CredSSP dopune za CVE-2018-0886

Rezime

Protokol dobavljača bezbednosne podrške za akreditive (CredSSP) je dobavljač potvrde identiteta koji obrađuje zahteve za potvrdu identiteta za druge aplikacije. Daljinska ranjivost izvršavanja koda postoji u nezakrfirenim verzijama programa CredSSP. Napadač koji uspešno koristi ovu ranjivost mogao bi da prenese korisničke akreditive za izvršavanje koda u ciljnom sistemu. Svaka aplikacija koja zavisi od Poverenog dobavljača usluga za potvrdu identiteta može biti ranjiva na ovaj tip napada.

Ova bezbednosna ispravka rešava ranjivost tako što ispravlja kako kreditno dobavljač usluga proverava zahteve tokom procesa potvrde identiteta.

Da biste saznali više o ranjivosti, pogledajte cve-2018-0886.

Ispravke

13. mart, 2018

Prvobitni 13 mart, 2018, Release ažurira protokol za potvrdu verodostojnosti CredSSP i klijente udaljene radne površine za sve pogođene platforme. Ublažavanje se sastoji od instalacije dopune na svim drugim operativnim sistemima klijenta i servera, a zatim korišćenje uključenih postavki smernica grupe ili ekvivalenta zasnovanih na registratoru da bi upravljali opcijama postavljanja na računarima klijenta i servera. Preporučujemo da administratori primenjuju smernice i da ga postave na "nametanje ažuriranih klijenata" ili "ublažavanje" na klijentske i serverske računare što je pre moguće.  Ove promene će zahtevati ponovno pokretanje sistema koji su pogođeni. Pažljivo obratite pažnju na smernice grupe ili postavke registratora koje rezultiraju "blokiranim" interakcijama između klijenata i servera u tabeli kompatibilnosti kasnije u ovom članku.

April 17, 2018

Ispravka "Ažuriranje udaljene radne površine (RDP)" u KB 4093120 će poboljšati poruku o grešci koja je predstavljena kada ažurirani klijent ne uspe da se poveže sa serverom koji nije ažuriran.

8. maj, 2018

Ispravka za promenu podrazumevane postavke od ranjivih ka za ublažavanje.

Srodni brojevi Microsoft baze znanja navedeni su u cve-2018-0886.

Kada se ova ispravka instalira, podrazumevano se ne mogu komunicirati sa nezakrfiranim serverima. Da biste omogućili konfiguraciju "dozvoljena", koristite matričnu matricu i postavke smernica grupe opisane u ovom članku.

Smernice grupe

Putanja smernice i ime postavke

Opis

Putanja smernica: Konfiguracija računara-> administrativni predlošci-> System-> akreditivi Naziv: šifriranje Oracle-medijacija

Remedijacija Oracle

Ova postavka smernica primenjuje se na aplikacije koje koriste komponentu CredSSP (na primer, veza sa udaljenom radnom površinom).

Neke verzije protokola CredSSP su podložni ovom napadu na ovaj softver. Ova smernica kontroliše kompatibilnost sa ranjivim klijentima i serverima. Ova smernica vam omogućava da podesite nivo zaštite koji želite za Oracle ranjivost šifrovanja.

Ako omogućite ovu postavku pravila, podrška za verziju CredSSP će biti izabrana na osnovu sledećih opcija:

Nametni ažurirane klijente – Klijentske aplikacije koje koriste CredSSP neće moći da se vrate na nebezbedne verzije, a usluge koje koriste kreditno dobavljač neće prihvatiti nijedan od ovih klijenata.

Belešku Ova postavka ne bi trebalo da bude primenjena dok svi udaljeni domaćini ne podrže najnoviju verziju.

Ublažavanje – Klijentske aplikacije koje koriste CredSSP neće biti u mogućnosti da se vrate na nebezbedne verzije, ali će usluge koje koriste CredSSP prihvatiti bez zakrpljeni klijente.

Ranjivo – Klijentske aplikacije koje koriste CredSSP će izložiti udaljene servere napadima podržavanjem Fallback-a na nebezbedne verzije, a usluge koje koriste kreditno dobavljač će prihvatiti raspakene klijente.

 

Smernice grupe "Oracle" za šifrovanje podržavaju sledeće tri opcije koje bi trebalo primeniti na klijente i servere:

Postavke smernice

Vrednost registratora

Ponašanje klijenta

Ponašanje servera

Nametni ažurirane klijente

0

Klijentske aplikacije koje koriste CredSSP neće moći da se vrate na nebezbedne verzije.

Usluge koje koriste kreditno dobavljač deljenih usluga neće prihvatiti nezakrpljeni klijente. Belešku Ova postavka ne bi trebalo da bude primenjena sve dok Svi prozori i nezavisni kreditni dobavljači usluga ne podržavaju najnoviju verziju programa creddobavljača.

Ublažiti

1

Klijentske aplikacije koje koriste CredSSP neće moći da se vrate na nebezbedne verzije.

Usluge koje koriste CredSSP će prihvatiti nezakrpljeni klijente.

Ranjiv

2

Klijentske aplikacije koje koriste CredSSP će izložiti udaljene servere napadima podržavanjem Fallback u nebezbedne verzije.

Usluge koje koriste CredSSP će prihvatiti nezakrpljeni klijente.

 

Druga ispravka, koja će biti objavljena 8 maja 2018, promeniće podrazumevano ponašanje u opciju "ublažavanje".

Belešku Svaka promena u proročanstvu za šifrovanje zahteva ponovno pokretanje sistema.

Vrednost registratora

Upozorenju Može doći do ozbiljnih problema ako nepravilno izmenite registrator pomoću programa Registry Editor ili pomoću nekog drugog metoda. Ovi problemi mogu zahtevati ponovnu instalaciju operativnog sistema. Microsoft ne može da garantuje da se ovi problemi mogu rešiti. Registar modificirate na vlastitu odgovornost.

Ispravka uvodi sledeću postavku registratora:

Putanja registratora

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Vrednost

Allowšifriranje \ 0

Vrsta datuma

Dword

Potrebno je ponovno pokretanje sistema?

Da

Matrica interoperativnosti

I klijent i server moraju da se ažuriraju, ili Windows i samostalni SSP klijenti možda neće moći da se povežu sa operativnim sistemom Windows ili domaćinima nezavisnih proizvođača. Za scenarije koji su ili podložni eksploatišu ili izazivaju greške u radu, pogledajte sledeću matricu interoperativnosti.

Belešku Prilikom povezivanja sa Windows serverom za udaljenu radnu površinu, server se može konfigurisati tako da koristi mehanizam Fallback koji koristi TLS protokol za potvrdu identiteta, a korisnici mogu da dobiju različite rezultate nego što je opisano u ovoj matrici. Ova Matrica samo opisuje ponašanje CredSSP protokola.

 

 

Server

Otkačene

Nametni ažurirane klijente

Ublažiti

Ranjiv

Klijent

Otkačene

Dozvoljeno

Blokiran

Dozvoljeno

Dozvoljeno

Nametni ažurirane klijente

Blokiran

Dozvoljeno

Dozvoljeno

Dozvoljeno

Ublažiti

Blokiran

Dozvoljeno

Dozvoljeno

Dozvoljeno

Ranjiv

Dozvoljeno

Dozvoljeno

Dozvoljeno

Dozvoljeno

 

Postavka klijenta

CVE-2018-0886 status zakrpe

Otkačene

Ranjiv

Nametni ažurirane klijente

Bezbedna

Ublažiti

Bezbedna

Ranjiv

Ranjiv

Greške Windows evidencije događaja

ID događaja 6041 će biti prijavljen na zakrpljeni Windows klijente ako su klijent i udaljeni host konfigurisani u blokiranom konfiguraciji.

Evidencija događaja

Sistem

Izvor događaja

LSA (LsaSrv)

ID događaja

6041

Tekst poruke o događaju

Potvrda verodostojnosti Poverenog dobavljača usluga za < ime domaćina > nije uspela da pregovara o zajedničkoj verziji protokola. Udaljeni glavni računarski sistem je ponudio verziju protokola < protokol > što nije dopušteno Remedijacija Oracle.

Greške generisane od strane CREDO-a-blokiranog para za konfiguraciju, zakrpljeni Windows RDP klijente

Greške koje je dodelio klijent udaljene radne površine bez ovog aprila 17, 2018 zakrpa (KB 4093120)

Nezakrpljeni Windows 8,1 i Windows Server 2012 R2 klijenti upareni sa serverima konfigurisanim sa "nametnuti ažurirane klijente"

Greške generisani od strane CREDO-a-blokiranog para za konfiguraciju sistema Windows 8.1/Windows Server 2012 R2 i novije RDP klijente

Došlo je do greške u potvrdi identiteta.

Oznaka data funkciji je nevažeća

Došlo je do greške u potvrdi identiteta.

Zahtevana funkcija nije podržana.

Greške koje je dodelio klijent udaljene radne površine sa 17 aprila, 2018 zakrpa (kB 4093120)

Nezakrpljeni windows 8,1 i Windows Server 2012 R2 klijenti upareni sa serverima konfigurisanim sa " Nametni ažurirane klijente "

Ove greške generišu "CredSSP"-blokirani parovi za konfiguraciju, zakrpljeni Windows 8.1/Windows Server 2012 R2 i novije RDP klijente.

Došlo je do greške u potvrdi identiteta.

Oznaka data funkciji je nevažeća.

Došlo je do greške u potvrdi identiteta.

Zahtevana funkcija nije podržana.

Udaljeni računar: <ime glavnog računarskog sistema>

Ovo može da bude zbog toga što je u njemu došlo do posredovanja u cilju šifriranja od dobavljača.

Za više informacija pogledajte https://go.Microsoft.com/fwlink/?linkid=866660

Klijenti i serveri za udaljenu radnu površinu trećih lica

Svi klijenti ili serveri drugih proizvođača moraju da koriste najnoviju verziju programa CredSSP. Obratite se dobavljačima da biste utvrdili da li je njihov softver kompatibilan sa najnovijim credim protokolom.

Ispravke protokola se mogu pronaći na lokaciji Windows Protocol.

Promene datoteke

Sledeće sistemske datoteke su promenjene u ovoj ispravci.

  • tspkg.dll

Datoteka creddobavljača. dll ostaje nepromenjena. Za više informacija pogledajte relevantne članke za informacije o verziji datoteke.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×