Sammanfattning
Autentiseringsuppgifter Security Support Provider Protocol (CredSSP) är en autentiseringsprovider som bearbetar autentiseringsbegäranden för andra program. Det finns ett problem med fjärrkörning av kod i unpatched versioner av CredSSP. En angripare som utnyttjar det här säkerhetsproblemet kan vidarebefordra användarreferenser för att köra kod på målsystemet. Alla program som är beroende av CredSSP för autentisering kan vara sårbara för den här typen av angrepp.
Den här säkerhetsuppdateringen åtgärdar problemet genom att korrigera hur CredSSP validerar begäranden under autentiseringsprocessen.
Mer information om problemet finns CVE-2018-0886.
Uppdateringar
Mars 13, 2018
Den första 13 mars 2018, uppdaterar release CredSSP Authentication Protocol och fjärrskrivbordsklienter för alla berörda plattformar. Säkerhetsfunktionen består av att installera uppdateringen på alla berättigade klient-och serveroperativsystem och sedan använda inkluderade grupprincipinställningar eller registerbaserade motsvarigheter för att hantera inställningsalternativen på klient-och serverdatorerna. Vi rekommenderar att administratörer tillämpa principen och ange den till "tvinga uppdaterade klienter" eller "mildras" på klient-och serverdatorer så snart som möjligt. Dessa ändringar kommer att kräva en omstart av de berörda systemen. Var uppmärksam på grupprincip eller registerinställningar par som resulterar i "blockerade" interaktioner mellan klienter och servrar i kompatibilitetstabellen senare i den här artikeln.
17 april, 2018
Uppdateringen för fjärrskrivbordsklienten (RDP) i KB 4093120 kommer att förbättra felmeddelandet som visas när en uppdaterad klient inte kan ansluta till en server som inte har uppdaterats.
8 maj 2018
En uppdatering för att ändra standardinställningen från sårbar till minimerad.
Relaterade Microsoft Knowledge Base-nummer listas i CVE-2018-0886.
Som standard när uppdateringen har installerats kan inte korrigerade klienter kommunicera med unpatched servrar. Använd den kompatibilitetsmatris och grupprincipinställningar som beskrivs i den här artikeln för att aktivera en "tillåten" konfiguration.
Grupprincip
|
Principsökväg och Inställningsnamn |
Beskrivning |
|
Principsökväg: Datorkonfiguration-> administrativa mallar-> System-> autentiseringsuppgifter delegering Inställningsnamn: Oracle-reparation av kryptering |
Kryptering Oracle reparation Den här principinställningen gäller för program som använder komponenten CredSSP (till exempel anslutning till fjärrskrivbord). Vissa versioner av protokollet CredSSP är sårbara för en kryptering Oracle angrepp mot klienten. Den här principen styr kompatibiliteten med sårbara klienter och servrar. Med den här principen kan du ange den skyddsnivå som du vill ha för krypteringen av Oracle-säkerhetsårbarheten. Om du aktiverar den här principinställningen kommer CredSSP-versionsstöd att väljas baserat på följande alternativ: Tvinga uppdaterade kunder – Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner och tjänster som använder CredSSP kommer inte att acceptera unpatched klienter. Notera Den här inställningen bör inte distribueras förrän alla fjärrvärdar har stöd för den senaste versionen. Mildras – Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner, men tjänster som använder CredSSP kommer att acceptera unpatched klienter. Sårbara – Klientprogram som använder CredSSP kommer att exponera fjärrservrarna för attacker genom att stödja återgång till osäkra versioner, och tjänster som använder CredSSP kommer att acceptera unpatched klienter. |
Krypteringen Oracle-reparation Grupprincip stöder följande tre alternativ som ska tillämpas på klienter och servrar:
|
Principinställningen |
Registervärdet |
Klient beteende |
Server funktionen |
|
Tvingad uppdatering av klienter |
0 |
Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner. |
Tjänster som använder CredSSP kommer inte att acceptera unpatched klienter. Notera Den här inställningen bör inte distribueras förrän alla Windows-och CredSSP-klienter från tredje part har stöd för den senaste versionen av CredSSP. |
|
Begränsad |
1 |
Klientprogram som använder CredSSP kommer inte att kunna falla tillbaka till osäkra versioner. |
Tjänster som använder CredSSP kommer att acceptera unpatched klienter. |
|
Sårbar |
2 |
Klientprogram som använder CredSSP kommer att exponera fjärrservrar för attacker genom att stödja återgång till osäkra versioner. |
Tjänster som använder CredSSP kommer att acceptera unpatched klienter. |
En andra uppdatering, som ska släppas den 8 maj 2018, kommer att ändra standardbeteendet till alternativet "mildras".
Notera Alla ändringar av krypteringen Oracle-reparation kräver en omstart.
Registervärdet
Varning Allvarliga problem kan uppstå om du ändrar registret felaktigt med hjälp av Registereditorn eller med en annan metod. Dessa problem kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att dessa problem kan lösas. Ändra registret på egen risk.
Uppdateringen introducerar följande registerinställning:
|
Registersökväg |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
Värde |
AllowEncryptionOracle |
|
Datumtyp |
Dword |
|
Omstart krävs? |
Ja |
Matris för interoperabilitet
Både klienten och servern måste uppdateras, eller så kanske Windows-och CredSSP-klienter från tredje part inte kan ansluta till Windows eller värdar från tredje part. Se följande interoperabilitetsmatris för scenarier som antingen är sårbara för exploatera eller orsaka operativa fel.
Notera När du ansluter till en Windows Remote Desktop Server, kan servern konfigureras för att använda en reserv mekanism som använder TLS-protokollet för autentisering och användare kan få olika resultat än vad som beskrivs i den här matrisen. Den här matrisen beskriver endast beteendet för CredSSP-protokollet.
|
|
|
Server |
|||
|
Unpatched |
Tvingad uppdatering av klienter |
Begränsad |
Sårbar |
||
|
Klient |
Unpatched |
Tillåts |
Blockerad |
Tillåts |
Tillåts |
|
Tvingad uppdatering av klienter |
Blockerad |
Tillåts |
Tillåts |
Tillåts |
|
|
Begränsad |
Blockerad |
Tillåts |
Tillåts |
Tillåts |
|
|
Sårbar |
Tillåts |
Tillåts |
Tillåts |
Tillåts |
|
|
Klientinställningen |
CVE-2018-0886-korrigeringsstatus |
|
Unpatched |
Sårbar |
|
Tvingad uppdatering av klienter |
Säker |
|
Begränsad |
Säker |
|
Sårbar |
Sårbar |
Fel i Windows-händelseloggen
Händelse-ID 6041 kommer att loggas på korrigerad Windows-klienter om klienten och fjärrvärden konfigureras i en blockerad konfiguration.
|
Händelselogg |
System |
|
Händelsekälla |
LSA (LsaSrv) |
|
Händelse-ID |
6041 |
|
Meddelandetext för händelse |
En CredSSP-autentisering till < värdnamn > det gick inte att förhandla om en gemensam protokoll version. Fjärrvärden erbjuds version < Protocol version > som inte tillåts av kryptering Oracle reparation. |
Fel som genereras av CredSSP-blockerade konfiguration par av korrigerad Windows RDP-klienter
Fel som presenteras av fjärrskrivbordsklienten utan den 17 april 2018 patch (KB 4093120)
|
Unpatched pre-Windows 8,1 och Windows Server 2012 R2-klienter ihopkopplade med servrar som konfigurerats med "tvinga uppdaterade klienter" |
Fel som genereras av CredSSP-blockerade konfiguration par av patched Windows 8.1/Windows Server 2012 R2 och senare RDP-klienter |
|
Ett autentiseringsfel har inträffat. Den token som angavs för funktionen är ogiltig |
Ett autentiseringsfel har inträffat. Den begärda funktionen stöds inte. |
Fel som presenteras av fjärrskrivbordsklienten med den 17 april 2018 patch (KB 4093120)
|
Unpatched pre-windows 8,1 och Windows Server 2012 R2-klienter ihopkopplade med servrar som konfigurerats med " Tvinga uppdaterade klienter " |
Dessa fel genereras av CredSSP-blockerade konfiguration par av patched Windows 8.1/Windows Server 2012 R2 och senare RDP-klienter. |
|
Ett autentiseringsfel har inträffat. Den token som angavs för funktionen är ogiltig. |
Ett autentiseringsfel har inträffat. Den begärda funktionen stöds inte. Fjärrdator: <värdnamn> Detta kan bero på CredSSP kryptering Oracle sanering. För mer information, se https://go.Microsoft.com/fwlink/?linkid=866660 |
Fjärrskrivbordsklienter och-servrar från tredje part
Alla tredje parts klienter eller servrar måste använda den senaste versionen av CredSSP-protokollet. Kontakta leverantörerna för att avgöra om deras programvara är kompatibel med det senaste CredSSP-protokollet.
Protokoll uppdateringarna finns på dokumentations webbplatsen för Windows Protocol.
Filändringar
Följande systemfiler har ändrats i den här uppdateringen.
-
tspkg.dll
Filen CredSSP. dll är oförändrad. För mer information, se relevanta artiklar för filversionsinformation.
