Tuesday, January 30, 2024

CredSSP-Updates für CVE-2018-0886 – Microsoft-Support

Zusammenfassung

Das Credential Security Support Provider-Protokoll (CredSSP) ist ein Authentifizierungsanbieter, der Authentifizierungsanfragen für andere Anwendungen verarbeitet.

In ungepatchten Versionen von CredSSP besteht eine Sicherheitslücke bezüglich Remotecodeausführung. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Benutzeranmeldeinformationen weitergeben, um Code auf dem Zielsystem auszuführen. Jede Anwendung, die zur Authentifizierung auf CredSSP angewiesen ist, kann für diese Art von Angriff anfällig sein.

Dieses Sicherheitsupdate behebt die Sicherheitslücke, indem korrigiert wird, wie CredSSP Anforderungen während des Authentifizierungsprozesses validiert.

Weitere Informationen zur Sicherheitslücke finden Sie unter CVE-2018-0886 .

Aktualisierung

13. März 2018

Die erste Version vom 13. März 2018 aktualisiert das CredSSP-Authentifizierungsprotokoll und die Remotedesktop-Clients für alle betroffenen Plattformen.

Die Schadensbegrenzung besteht darin, das Update auf allen geeigneten Client- und Server-Betriebssystemen zu installieren und dann die enthaltenen Gruppenrichtlinieneinstellungen oder registrierungsbasierten Äquivalente zu verwenden, um die Einstellungsoptionen auf den Client- und Servercomputern zu verwalten. Wir empfehlen Administratoren, die Richtlinie so schnell wie möglich anzuwenden und auf Client- und Servercomputern auf „Aktualisierte Clients erzwingen" oder „Gemindert" festzulegen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme.

Achten Sie genau auf Gruppenrichtlinien- oder Registrierungseinstellungspaare, die in der Kompatibilitätstabelle weiter unten in diesem Artikel zu „blockierten" Interaktionen zwischen Clients und Servern führen.

17. April 2018

Das RDP-Update (Remote Desktop Client) in KB 4093120 verbessert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung zu einem Server herstellen kann, der nicht aktualisiert wurde.

8. Mai 2018

Ein Update, um die Standardeinstellung von „Vulnerable" in „Mitigated" zu ändern.

Verwandte Microsoft Knowledge Base-Nummern sind in CVE-2018-0886 aufgeführt.

Nach der Installation dieses Updates können gepatchte Clients standardmäßig nicht mit ungepatchten Servern kommunizieren. Verwenden Sie die in diesem Artikel beschriebene Interoperabilitätsmatrix und Gruppenrichtlinieneinstellungen, um eine „erlaubte" Konfiguration zu aktivieren.

Gruppenrichtlinie

Richtlinienpfad und Einstellungsname

Beschreibung

Richtlinienpfad: Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen

Name der Einstellung: Encryption Oracle Remediation

Verschlüsselungs-Oracle-Behebung

Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung).

Einige Versionen des CredSSP-Protokolls sind anfällig für einen Verschlüsselungs-Oracle-Angriff auf den Client. Diese Richtlinie steuert die Kompatibilität mit anfälligen Clients und Servern. Mit dieser Richtlinie können Sie die gewünschte Schutzstufe für die Oracle-Verschlüsselungsschwachstelle festlegen.

Wenn Sie diese Richtlinieneinstellung aktivieren, wird die CredSSP-Versionsunterstützung basierend auf den folgenden Optionen ausgewählt:

Aktualisierte Clients erzwingen – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen, und Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.

Hinweis: Diese Einstellung sollte erst bereitgestellt werden, wenn alle Remote-Hosts die neueste Version unterstützen.

Entschärft – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen, aber Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

Anfällig – Client-Anwendungen, die CredSSP verwenden, setzen die Remote-Server Angriffen aus, indem sie den Fallback auf unsichere Versionen unterstützen, und Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

Die Encryption Oracle Remediation Group Policy unterstützt die folgenden drei Optionen, die auf Clients und Server angewendet werden sollten:

Richtlinieneinstellung

Registrierungswert

Kundenverhalten

Serververhalten

Aktualisierte Clients erzwingen

0

Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen.

Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients.

Hinweis Diese Einstellung sollte erst bereitgestellt werden, wenn alle Windows- und CredSSP-Clients von Drittanbietern die neueste CredSSP-Version unterstützen.

Abgemildert

1

Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen.

Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

Verletzlich

2

Clientanwendungen, die CredSSP verwenden, setzen Remoteserver Angriffen aus, indem sie den Fallback auf unsichere Versionen unterstützen.

Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients.

Ein zweites Update, das am 8. Mai 2018 veröffentlicht wird, wird das Standardverhalten auf die Option „Mitigated" ändern.

Hinweis: Jede Änderung an Encryption Oracle Remediation erfordert einen Neustart.

Registrierungswert

Warnung: Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung mit dem Registrierungseditor oder einer anderen Methode falsch ändern. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigenes Risiko.

Das Update führt die folgende Registrierungseinstellung ein:

Registrierungspfad

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters

Wert

AllowEncryptionOracle

Datumstyp

DWORD

Neustart erforderlich?

Ja

Interoperabilitätsmatrix

Sowohl der Client als auch der Server müssen aktualisiert werden, andernfalls können Windows- und CredSSP-Clients von Drittanbietern möglicherweise keine Verbindung zu Windows- oder Drittanbieter-Hosts herstellen. In der folgenden Interoperabilitätsmatrix finden Sie Szenarien, die entweder für den Exploit anfällig sind oder Betriebsausfälle verursachen.

Hinweis Beim Herstellen einer Verbindung mit einem Windows-Remotedesktopserver kann der Server so konfiguriert werden, dass er einen Fallback-Mechanismus verwendet, der das TLS-Protokoll zur Authentifizierung verwendet, und Benutzer erhalten möglicherweise andere Ergebnisse als in dieser Matrix beschrieben. Diese Matrix beschreibt nur das Verhalten des CredSSP-Protokolls.

Server

Ungepatcht

Aktualisierte Clients erzwingen

Abgemildert

Verletzlich

Klient

Ungepatcht

Erlaubt

verstopft

Erlaubt

Erlaubt

Aktualisierte Clients erzwingen

verstopft

Erlaubt

Erlaubt

Erlaubt

Abgemildert

verstopft

Erlaubt

Erlaubt

Erlaubt

Verletzlich

Erlaubt

Erlaubt

Erlaubt

Erlaubt

Client-Einstellung

CVE-2018-0886 Patch-Status

Ungepatcht

Verletzlich

Aktualisierte Clients erzwingen

Sicher

Abgemildert

Sicher

Verletzlich

Verletzlich

Fehler im Windows-Ereignisprotokoll

Die Ereignis-ID 6041 wird auf gepatchten Windows-Clients protokolliert, wenn der Client und der Remote-Host in einer blockierten Konfiguration konfiguriert sind.

Ereignisprotokoll

System

Ereignisquelle

LSA (LsaSrv)

Ereignis-ID

6041

Text der Ereignismeldung

Bei der CredSSP-Authentifizierung bei <Hostname> konnte keine gemeinsame Protokollversion ausgehandelt werden. Der Remote-Host bot die Version <Protokollversion> an, die von Encryption Oracle Remediation nicht zugelassen ist.

Fehler, die durch CredSSP-blockierte Konfigurationspaare durch gepatchte Windows-RDP-Clients generiert werden

Vom Remotedesktop-Client ohne den Patch vom 17. April 2018 angezeigte Fehler (KB 4093120 )

Ungepatchte Clients vor Windows 8.1 und Windows Server 2012 R2 gepaart mit Servern, die mit „Aktualisierte Clients erzwingen" konfiguriert sind

Fehler, die durch CredSSP-blockierte Konfigurationspaare durch gepatchte Windows 8.1/Windows Server 2012 R2 und spätere RDP-Clients generiert werden

Es ist ein Authentifizierungsfehler aufgetreten.

Das der Funktion bereitgestellte Token ist ungültig

Es ist ein Authentifizierungsfehler aufgetreten.

Die angeforderte Funktion wird nicht unterstützt.


Vom Remotedesktop-Client mit dem Patch vom 17. April 2018 angezeigte Fehler (KB 4093120 )

Ungepatchte Clients vor Windows 8.1 und Windows Server 2012 R2 gepaart mit Servern, die mit „Aktualisierte Clients erzwingen" konfiguriert sind

Diese Fehler werden durch CredSSP-blockierte Konfigurationspaare von gepatchten Windows 8.1/Windows Server 2012 R2- und späteren RDP-Clients generiert.

Es ist ein Authentifizierungsfehler aufgetreten.

Das der Funktion bereitgestellte Token ist ungültig.

Es ist ein Authentifizierungsfehler aufgetreten.

Die angeforderte Funktion wird nicht unterstützt.

Remote-Computer: < Hostname >

Dies könnte auf die Korrektur der CredSSP-Verschlüsselung durch Oracle zurückzuführen sein.

Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660

Remote-Desktop-Clients und -Server von Drittanbietern

Alle Clients oder Server von Drittanbietern müssen die neueste Version des CredSSP-Protokolls verwenden. Bitte wenden Sie sich an die Anbieter, um festzustellen, ob ihre Software mit dem neuesten CredSSP-Protokoll kompatibel ist.

Die Protokollaktualisierungen finden Sie auf der Windows-Protokolldokumentationsseite .

Dateiänderungen

Die folgenden Systemdateien wurden in diesem Update geändert.

  • tspkg.dll

Die Datei credssp.dll bleibt unverändert. Weitere Informationen finden Sie in den entsprechenden Artikeln zur Dateiversion.

No comments:

Post a Comment