Credential Security Support Provider protocol (CredSSP) เป็นผู้ให้บริการการตรวจสอบความถูกต้องที่ประมวลผลคำขอการรับรองความถูกต้องสำหรับแอปพลิเคชันอื่น
ช่องโหว่การเรียกใช้รหัสระยะไกลมีอยู่ใน CredSSP รุ่นที่ไม่ตรงกัน ผู้โจมตีที่โจมตีช่องโหว่นี้สามารถส่งผ่านข้อมูลรับรองผู้ใช้เพื่อรันโค้ดบนระบบเป้าหมาย แอปพลิเคชันใด ๆ ที่ขึ้นอยู่กับ CredSSP สำหรับการตรวจสอบอาจมีความเสี่ยงต่อการโจมตีประเภทนี้
[ ... ]
13 มีนาคม 2561
วันที่ 13 มีนาคม 2561 เริ่มวางจำหน่ายอัปเดตโปรโตคอลการตรวจสอบความน่าเชื่อถือ CredSSP และไคลเอนต์เดสก์ท็อประยะไกลสำหรับแพลตฟอร์มที่ได้รับผลกระทบทั้งหมด
การบรรเทาประกอบด้วยการติดตั้งการอัปเดตบนระบบปฏิบัติการไคลเอนต์และเซิร์ฟเวอร์ที่มีสิทธิ์ทั้งหมดจากนั้นใช้การตั้งค่านโยบายกลุ่มหรือการเทียบเท่าที่ใช้รีจิสทรีเพื่อจัดการตัวเลือกการตั้งค่าบนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ เราขอแนะนำให้ผู้ดูแลระบบใช้นโยบายและตั้งเป็น "บังคับให้มีการอัพเดทไคลเอนต์" หรือ "บรรเทา" ในคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์โดยเร็วที่สุด การเปลี่ยนแปลงเหล่านี้จะต้องมีการรีบูตระบบที่ได้รับผลกระทบ
เอาใจใส่อย่างใกล้ชิดกับนโยบายกลุ่มหรือการตั้งค่ารีจิสทรีที่ส่งผลให้เกิดการโต้ตอบ“ ถูกบล็อก” ระหว่างไคลเอนต์และเซิร์ฟเวอร์ในตารางความเข้ากันได้ในภายหลังในบทความนี้
17 เมษายน 2561
การปรับปรุงการปรับปรุงไคลเอนต์เดสก์ท็อประยะไกล (RDP) ใน KB 4093120 จะปรับปรุงข้อความแสดงข้อผิดพลาดที่แสดงเมื่อไคลเอนต์ที่ได้รับการปรับปรุงไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ที่ไม่ได้รับการปรับปรุง
8 พฤษภาคม 2018
การปรับปรุงเพื่อเปลี่ยนการตั้งค่าเริ่มต้นจากความเสี่ยงเป็น Mitigated
ที่มา: https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018 [1]
ดูเพิ่มเติมที่กระทู้ reddit นี้:
https://www.reddit.com/r/sysadmin/comments/8i4coq/kb4103727_breaks_remote_remote_desktop_connections_over/ [2]
วิธีแก้ปัญหาของ Microsoft:
- อัปเดตเซิร์ฟเวอร์และไคลเอนต์ (ต้องรีสตาร์ทแนะนำ)
ไม่แนะนำวิธีแก้ไขหากเซิร์ฟเวอร์ของคุณพร้อมใช้งานแบบสาธารณะหรือถ้าคุณไม่มีการควบคุมปริมาณการใช้งานที่เข้มงวดในเครือข่ายภายในของคุณ แต่บางครั้งการรีสตาร์ทเซิร์ฟเวอร์ RDP ในเวลาทำงานก็ไม่เป็นไร
- ตั้งค่านโยบายการแก้ไข CredSSP ผ่าน GPO หรือรีจิสทรี (ต้องรีสตาร์ทหรือ gpupdate / แรง)
- ถอนการติดตั้ง KB4103727 (ไม่ต้องรีสตาร์ท)
- ฉันคิดว่าการปิดใช้งาน NLA (Network Layer Authentication) อาจใช้งานได้เช่นกัน (ไม่ต้องรีสตาร์ท)
โปรดเข้าใจความเสี่ยงเมื่อใช้สิ่งเหล่านี้และแก้ไขระบบของคุณโดยเร็ว
[1] คำอธิบาย GPO CredSSP ทั้งหมดและการแก้ไขรีจิสทรีมีการอธิบายไว้ที่นี่
[2] ตัวอย่างของ GPO และการตั้งค่ารีจิสทรีในกรณีที่ไซต์ของ Microsoft ไม่ทำงาน