CredSSP-Updates für CVE-2018-0886
Zusammenfassung
Das Credential Security Support Provider-Protokoll (CredSSP) ist ein Authentifizierungsanbieter, der Authentifizierungsanfragen für andere Anwendungen verarbeitet.
In ungepatchten Versionen von CredSSP besteht eine Sicherheitslücke bezüglich Remotecodeausführung. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Benutzeranmeldeinformationen weitergeben, um Code auf dem Zielsystem auszuführen. Jede Anwendung, die zur Authentifizierung auf CredSSP angewiesen ist, kann für diese Art von Angriff anfällig sein.
Dieses Sicherheitsupdate behebt die Sicherheitslücke, indem korrigiert wird, wie CredSSP Anforderungen während des Authentifizierungsprozesses validiert.
Weitere Informationen zur Sicherheitslücke finden Sie unter CVE-2018-0886 .
Aktualisierung
13. März 2018
Die erste Version vom 13. März 2018 aktualisiert das CredSSP-Authentifizierungsprotokoll und die Remotedesktop-Clients für alle betroffenen Plattformen.
Die Schadensbegrenzung besteht darin, das Update auf allen geeigneten Client- und Server-Betriebssystemen zu installieren und dann die enthaltenen Gruppenrichtlinieneinstellungen oder registrierungsbasierten Äquivalente zu verwenden, um die Einstellungsoptionen auf den Client- und Servercomputern zu verwalten. Wir empfehlen Administratoren, die Richtlinie so schnell wie möglich anzuwenden und auf Client- und Servercomputern auf „Aktualisierte Clients erzwingen" oder „Gemindert" festzulegen. Diese Änderungen erfordern einen Neustart der betroffenen Systeme.
Achten Sie genau auf Gruppenrichtlinien- oder Registrierungseinstellungspaare, die in der Kompatibilitätstabelle weiter unten in diesem Artikel zu „blockierten" Interaktionen zwischen Clients und Servern führen.
17. April 2018
Das RDP-Update (Remote Desktop Client) in KB 4093120 verbessert die Fehlermeldung, die angezeigt wird, wenn ein aktualisierter Client keine Verbindung zu einem Server herstellen kann, der nicht aktualisiert wurde.
8. Mai 2018
Ein Update, um die Standardeinstellung von „Vulnerable" in „Mitigated" zu ändern.
Verwandte Microsoft Knowledge Base-Nummern sind in CVE-2018-0886 aufgeführt.
Nach der Installation dieses Updates können gepatchte Clients standardmäßig nicht mit ungepatchten Servern kommunizieren. Verwenden Sie die in diesem Artikel beschriebene Interoperabilitätsmatrix und Gruppenrichtlinieneinstellungen, um eine „erlaubte" Konfiguration zu aktivieren.
Gruppenrichtlinie
Richtlinienpfad und Einstellungsname | Beschreibung |
Richtlinienpfad: Computerkonfiguration -> Administrative Vorlagen -> System -> Delegierung von Anmeldeinformationen | Verschlüsselungs-Oracle-Behebung Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopverbindung). Einige Versionen des CredSSP-Protokolls sind anfällig für einen Verschlüsselungs-Oracle-Angriff auf den Client. Diese Richtlinie steuert die Kompatibilität mit anfälligen Clients und Servern. Mit dieser Richtlinie können Sie die gewünschte Schutzstufe für die Oracle-Verschlüsselungsschwachstelle festlegen. Wenn Sie diese Richtlinieneinstellung aktivieren, wird die CredSSP-Versionsunterstützung basierend auf den folgenden Optionen ausgewählt: Aktualisierte Clients erzwingen – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen, und Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients. Hinweis: Diese Einstellung sollte erst bereitgestellt werden, wenn alle Remote-Hosts die neueste Version unterstützen. Entschärft – Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen, aber Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. Anfällig – Client-Anwendungen, die CredSSP verwenden, setzen die Remote-Server Angriffen aus, indem sie den Fallback auf unsichere Versionen unterstützen, und Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. |
Die Encryption Oracle Remediation Group Policy unterstützt die folgenden drei Optionen, die auf Clients und Server angewendet werden sollten:
Richtlinieneinstellung | Registrierungswert | Kundenverhalten | Serververhalten |
Aktualisierte Clients erzwingen | 0 | Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen. | Dienste, die CredSSP verwenden, akzeptieren keine ungepatchten Clients. |
Abgemildert | 1 | Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgreifen. | Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. |
Verletzlich | 2 | Clientanwendungen, die CredSSP verwenden, setzen Remoteserver Angriffen aus, indem sie den Fallback auf unsichere Versionen unterstützen. | Dienste, die CredSSP verwenden, akzeptieren nicht gepatchte Clients. |
Ein zweites Update, das am 8. Mai 2018 veröffentlicht wird, wird das Standardverhalten auf die Option „Mitigated" ändern.
Hinweis: Jede Änderung an Encryption Oracle Remediation erfordert einen Neustart.
Registrierungswert
Warnung: Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung mit dem Registrierungseditor oder einer anderen Methode falsch ändern. Diese Probleme erfordern möglicherweise eine Neuinstallation des Betriebssystems. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigenes Risiko.
Das Update führt die folgende Registrierungseinstellung ein:
Registrierungspfad | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters |
Wert | AllowEncryptionOracle |
Datumstyp | DWORD |
Neustart erforderlich? | Ja |
Interoperabilitätsmatrix
Sowohl der Client als auch der Server müssen aktualisiert werden, andernfalls können Windows- und CredSSP-Clients von Drittanbietern möglicherweise keine Verbindung zu Windows- oder Drittanbieter-Hosts herstellen. In der folgenden Interoperabilitätsmatrix finden Sie Szenarien, die entweder für den Exploit anfällig sind oder Betriebsausfälle verursachen.
Hinweis Beim Herstellen einer Verbindung mit einem Windows-Remotedesktopserver kann der Server so konfiguriert werden, dass er einen Fallback-Mechanismus verwendet, der das TLS-Protokoll zur Authentifizierung verwendet, und Benutzer erhalten möglicherweise andere Ergebnisse als in dieser Matrix beschrieben. Diese Matrix beschreibt nur das Verhalten des CredSSP-Protokolls.
Server | |||||
Ungepatcht | Aktualisierte Clients erzwingen | Abgemildert | Verletzlich | ||
Klient | Ungepatcht | Erlaubt | verstopft | Erlaubt | Erlaubt |
Aktualisierte Clients erzwingen | verstopft | Erlaubt | Erlaubt | Erlaubt | |
Abgemildert | verstopft | Erlaubt | Erlaubt | Erlaubt | |
Verletzlich | Erlaubt | Erlaubt | Erlaubt | Erlaubt |
Client-Einstellung | CVE-2018-0886 Patch-Status |
Ungepatcht | Verletzlich |
Aktualisierte Clients erzwingen | Sicher |
Abgemildert | Sicher |
Verletzlich | Verletzlich |
Fehler im Windows-Ereignisprotokoll
Die Ereignis-ID 6041 wird auf gepatchten Windows-Clients protokolliert, wenn der Client und der Remote-Host in einer blockierten Konfiguration konfiguriert sind.
Ereignisprotokoll | System |
Ereignisquelle | LSA (LsaSrv) |
Ereignis-ID | 6041 |
Text der Ereignismeldung | Bei der CredSSP-Authentifizierung bei <Hostname> konnte keine gemeinsame Protokollversion ausgehandelt werden. Der Remote-Host bot die Version <Protokollversion> an, die von Encryption Oracle Remediation nicht zugelassen ist. |
Fehler, die durch CredSSP-blockierte Konfigurationspaare durch gepatchte Windows-RDP-Clients generiert werden
Vom Remotedesktop-Client ohne den Patch vom 17. April 2018 angezeigte Fehler (KB 4093120 )
Ungepatchte Clients vor Windows 8.1 und Windows Server 2012 R2 gepaart mit Servern, die mit „Aktualisierte Clients erzwingen" konfiguriert sind | Fehler, die durch CredSSP-blockierte Konfigurationspaare durch gepatchte Windows 8.1/Windows Server 2012 R2 und spätere RDP-Clients generiert werden |
Es ist ein Authentifizierungsfehler aufgetreten. Das der Funktion bereitgestellte Token ist ungültig | Es ist ein Authentifizierungsfehler aufgetreten. Die angeforderte Funktion wird nicht unterstützt. |
Vom Remotedesktop-Client mit dem Patch vom 17. April 2018 angezeigte Fehler (KB 4093120 )
Ungepatchte Clients vor Windows 8.1 und Windows Server 2012 R2 gepaart mit Servern, die mit „Aktualisierte Clients erzwingen" konfiguriert sind | Diese Fehler werden durch CredSSP-blockierte Konfigurationspaare von gepatchten Windows 8.1/Windows Server 2012 R2- und späteren RDP-Clients generiert. |
Es ist ein Authentifizierungsfehler aufgetreten. Das der Funktion bereitgestellte Token ist ungültig. | Es ist ein Authentifizierungsfehler aufgetreten. Die angeforderte Funktion wird nicht unterstützt. Remote-Computer: < Hostname > Dies könnte auf die Korrektur der CredSSP-Verschlüsselung durch Oracle zurückzuführen sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660 |
Remote-Desktop-Clients und -Server von Drittanbietern
Alle Clients oder Server von Drittanbietern müssen die neueste Version des CredSSP-Protokolls verwenden. Bitte wenden Sie sich an die Anbieter, um festzustellen, ob ihre Software mit dem neuesten CredSSP-Protokoll kompatibel ist.
Die Protokollaktualisierungen finden Sie auf der Windows-Protokolldokumentationsseite .
Dateiänderungen
Die folgenden Systemdateien wurden in diesem Update geändert.
tspkg.dll
Die Datei credssp.dll bleibt unverändert. Weitere Informationen finden Sie in den entsprechenden Artikeln zur Dateiversion.
No comments:
Post a Comment