Устранение уязвимости в протоколе CredSSP

5nine Cloud Security
Компания Microsoft обнаружила уязвимость в протоколе CredSSP, уязвимость касается различных приложений, которые используют CredSSP для аутентификации. Такими приложениями могут быть подключения по протоколу rdp и другие различные сервисы. Уязвимости подвержены все ОС компании Microsoft. Обновления есть только для поддерживаемых в данный момент ОС от компании Microsoft.
Мероприятия по исправлению уязвимости должны включать обновление соответствующих ОСкак на стороне сервера, так и на стороне клиента, а также необходимо изменить параметр в реестре ОС с использованием настроек групповой политики (Group Policy) или других средств для работы с реестром. Изменения вступают в силу только после перезагрузки ОС.
 
  1. Необходимо установить патчи, исправляющие уязвимость, через центр обновления Майкрософт. Список необходимых патчей, в соответствии с ОС, смотреть по ссылке: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
  1. Настройка защиты с помощью политик безопасности CredSSP (параметр в реестре). Только после установки обновлений !
Для Русскоязычная версия ОС ветка в настройках политик безопасности:
Конфигурация компьютера -> Административные шаблоны -> Система -> Параметры учетных данных
Для Англоязычная версия ОС ветка в настройках политик безопасности:
ComputerConfiguration -> AdministrativeTemplates -> System -> CredentialsDelegation
Изменить параметры ключа «Encryption Oracle Remediation»: установить значения "Принудительное обновление клиентов" (Force updated clients) или "Исправлено" (Mitigated). Облакотека рекомендует первоначально установить значение "Исправлено" (Mitigated).
 
  1. Настройка защиты с помощью ключа реестра (альтернатива настройки с помощью политик безопасности, т.е. если используется вариант из п.2, то п.3 делать не нужно).
Путь реестра: KLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
Значение: AllowEncryptionOracle
Тип даты: ПАРАМЕТР DWORD
0 - Принудительное обновление клиентов (Force updated clients)
1 – Исправлено (Mitigated)
2 – Уязвимость (Vulnerable)
Более детальная информация о необходимых действиях можно найти по ссылке https://support.microsoft.com/ru-ru/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
 
Облакотека предупреждает, что изменять параметр в реестре необходимо только после обновления всех компьютеров которые взаимодействуют между собой. Если патч не будет установлен на одном из хостов (не важно на клиенте или на сервере) в сетевом взаимодействии, то подключение не будет происходить.
Microsoft предварительно собирается принудительно ставить значение в реестре в "Исправлено" (Mitigated) в обновлениях которые будут выпущены в Мае 2018 года. Поэтому мы рекомендует обновить все ОС до этого момента.
 

Add Feedback