CredSSP-uppdateringar för CVE-2018-0886

Sammanfattning

Autentiseringsuppgifter Security Support Provider Protocol (CredSSP) är en autentiseringsprovider som bearbetar autentiseringsbegäranden för andra program. Det finns ett problem med fjärrkörning av kod i unpatched versioner av CredSSP. En angripare som utnyttjar det här säkerhetsproblemet kan vidarebefordra användarreferenser för att köra kod på målsystemet. Alla program som är beroende av CredSSP för autentisering kan vara sårbara för den här typen av angrepp.

Den här säkerhetsuppdateringen åtgärdar problemet genom att korrigera hur CredSSP validerar begäranden under autentiseringsprocessen.

Mer information om problemet finns CVE-2018-0886.

Uppdateringar

Mars 13, 2018

Den första 13 mars 2018, uppdaterar release CredSSP Authentication Protocol och fjärrskrivbordsklienter för alla berörda plattformar. Säkerhetsfunktionen består av att installera uppdateringen på alla berättigade klient-och serveroperativsystem och sedan använda inkluderade grupprincipinställningar eller registerbaserade motsvarigheter för att hantera inställningsalternativen på klient-och serverdatorerna. Vi rekommenderar att administratörer tillämpa principen och ange den till "tvinga uppdaterade klienter" eller "mildras" på klient-och serverdatorer så snart som möjligt.  Dessa ändringar kommer att kräva en omstart av de berörda systemen. Var uppmärksam på grupprincip eller registerinställningar par som resulterar i "blockerade" interaktioner mellan klienter och servrar i kompatibilitetstabellen senare i den här artikeln.

17 april, 2018

Uppdateringen för fjärrskrivbordsklienten (RDP) i KB 4093120 kommer att förbättra felmeddelandet som visas när en uppdaterad klient inte kan ansluta till en server som inte har uppdaterats.

8 maj 2018

En uppdatering för att ändra standardinställningen från sårbar till minimerad.

Relaterade Microsoft Knowledge Base-nummer listas i CVE-2018-0886.

Som standard när uppdateringen har installerats kan inte korrigerade klienter kommunicera med unpatched servrar. Använd den kompatibilitetsmatris och grupprincipinställningar som beskrivs i den här artikeln för att aktivera en "tillåten" konfiguration.

Grupprincip

Principsökväg och Inställningsnamn

Beskrivning

Principsökväg: Datorkonfiguration-> administrativa mallar-> System-> autentiseringsuppgifter delegering Inställningsnamn: Oracle-reparation av kryptering

Kryptering Oracle reparation

Den här principinställningen gäller för program som använder komponenten CredSSP (till exempel anslutning till fjärrskrivbord).

Vissa versioner av protokollet CredSSP är sårbara för en kryptering Oracle angrepp mot klienten. Den här principen styr kompatibiliteten med sårbara klienter och servrar. Med den här principen kan du ange den skyddsnivå som du vill ha för krypteringen av Oracle-säkerhetsårbarheten.

Om du aktiverar den här principinställningen kommer CredSSP-versionsstöd att väljas baserat på följande alternativ:

Tvinga uppdaterade kunder – Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner och tjänster som använder CredSSP kommer inte att acceptera unpatched klienter.

Notera Den här inställningen bör inte distribueras förrän alla fjärrvärdar har stöd för den senaste versionen.

Mildras – Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner, men tjänster som använder CredSSP kommer att acceptera unpatched klienter.

Sårbara – Klientprogram som använder CredSSP kommer att exponera fjärrservrarna för attacker genom att stödja återgång till osäkra versioner, och tjänster som använder CredSSP kommer att acceptera unpatched klienter.

 

Krypteringen Oracle-reparation Grupprincip stöder följande tre alternativ som ska tillämpas på klienter och servrar:

Principinställningen

Registervärdet

Klient beteende

Server funktionen

Tvingad uppdatering av klienter

0

Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner.

Tjänster som använder CredSSP kommer inte att acceptera unpatched klienter. Notera Den här inställningen bör inte distribueras förrän alla Windows-och CredSSP-klienter från tredje part har stöd för den senaste versionen av CredSSP.

Begränsad

Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner.

Tjänster som använder CredSSP kommer att acceptera unpatched klienter.

Sårbar

Klientprogram som använder CredSSP kommer att exponera fjärrservrar för attacker genom att stödja återgång till osäkra versioner.

Tjänster som använder CredSSP kommer att acceptera unpatched klienter.

 

En andra uppdatering, som ska släppas den 8 maj 2018, kommer att ändra standardbeteendet till alternativet "mildras".

Notera Alla ändringar av krypteringen Oracle-reparation kräver en omstart.

Registervärdet

Varning Allvarliga problem kan uppstå om du ändrar registret felaktigt med hjälp av Registereditorn eller med en annan metod. Dessa problem kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att dessa problem kan lösas. Ändra registret på egen risk.

Uppdateringen introducerar följande registerinställning:

Registersökväg

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Värde

AllowEncryptionOracle

Datumtyp

Dword

Omstart krävs?

Ja

Matris för interoperabilitet

Både klienten och servern måste uppdateras, eller så kanske Windows-och CredSSP-klienter från tredje part inte kan ansluta till Windows eller värdar från tredje part. Se följande interoperabilitetsmatris för scenarier som antingen är sårbara för exploatera eller orsaka operativa fel.

Notera När du ansluter till en Windows Remote Desktop Server, kan servern konfigureras för att använda en reserv mekanism som använder TLS-protokollet för autentisering och användare kan få olika resultat än vad som beskrivs i den här matrisen. Den här matrisen beskriver endast beteendet för CredSSP-protokollet.

 

 

Server

Unpatched

Tvingad uppdatering av klienter

Begränsad

Sårbar

Klient

Unpatched

Tillåts

Blockerad

Tillåts

Tillåts

Tvingad uppdatering av klienter

Blockerad

Tillåts

Tillåts

Tillåts

Begränsad

Blockerad

Tillåts

Tillåts

Tillåts

Sårbar

Tillåts

Tillåts

Tillåts

Tillåts

 

Klientinställningen

CVE-2018-0886-korrigeringsstatus

Unpatched

Sårbar

Tvingad uppdatering av klienter

Säker

Begränsad

Säker

Sårbar

Sårbar

Fel i Windows-händelseloggen

Händelse-ID 6041 kommer att loggas på korrigerad Windows-klienter om klienten och fjärrvärden konfigureras i en blockerad konfiguration.

Händelselogg

System

Händelsekälla

LSA (LsaSrv)

Händelse-ID

6041

Meddelandetext för händelse

En CredSSP-autentisering till < värdnamn > det gick inte att förhandla om en gemensam protokoll version. Fjärrvärden erbjuds version < Protocol version > som inte tillåts av kryptering Oracle reparation.

Fel som genereras av CredSSP-blockerade konfiguration par av korrigerad Windows RDP-klienter

Fel som presenteras av fjärrskrivbordsklienten utan den 17 april 2018 patch (KB 4093120)

Unpatched pre-Windows 8,1 och Windows Server 2012 R2-klienter ihopkopplade med servrar som konfigurerats med "tvinga uppdaterade klienter"

Fel som genereras av CredSSP-blockerade konfiguration par av patched Windows 8.1/Windows Server 2012 R2 och senare RDP-klienter

Ett autentiseringsfel har inträffat.

Den token som angavs för funktionen är ogiltig

Ett autentiseringsfel har inträffat.

Den begärda funktionen stöds inte.

Fel som presenteras av fjärrskrivbordsklienten med den 17 april 2018 patch (KB 4093120)

Unpatched pre-windows 8,1 och Windows Server 2012 R2-klienter ihopkopplade med servrar som konfigurerats med " Tvinga uppdaterade klienter "

Dessa fel genereras av CredSSP-blockerade konfiguration par av patched Windows 8.1/Windows Server 2012 R2 och senare RDP-klienter.

Ett autentiseringsfel har inträffat.

Den token som angavs för funktionen är ogiltig.

Ett autentiseringsfel har inträffat.

Den begärda funktionen stöds inte.

Fjärrdator: <värdnamn>

Detta kan bero på CredSSP kryptering Oracle sanering.

För mer information, se https://go.Microsoft.com/fwlink/?linkid=866660

Fjärrskrivbordsklienter och-servrar från tredje part

Alla tredje parts klienter eller servrar måste använda den senaste versionen av CredSSP-protokollet. Kontakta leverantörerna för att avgöra om deras programvara är kompatibel med det senaste CredSSP-protokollet.

Protokoll uppdateringarna finns på dokumentations webbplatsen för Windows Protocol.

Filändringar

Följande systemfiler har ändrats i den här uppdateringen.

  • tspkg.dll

Filen CredSSP. dll är oförändrad. För mer information, se relevanta artiklar för filversionsinformation.

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×