi problemi mogu zahtevati ponovnu instalaciju operativnog sistema. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registar modificirate na vlastitu odgovornost.
Ispravka uvodi sledeću postavku registratora:
Putanja registratora |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Vrednost |
Allowšifriranje \ 0 |
Vrsta datuma |
Dword |
Potrebno je ponovno pokretanje sistema? |
Da |
Matrica interoperativnosti
I klijent i server moraju da se ažuriraju, ili Windows i samostalni SSP klijenti možda neće moći da se povežu sa operativnim sistemom Windows ili domaćinima nezavisnih proizvođača. Za scenarije koji su ili podložni eksploatišu ili izazivaju greške u radu, pogledajte sledeću matricu interoperativnosti.
Belešku Prilikom povezivanja sa Windows serverom za udaljenu radnu površinu, server se može konfigurisati tako da koristi mehanizam Fallback koji koristi TLS protokol za potvrdu identiteta, a korisnici mogu da dobiju različite rezultate nego što je opisano u ovoj matrici. Ova Matrica samo opisuje ponašanje CredSSP protokola.
|
|
Server |
|||
Otkačene |
Nametni ažurirane klijente |
Ublažiti |
Ranjiv |
||
Klijent |
Otkačene |
Dozvoljeno |
Blokiran |
Dozvoljeno |
Dozvoljeno |
Nametni ažurirane klijente |
Blokiran |
Dozvoljeno |
Dozvoljeno |
Dozvoljeno |
|
Ublažiti |
Blokiran |
Dozvoljeno |
Dozvoljeno |
Dozvoljeno |
|
Ranjiv |
Dozvoljeno |
Dozvoljeno |
Dozvoljeno |
Dozvoljeno |
Postavka klijenta |
CVE-2018-0886 status zakrpe |
Otkačene |
Ranjiv |
Nametni ažurirane klijente |
Bezbedna |
Ublažiti |
Bezbedna |
Ranjiv |
Ranjiv |
Greške Windows evidencije događaja
ID događaja 6041 će biti prijavljen na zakrpljeni Windows klijente ako su klijent i udaljeni host konfigurisani u blokiranom konfiguraciji.
Evidencija događaja |
Sistem |
Izvor događaja |
LSA (LsaSrv) |
ID događaja |
6041 |
Tekst poruke o događaju |
Potvrda verodostojnosti Poverenog dobavljača usluga za < ime domaćina > nije uspela da pregovara o zajedničkoj verziji protokola. Udaljeni glavni računarski sistem je ponudio verziju protokola < protokol > što nije dopušteno Remedijacija Oracle. |
Greške generisane od strane CREDO-a-blokiranog para za konfiguraciju, zakrpljeni Windows RDP klijente
Greške koje je dodelio klijent udaljene radne površine bez ovog aprila 17, 2018 zakrpa (KB 4093120)
Nezakrpljeni Windows 8,1 i Windows Server 2012 R2 klijenti upareni sa serverima konfigurisanim sa "nametnuti ažurirane klijente" |
Greške generisani od strane CREDO-a-blokiranog para za konfiguraciju sistema Windows 8.1/Windows Server 2012 R2 i novije RDP klijente |
Došlo je do greške u potvrdi identiteta. Oznaka data funkciji je nevažeća |
Došlo je do greške u potvrdi identiteta. Zahtevana funkcija nije podržana. |
Greške koje je dodelio klijent udaljene radne površine sa 17 aprila, 2018 zakrpa (kB 4093120)
Nezakrpljeni windows 8,1 i Windows Server 2012 R2 klijenti upareni sa serverima konfigurisanim sa " Nametni ažurirane klijente " |
Ove greške generišu "CredSSP"-blokirani parovi za konfiguraciju, zakrpljeni Windows 8.1/Windows Server 2012 R2 i novije RDP klijente. |
Došlo je do greške u potvrdi identiteta. Oznaka data funkciji je nevažeća. |
Došlo je do greške u potvrdi identiteta. Zahtevana funkcija nije podržana. Udaljeni računar: <ime glavnog računarskog sistema> Ovo može da bude zbog toga što je u njemu došlo do posredovanja u cilju šifriranja od dobavljača. Za više informacija pogledajte https://go.Microsoft.com/fwlink/?linkid=866660 |
Klijenti i serveri za udaljenu radnu površinu trećih lica
Svi klijenti ili serveri drugih proizvođača moraju da koriste najnoviju verziju programa CredSSP. Obratite se dobavljačima da biste utvrdili da li je njihov softver kompatibilan sa najnovijim credim protokolom.
Ispravke protokola se mogu pronaći na lokaciji Windows Protocol.
Promene datoteke
Sledeće sistemske datoteke su promenjene u ovoj ispravci.
-
tspkg.dll
Datoteka creddobavljača. dll ostaje nepromenjena. Za više informacija pogledajte relevantne članke za informacije o verziji datoteke.