CVE-2018-0886 の CredSSP の更新プログラムについて(Ask the Network & AD Support Team、2018年4月20日)
[URL] https://blogs.technet.microsoft.com/jpntsblog/2018/04/20/cve-2018-0886/
CVE-2018-0886 の CredSSP の更新プログラム(Microsoftサポート、最終更新日:2018/04/17)
[URL] https://support.microsoft.com/ja-jp/help/4093492/
CVE-2018-0886 | CredSSP のリモートでコードが実行される脆弱性(セキュリティTechCenter、公開日:2018/03/13)
[URL] https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2018-0886
CredSSP 認証は、リモートデスクトップ接続のネットワークレベル認証(NLA)とかで使用されているもの。対象のポリシーは、2018 年 3 月、および 4 月の累積的な品質更新プログラム(ロールアップ品質更新プログラム)で追加された「Encryption Oracle Remendation」というポリシー。今はポリシーを設定しない限り脆弱性は解消しませんが、5 月になるとポリシーを設定しなくても...
「Encryption Oracle Remendation」は CVE-2018-088 の脆弱性に対応したもの。3月の更新でその機能がポリシーとして実装されたものの、既定では有効化されていませんでした。パッチ済みでポリシーが未構成な場合、ポリシーが Vulnerable に設定されているのと同じ状態であり、ポリシーをいじっていなければパッチ済み/未パッチ間の接続を含めブロックされることはありません(ただし CVE-2018-0886 の脆弱性は放置された状態)。
これが、5 月の更新で「Encryption Oracle Remendation」ポリシーが未構成のときの既定が「Mitigated」に変更されるそうです(つまり、ポリシーを設定しなくても CVE-2018-0886 の脆弱性が解消された状態)。その場合、ポリシーをいじっていなくても、未パッチのサーバーに対するパッチ済みクライアントからの CredSSP がブロックされ、接続できなくなります。
右のスクリーンショットは、Windows 10 バージョン 1709 (17299.371、つまりパッチ済み)で、5 月に予定されている更新後の状況を再現するためにポリシーを「Mitigated」にしてから、RDP クライアントで Windows 10 バージョン 1507(つまり未パッチ、EOS なのでパッチ予定なし)に接続したときのエラーメッセージ。最新の 17299.402 (KB4093105)の場合、なぜかエラー メッセージは出ずに(イベントログに LSA(LsaSrv)からの ID 6041 エラーは記録される)、何も言われず接続失敗しました(バグだと思う)。
で、サーバー側が未パッチでこの状況に遭遇してしまったら、クライアント側で例のポリシーを「Vulnerable」にすれば接続できるようになるはずです。ポリシー名やポリシーの選択肢は、現在は英語ですが、そのうち日本語化されるかもしれません(現在は、%Windir%\PolicyDefinitions\ja-jp\CredSsp.adml の中のこのポリシーの部分が英語)。
0 件のコメント:
コメントを投稿
この投稿へのリンク
リンクを作成