摘要
「認證安全性支援提供者」通訊協定 (CredSSP) 是驗證提供者,負責處理其他應用程式的驗證要求。
未修補的 CredSSP 版本中存在遠端執行程式碼弱點。 成功利用此弱點的攻擊者可能會轉送使用者認證,以便在目標系統上執行程式碼。 任何需要 CredSSP 進行驗證的應用程式可能容易受到這類攻擊。
此安全性更新會更正 CredSSP 在驗證過程中驗證要求的方式,藉此解決弱點。
若要深入了解弱點,請參閱 CVE-2018-0886。
更新
2018 年 3 月 13 日
2018 年 3 月 13 日初始發行版本會更新所有受影響平台的 CredSSP 驗證通訊協定和遠端桌面用戶端。
緩和措施包括在所有符合資格的用戶端和伺服器作業系統上安裝更新,然後使用隨附的群組原則設定或以登錄為主的同等項目,管理用戶端和伺服器電腦上的設定選項。 我們建議系統管理員盡快在用戶端和伺服器電腦上套用原則,並將原則設定為「強制更新的用戶端」或「已降低」。這些變更將需要重新啟動受影響的系統。
請密切留意本文後面的相容性表格中,造成用戶端和伺服器之間出現「已封鎖」互動的群組原則或登錄設定配對。
2018 年 4 月 17 日
當已更新的用戶端無法連線至尚未更新的伺服器時,KB 4093120 中的遠端桌面用戶端 (RDP) 更新將會提高對所呈現錯誤訊息的注意力。
2018 年 5 月 8 日
將預設設定從「易受攻擊」變更為「已降低」的更新。
CVE-2018-0886 中列出相關的 Microsoft 知識庫編號。
根據預設,安裝此更新之後,經過修補的用戶端無法與未經修補的伺服器通訊。 請使用本文所述的互通性矩陣和群組原則設定,以啟用「已允許」設定。
群組原則
|
原則路徑和設定名稱 |
描述 |
|
原則路徑:電腦設定 -> 系統管理範本 -> 系統 -> 認證委派 |
加密 Oracle 補救 此原則設定適用於使用 CredSSP 元件的應用程式 (例如「遠端桌面連線」)。 有些 CredSSP 通訊協定版本容易受到用戶端的加密 Oracle 攻擊。 此原則會控制與易受攻擊的用戶端和伺服器的相容性。 此原則可讓您設定您要用於防範加密 Oracle 弱點的保護層級。 如果啟用此原則設定,將會根據下列選項來選取 CredSSP 版本支援: 強制更新的用戶端 – 使用 CredSSP 的用戶端應用程式將無法回復為不安全的版本,並且使用 CredSSP 的服務將不接受未修補的用戶端。 注意:在所有遠端主機支援最新版本之前,不應該部署此設定。 已降低 – 使用 CredSSP 的用戶端應用程式將無法回復為不安全的版本,但使用 CredSSP 的服務將會接受未修補的用戶端。 易受攻擊 – 使用 CredSSP 的用戶端應用程式支援回復為不安全的版本,因此,將會向攻擊公開遠端伺服器,並且使用 CredSSP 的服務將會接受未修補的用戶端。 |
「加密 Oracle 補救」群組原則支援下列三個選項,並且選項應套用至用戶端和伺服器:
|
原則設定 |
登錄值 |
用戶端行為 |
伺服器行為 |
|
強制更新的用戶端 |
0 |
使用 CredSSP 的用戶端應用程式「將無法」回復為不安全的版本。 |
使用 CredSSP 的服務「將不接受」未修補的用戶端。 |
|
已降低 |
1 |
使用 CredSSP 的用戶端應用程式「將無法」回復為不安全的版本。 |
使用 CredSSP 的服務「將會接受未修補的」用戶端。 |
|
易受攻擊 |
2 |
使用 CredSSP 的用戶端應用程式支援回復為不安全的版本,因此,「將會」向攻擊公開遠端伺服器。 |
使用 CredSSP 的服務「將會接受未修補的」用戶端。 |
第二個更新預定於 2018 年 5 月 8 日發行,此更新將會變更「已降低」選項的預設行為。
注意:對「加密 Oracle 補救」進行任何變更都需要重新開機。
登錄值
警告 如果您使用「登錄編輯程式」或其他方法不正確地修改登錄,可能會發生嚴重問題。 您可能需要重新安裝作業系統,才能解決這些問題。 Microsoft 不保證可以解決這些問題。 請自行承擔修改登錄的一切風險。
此更新引進下列登錄設定:
|
登錄路徑 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
|
數值 |
AllowEncryptionOracle |
|
資料類型 |
DWORD |
|
需要重新開機? |
是 |
互通性矩陣
用戶端和伺服器都需要更新,或者 Windows 和協力廠商 CredSSP 用戶端無法連線至 Windows 或協力廠商主機。 請參閱下列互通性矩陣,了解容易遭到利用或造成作業失敗的案例。
注意:連線至 Windows Remote Desktop 伺服器時,伺服器可以設定為使用後援機制,此機制採用 TLS 通訊協定進行驗證,並且使用者可能會得到與這個矩陣所述不同的結果。 這個矩陣僅說明 CredSSP 通訊協定的行為。
|
|
|
伺服器 |
|||
|
未修補 |
強制更新的用戶端 |
已降低 |
易受攻擊 |
||
|
用戶端 |
未修補 |
已允許 |
已封鎖 |
已允許 |
已允許 |
|
強制更新的用戶端 |
已封鎖 |
已允許 |
已允許 |
已允許 |
|
|
已降低 |
已封鎖 |
已允許 |
已允許 |
已允許 |
|
|
易受攻擊 |
已允許 |
已允許 |
已允許 |
已允許 |
|
|
用戶端設定 |
CVE-2018-0886 修補狀態 |
|
未修補 |
易受攻擊 |
|
強制更新的用戶端 |
安全 |
|
已降低 |
安全 |
|
易受攻擊 |
易受攻擊 |
Windows 事件記錄檔錯誤
如果用戶端和遠端主機設定在封鎖的設定中,將會在已修補的 Windows 用戶端上記錄事件識別碼 6041。
|
事件記錄檔 |
系統 |
|
事件來源 |
LSA (LsaSrv) |
|
事件識別碼 |
6041 |
|
事件訊息文字 |
對 <hostname> 的 CredSSP 驗證失敗,無法交涉常用的通訊協定版本。 遠端主機提供的 <Protocol Version> 版本未獲得「加密 Oracle 補救」的許可。 |
透過已修補的 Windows RDP 用戶端、由 CredSSP 封鎖的設定組產生的錯誤
由沒有 2018 年 4 月 17 日修補程式 (KB 4093120) 的遠端桌面用戶端所呈現的錯誤
|
未修補的預先安裝 Windows 8.1 和 Windows Server 2012 R2 用戶端,已與設定「強制更新的用戶端」的伺服器配對 |
透過已修補的 Windows 8.1/Windows Server 2012 R2 和更新版 RDP 用戶端、由 CredSSP 封鎖的設定組產生的錯誤 |
|
發生驗證錯誤。 提供給函數的權杖無效 |
發生驗證錯誤。 要求的函數不受支援。 |
由具有 2018 年 4 月 17 日修補程式 (KB 4093120) 的遠端桌面用戶端所呈現的錯誤
|
未修補的預先安裝 Windows 8.1 和 Windows Server 2012 R2 用戶端,已與設定「強制更新的用戶端」的伺服器配對 |
這些是透過已修補的 Windows 8.1/Windows Server 2012 R2 和更新版 RDP 用戶端、由 CredSSP 封鎖的設定組產生的錯誤。 |
|
發生驗證錯誤。 提供給函數的權杖無效。 |
發生驗證錯誤。 要求的函數不受支援。 遠端電腦: <hostname> 這可能是 CredSSP 加密 Oracle 補救所造成的。 |
協力廠商遠端桌面用戶端和伺服器
所有協力廠商用戶端或伺服器都必須使用最新的 CredSSP 通訊協定版本。 請與廠商連絡,以判斷軟體是否與最新的 CredSSP 通訊協定相容。
您可以在 Windows 通訊協定文件網站 (英文) 找到通訊協定更新。
檔案變更
此更新中的下列系統檔案已經變更。
-
tspkg.dll
credssp.dll 檔案保持不變。 如需詳細資訊,請檢閱相關文章,以取得檔案版本資訊。
