出現身份驗證錯誤,要求的函數不受支持(這可能是由於CredSSP加密Oracle修正)
從5月8\9日開始客戶端Win10\WinSer2016突然無法訪問測試環境下所有遠程Win Ser2012/16資源,提示"出現身份驗證錯誤。要求的函數不受支持... 這可能是由於CredSSP加密Oracle修正..." Win7中英文版本分別提示"發生身份驗證錯誤。要求的函數不受支持"或"An authentication error has occurred and the required function is not supported"
問題截圖:
Win7報錯截圖:
具體信息:
遠程桌面連接報錯:
出現身份驗證錯誤。要求的函數不受支持
遠程計算機:*.*.*.*
這可能是由於CredSSP加密Oracle修正。
要了解詳細信息,請訪問https://go.microsoft.com/fwlink/?linkid=866660
問題排查:
根據提示我們訪問https://go.microsoft.com/fwlink/?linkid=866660
發現是因為CVE-2018-0886 的 CredSSP 更新導致該問題的發生。簡單了解下CredSSP:
憑據安全支持提供程序協議 (CredSSP) 是處理其他應用程序的身份驗證請求的身份驗證提供程序。
CredSSP 的未修補版本中存在遠程代碼執行漏洞。 成功利用此漏洞的攻擊者可以在目標系統上中繼用戶憑據以執行代碼。任何依賴 CredSSP 進行身份驗證的應用程序都可能容易受到此類攻擊。
此安全更新通過更正CredSSP在身份驗證過程中驗證請求的方式來修復此漏洞。
解決方法:
修改本地組策略:
計算機配置>管理模板>系統>憑據分配>加密Oracle修正 選擇啟用並選擇"易受攻擊"。
易受攻擊–使用CredSSP的客戶端應用程序將通過支持回退到不安全的版本使遠程服務器遭受攻擊,但使用CredSSP的服務將接受未修補的客戶端。
English:
Group Policy ->Computer Configuration->Administrative Templates->System->Credentials Delegation>Encrypted Oracle Remediation change to Vulnerable
Vulnerable – Client applications that use CredSSP will expose the remote servers to attacks by supporting fallback to insecure versions, and services that use CredSSP will accept unpatched clients.
步驟如下:
1.打開本地組策略:
2.依次展開計算機配置>管理模板>系統>憑據分配>加密Oracle修正 ,啟用加密Oracle修正並選擇"易受攻擊",單擊確定完成設置。
3.配置選項如下:
補充:加密 Oracle 修復
此策略設置適用於使用 CredSSP 組件的應用程序(例如: 遠程桌面連接)。
CredSSP 協議的某些版本容易受到針對客戶端的加密 oracle 攻擊。此策略控制與易受攻擊的客戶端和服務器的兼容性。此策略允許你設置加密 oracle 漏洞所需的保護級別。
如果啟用此策略設置,將根據以下選項選擇 CredSSP 版本支持:
強制更新的客戶端:使用 CredSSP 的客戶端應用程序將無法回退到不安全的版本,使用 CredSSP 的服務將不接受未修補的客戶端。註意: 在所有遠程主機支持最新版本之前,不應部署此設置。
減輕:使用 CredSSP 的客戶端應用程序將無法回退到不安全的版本,但使用 CredSSP 的服務將接受未修補的客戶端。有關剩余未修補客戶端所造成的風險的重要信息,請參見下面的鏈接。
易受攻擊:如果使用 CredSSP 的客戶端應用程序支持回退到不安全的版本,遠程服務器將容易遭受攻擊,使用 CredSSP 的服務將接受未修補的客戶端。
參考鏈接:
https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
https://support.microsoft.com/zh-cn/help/20180508/security-update-deployment-information-may-08-2018
https://thehackernews.com/2018/03/credssp-rdp-exploit.html
https://blog.preempt.com/security-advisory-credssp
http://www.freebuf.com/vuls/166537.html
出現身份驗證錯誤,要求的函數不受支持(這可能是由於CredSSP加密Oracle修正)