Причиной ошибки может быть защита от атак с использованием криптографического оракула credssp
Обновлено: 05.07.2024
Протокол поставщика поддержки учетных данных (CredSSP) является поставщиком аутентификации, который обрабатывает запросы на аутентификацию для других приложений. Уязвимость удаленного выполнения кода существует в неисправленных версиях CredSSP. Злоумышленник, успешно использующий эту уязвимость, может передавать учетные данные пользователей для выполнения кода в целевой системе. Любое приложение, которое зависит от CredSSP для проверки подлинности, может быть уязвимым для такого типа атак.
Это обновление безопасности устраняет уязвимость, исправляя, как CredSSP проверяет запросы в процессе проверки подлинности.
Resolution
How to install this update by using Azure Serial console
Sign in to the Azure portal, select Virtual Machine, and then select the VM.
Scroll down to the Support + Troubleshooting section, and then click Serial console (Preview). The serial console requires Special Administrative Console (SAC) to be enabled within the Windows VM. If you do not see SAC> in the console (as shown in the following screenshot), go to the "How to install this update by using Remote PowerShell" section in this article.
Type cmd to start a channel that has a CMD instance.
Type ch-si 1 to switch to the channel that is running the CMD instance. You receive the following output:
Press Enter, and then enter your login credentials that have administrative permission.
After you enter valid credentials, the CMD instance opens, and you will see the command at which you can start troubleshooting.
To start a PowerShell instance, type PowerShell .
In the PowerShell instance, run the Serial console script based on the VM operating system. This script performs the following steps:
- Create a folder in which to save the download file.
- Download the update.
- Install the update.
- Add the vulnerability key to allow non-updated clients to connect to the VM.
- Restart the VM
How to install this update by using Remote PowerShell
On any Windows-based computer that has PowerShell installed, add the IP address of the VM to the "trusted" list in the host file, as follows:
In the Azure portal, configure Network Security Groups on the VM to allow traffic to port 5986.
In the Azure portal, select Virtual Machine > < your VM >, scroll down to the OPERATIONS section, click the Run command, and then run EnableRemotePS.
On the Windows-based computer, run the Remote PowerShell script for the appropriate system version of your VM. This script performs the following steps:
- Connect to Remote PowerShell on the VM.
- Create a folder to which to save the download file.
- Download the Credssp update.
- Install the update.
- Set the vulnerability registry key to allow non-updated clients to connect to the VM.
- Enable Serial Console for future and easier mitigation.
- Restart the VM.
Workaround
After you change the following setting, an unsecure connection is allowed that will expose the remote server to attacks. Follow the steps in this section carefully. Serious problems might occur if you modify the registry incorrectly. Before you modify it, back up the registry for restoration in case problems occur.
Scenario 1: Updated clients cannot communicate with non-updated servers
The most common scenario is that the client has the CredSSP update installed, and the Encryption Oracle Remediation policy setting doesn't allow an insecure RDP connection to a server that does not have the CredSSP update installed.
To work around this issue, follow these steps:
On the client that has the CredSSP update installed, run gpedit.msc, and then browse to Computer Configuration > Administrative Templates > System > Credentials Delegation in the navigation pane.
Change the Encryption Oracle Remediation policy to Enabled, and then change Protection Level to Vulnerable.
If you cannot use gpedit.msc, you can make the same change by using the registry, as follows:
Open a Command Prompt window as Administrator.
Run the following command to add a registry value:
Scenario 2: Non-updated clients cannot communicate with patched servers
If the Azure Windows VM has this update installed, and it is restricted to receiving non-updated clients, follow these steps to change the Encryption Oracle Remediation policy setting:
On any Windows computer that has PowerShell installed, add the IP of the VM to the "trusted" list in the host file:
Go to the Azure portal, locate the VM, and then update the Network Security group to allow PowerShell ports 5985 and 5986.
On the Windows computer, connect to the VM by using PowerShell:
Run the following command to change the Encryption Oracle Remediation policy setting by using the registry:
Решение
Установка этого обновления с помощью консоли Azure Serial
Во входе на портал Azureвыберите виртуальную машину, а затем выберите виртуальный компьютер.
Прокрутите вниз в раздел Поддержка и устранение неполадок, а затем нажмите кнопку Serial console (Preview). Для серийной консоли требуется включить специальную административную консоль (SAC) в Windows VM. Если вы не видите>SAC на консоли (как показано на следующем скриншоте), перейдите в раздел "Как установить это обновление с помощью раздела Remote PowerShell"в этой статье.
cmd Введите, чтобы запустить канал с экземпляром CMD.
ch-si 1 Введите, чтобы перейти на канал, в который запущен экземпляр CMD. Вы получите следующий вывод:
После ввода допустимых учетных данных экземпляр CMD откроется, и вы увидите команду, в которой можно начать устранение неполадок.
Чтобы запустить экземпляр PowerShell, введите PowerShell .
В экземпляре PowerShell запустите сценарий последовательной консоли на основе операционной системы VM. В этом скрипте выполняются следующие действия:
- Создайте папку, в которой можно сохранить файл загрузки.
- Скачайте обновление.
- Установите обновление.
- Добавьте ключ уязвимости, чтобы разрешить не обновляемой клиентской сети подключаться к VM.
- Перезапуск VM
Установка этого обновления с помощью удаленной powerShell
На любом Windows, на который установлен PowerShell, добавьте IP-адрес VM в список "доверенных" в хост-файле следующим образом:
На портале Azure настройте группы сетевой безопасности на VM, чтобы разрешить трафик в порт 5986.
На портале Azure выберите виртуальную машину > < виртуальной >, прокрутите в раздел OPERATIONS, нажмите команду Run и запустите EnableRemotePS.
На Windows компьютере запустите сценарий Remote PowerShell для соответствующей системной версии вашего VM. В этом скрипте выполняются следующие действия:
- Подключение удаленной PowerShell на VM.
- Создайте папку, в которую можно сохранить файл загрузки.
- Скачайте обновление Credssp.
- Установите обновление.
- Задайте ключ реестра уязвимостей, чтобы разрешить клиентам, не обновленным, подключаться к VM.
- Включить серийную консоль для будущих и более простого смягчения.
- Перезапустите VM.
Сценарии последовательной консоли Azure
Cause
This error occurs if you are trying to establish an insecure RDP connection, and the insecure RDP connection is blocked by an Encryption Oracle Remediation policy setting on the server or client. This setting defines how to build an RDP session by using CredSSP, and whether an insecure RDP is allowed.
See the following interoperability matrix for scenarios that are either vulnerable to this exploit or cause operational failures.
| - | - | Server | - | - | - |
|---|---|---|---|---|---|
| - | - | Updated | Force updated clients | Mitigated | Vulnerable |
| Client | Updated | Allowed | Blocked 2 | Allowed | Allowed |
| Force updated clients | Blocked | Allowed | Allowed | Allowed | |
| Mitigated | Blocked 1 | Allowed | Allowed | Allowed | |
| Vulnerable | Allowed | Allowed | Allowed | Allowed |
Examples
1 The client has the CredSSP update installed, and Encryption Oracle Remediation is set to Mitigated. This client will not RDP to a server that does not have the CredSSP update installed.
2 The server has the CredSSP update installed, and Encryption Oracle Remediation is set to Force updated clients. The server will block any RDP connection from clients that do not have the CredSSP update installed.
Remote PowerShell scripts
В этой статье предоставляется решение проблемы, в которой невозможно подключиться к виртуальной машине (VM) с помощью RDP с ошибкой: исправление оракула шифрования CredSSP.
Оригинальная версия продукта: Виртуальная машина, Windows
Исходный номер КБ: 4295591
Групповая политика
Путь политики и имя настройки
Политический путь: Компьютерная конфигурация - Настройка имени: Восстановление шифрования Oracle
Шифрование оракула исправления
Эта настройка политики применяется к приложениям, использующему компонент CredSSP (например, удаленное подключение к рабочему столу).
Некоторые версии протокола CredSSP уязвимы для атаки оракула шифрования против клиента. Эта политика контролирует совместимость с уязвимыми клиентами и серверами. Эта политика позволяет установить уровень защиты, который вы хотите для уязвимости оракула шифрования.
Если вы включите эту настройку политики, поддержка версии CredSSP будет выбрана на основе следующих вариантов:
Силовые обновленные клиенты - Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям, а службы, которые используют CredSSP, не будут принимать неисправленных клиентов.
Заметка Эта настройка не должна быть развернута до тех пор, пока все удаленные узлы не поддержат новейшую версию.
Смягчено - Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям, но службы, которые используют CredSSP, будут принимать неисправленных клиентов.
Уязвимые - Клиентские приложения, которые используют CredSSP, подвергают удаленные серверы атакам, поддерживая резервные для небезопасных версий, а службы, которые используют CredSSP, будут принимать неисправленных клиентов.
Политика группы восстановления шифрования Oracle поддерживает следующие три варианта, которые должны быть применены к клиентам и серверам:
Настройка политики
Значение реестра
Поведение клиента
Поведение сервера
Силы обновленных клиентов
Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям.
Службы, использующие CredSSP, не принимают неисправленных клиентов. Заметка Эта настройка не должна быть развернута до тех пор, пока все клиенты Windows и сторонних CredSSP не поддержат новейшую версию CredSSP.
Клиентские приложения, которые используют CredSSP, не смогут вернуться к небезопасным версиям.
Услуги, которые используют CredSSP будет принимать неисправленных клиентов.
Клиентские приложения, которые используют CredSSP, подвергают удаленные серверы атакам, поддерживая резервные для небезопасных версий.
Услуги, которые используют CredSSP будет принимать неисправленных клиентов.
Второе обновление, выпущенное 8 мая 2018 года, изменит поведение по умолчанию на опцию "Mitigated".
Заметка Любое изменение в исправлении шифрования Oracle требует перезагрузки.
Сценарии Удаленной PowerShell
Ребята из Майкрософт снова отличились. Ну почему нельзя было просто предупреждение выводить? Нет же — сунем палку вам в колёса.
После обновлений от 8 мая 2018 года можно наступить на шибку " CredSSP encryption oracle remediation " при попытке подключения к удалённому серверу.
Клиент rdp обновился, а сервер ещё нет. Проблема связана с уязвимостью:
CredSSP Remote Code Execution Vulnerability
Ошибка выглядит так:
Что делать?
Установить обновления на сервер. Лучше все. Но можно и конкретное:
При попытке установить обновление натыкаемся на грабли. Как зайти теперь на сервер?
Если у вас VMware — войдите через через консоль.
В другом случае меняем групповые политики на своей машине для отключения запрета на соединение с RDP:
- Откройте редактор групповых политик, для этого в командной строке или в PowerShell наберите « gpedit.msc » или найдите его через поиск на вашем ПК по фразе « Edit group policy » или « Изменение групповой политики ».
- В папках настроек дерева слева вам необходимо открыть: Computer Configuration -> Administrative Templates -> System -> Credentials Delegation или Конфигурация компьютера -> Административные шаблоны -> Система -> Передача учетных данных.
- В папке « Credentials Delegation » («Передача учетных данных») найдите параметр « Encryption Oracle Remediation » («Исправление уязвимости шифрующего оракула»), откройте его, включите его использование, выбрав « Enabled » («Включено») и установите значение параметра в выпадающем списке на « Vulnerable » («Оставить уязвимость»).
После выполнения этих действий на вашем ПК, вы сможете подключаться к серверу и установить необходимые обновления.
Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.
Обходной путь
После изменения следующего параметра допускается незасекреченное подключение, которое будет подвергать удаленный сервер атакам. Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Сценарий 1. Обновленные клиенты не могут общаться с не обновленными серверами
Наиболее распространенный сценарий — установка обновления CredSSP у клиента, а параметр политики восстановления шифрования Oracle не позволяет обеспечить небезопасное подключение RDP к серверу, на который не установлено обновление CredSSP.
Чтобы решить эту проблему, выполните следующие действия:
На клиенте с установленным обновлением CredSSP запустите gpedit.msc, а затем просмотрите в области навигации делегирование системных учетных данных конфигурации > > > компьютерной конфигурации.
Измените политику восстановления шифрования Oracle на включенную, а затем измените уровень защиты на уязвимый.
Если вы не можете использовать gpedit.msc, с помощью реестра можно внести те же изменения:
Откройте окно Командная подсказка в качестве администратора.
Запустите следующую команду, чтобы добавить значение реестра:
Сценарий 2. Не обновленные клиенты не могут общаться с исправленными серверами
Если в Windows Azure установлено это обновление и оно ограничено получением не обновленных клиентов, выполните следующие действия, чтобы изменить параметр политики восстановления шифрования Oracle:
На любом Windows, на который установлен PowerShell, добавьте IP-адрес VM в список "доверенных" в хост-файле:
Перейдите на портал Azure,найдите VM, а затем обнови группу сетевой безопасности, чтобы разрешить портам PowerShell 5985 и 5986.
На компьютере Windows подключайтесь к VM с помощью PowerShell:
Запустите следующую команду, чтобы изменить параметр политики восстановления шифрования Oracle с помощью реестра:
Обновления
13 марта 2018 года
Первоначальный релиз 13 марта 2018 года обновляет протокол проверки подлинности CredSSP и удаленные настольные клиенты для всех затронутых платформ. Смягчение состоит в установке обновления на всех подходящих клиента хитрое и серверных операционных системах, а затем с использованием включенных настроек групповой политики или эквивалентов на основе реестра для управления параметрами настройки на компьютерах клиента и сервера. Мы рекомендуем администраторам применять политику и как можно скорее настроить ее на "Принудительно обновляемых клиентов" или "Смягченные" на компьютерах клиентов и серверов. Эти изменения потребуют перезагрузки затронутых систем. Обратите пристальное внимание на пары параметров групповой политики или реестра, которые приводят к "заблокированным" взаимодействиям между клиентами и серверами в таблице совместимости позже в этой статье.
17 апреля 2018 года
8 мая 2018 года
Обновление для изменения параметра по умолчанию с уязвимого на смягченный.
По умолчанию, после установки этого обновления, исправленные клиенты не могут общаться с неисправленными серверами. Используйте матрицу совместимости и параметры групповой политики, описанные в этой статье, чтобы включить "разрешенную" конфигурацию.
Значение реестра
Предупреждение Серьезные проблемы могут возникнуть, если вы измените реестр неправильно, используя редактор реестра или с помощью другого метода. Эти проблемы могут потребовать, чтобы вы переустановить операционную систему. Корпорация Майкрософт не может гарантировать, что эти проблемы могут быть решены. Измените реестр на свой страх и риск.
This article provides a solution to an issue in which you are not able to connect to a virtual machine (VM) using RDP with error: CredSSP encryption oracle remediation.
Original product version: Virtual Machine running Windows
Original KB number: 4295591
Симптомы
Рассмотрим следующий сценарий.
Проверка установки обновления CredSSP
Проверьте историю обновления для следующих обновлений или проверьте версию TSpkg.dll.
| Операционная система | TSpkg.dll версии с обновлением CredSSP | Обновление CredSSP |
|---|---|---|
| Windows 7 Пакет обновления 1 / Windows 2008 R2 Пакет обновления 1 | 6.1.7601.24117 | KB4103718 (ежемесячный откат) |
| KB4103712 (обновление только для безопасности) | ||
| Windows Server 2012 | 6.2.9200.22432 | KB4103730 (ежемесячное сверка) |
| KB4103726 (обновление только для безопасности) | ||
| Windows 8.1 / Windows Server 2012 R2 | 6.3.9600.18999 | KB4103725 (ежемесячный докатка) |
| KB4103715 (обновление только для безопасности) | ||
| RS1 — Windows 10 версии 1607 / Windows Server 2016 | 10.0.14393.2248 | KB4103723 |
| RS2 — Windows 10 версии 1703 | 10.0.15063.1088 | KB4103731 |
| RS3 - Windows 10 1709 | 10.0.16299.431 | KB4103727 |
Azure Serial Console scripts
Symptoms
Consider the following scenario:
In this scenario, you receive the following error message:
How to verify that the CredSSP update is installed
Check the update history for the following updates, or check the version of TSpkg.dll.
| Operating system | TSpkg.dll version with CredSSP update | CredSSP update |
|---|---|---|
| Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 | 6.1.7601.24117 | KB4103718 (Monthly Rollup) |
| KB4103712 (Security-only update) | ||
| Windows Server 2012 | 6.2.9200.22432 | KB4103730 (Monthly Rollup) |
| KB4103726 (Security-only update) | ||
| Windows 8.1 / Windows Server 2012 R2 | 6.3.9600.18999 | KB4103725 (Monthly Rollup) |
| KB4103715 (Security-only update) | ||
| RS1 - Windows 10 Version 1607 / Windows Server 2016 | 10.0.14393.2248 | KB4103723 |
| RS2 - Windows 10 Version 1703 | 10.0.15063.1088 | KB4103731 |
| RS3 - Windows 10 1709 | 10.0.16299.431 | KB4103727 |
Причина
Эта ошибка возникает, если вы пытаетесь установить небезопасное подключение RDP, и небезопасное подключение RDP блокируется параметром политики восстановления шифрования Oracle на сервере или клиенте. Этот параметр определяет, как создать сеанс RDP с помощью CredSSP и разрешен ли небезопасный RDP.
См. следующую матрицу оперативной работы для сценариев, которые уязвимы для этого эксплойта или вызывают сбои в работе.
| - | - | Сервер | - | - | - |
|---|---|---|---|---|---|
| - | - | Обновлено | Клиенты force updated | Смягчение | Уязвимые |
| Клиент | Обновлено | Разрешено | Заблокировано 2 | Разрешено | Разрешено |
| Клиенты force updated | Заблокировано | Разрешено | Разрешено | Разрешено | |
| Смягчение | Заблокировано 1 | Разрешено | Разрешено | Разрешено | |
| Уязвимые | Разрешено | Разрешено | Разрешено | Разрешено |
Примеры
1 У клиента установлено обновление CredSSP, а исправление шифрования Oracle настроено на смягчение. Этот клиент не будет RDP на сервер, на который не установлено обновление CredSSP.
2 На сервере установлено обновление CredSSP, а исправление шифрования Oracle настроено на принудительное обновление клиентов. Сервер блокирует любое подключение RDP к клиентам, у них не установлено обновление CredSSP.
Читайте также: