1.9K
Microsoft lanzó una actualización de seguridad que corrige una vulnerabilidad de ejecución remota de código en el Protocolo de proveedor de soporte de seguridad de credenciales (CredSSP) en marzo de 2018. Esta vulnerabilidad (CVE-2018-0886) permite a un atacante ejecutar de forma remota código arbitrario en un host Windows vulnerable con un puerto RDP abierto (TCP/3389).
Cualquier aplicación o servicio que utilice el proveedor CredSSP para la autenticación puede ser vulnerable a este tipo de ataque. En mayo de 2018, una actualización, “2018-05 Solo seguridad/Resumen mensual,» fue lanzado. Esta actualización de seguridad bloquea la conexión RDP hacia y desde computadoras con una versión afectada de CredSSP.
Comprobar si el parche CredSSP está instalado
Si el cliente o servidor RDP no tiene instalada la actualización CredSSP, el intento de conexión RDP se bloquea y aparece el siguiente error:
Se ha producido un error de autenticación.
La función no es compatible.Computadora remota: nombre de host
Esto podría deberse a la corrección de Oracle de cifrado CredSSP.
La mejor manera de verificar si su computadora se ve afectada por este cambio es determinar la Versión %systemroot%\system32\TSpkg.dll y compárelo con la siguiente tabla por sistema operativo.
Sistema operativo | Versión TSpkg.dll con parche CredSSP |
Windows 7 Service Pack 1 / Windows Server 2008 R2 Service Pack 1 | 6.1.7601.24117 |
Servidor Windows 2012 | 6.2.9200.22432 |
Windows 8.1/Servidor Windows 2012 R2 | 6.3.9600.18999 |
RS1 – Windows 10 versión 1607 / Windows Server 2016 | 10.0.14393.2248 |
RS2 – Windows 10 versión 1703 | 10.0.15063.1088 |
RS3-Windows 10 1709 | 10.0.16299.431 |
Si el TSpkg.dll La versión en su computadora es inferior, entonces su computadora no está parcheada. El siguiente comando recuperó el TSpkg.dll versión.
(Get-ItemProperty -Path $env:SystemRoot\System32\TSpkg.dll).VersionInfo | Format-List
La siguiente captura de pantalla muestra que la computadora con Windows Server 2016 no está parcheada porque la versión (10.0.14393.0) está debajo de la versión parcheada (10.0.14393.2248).
La siguiente captura de pantalla es de una computadora con Windows 10 actualizada, por lo que TSpkg.dll La versión es superior.
Interoperabilidad servidor-cliente CredSSP
La actualización de CredSSP introdujo esta clave de registro.
Ruta de registro | HKLM |
Valor | Permitir cifradoOracle |
Tipo de fecha | DWORD |
Los valores posibles para esta clave de registro son:
Valor de registro | Equivalente de política |
0 | Forzar clientes actualizados |
1 | mitigado |
2 | Vulnerable |
Nota. Cuando se instala la actualización CredSSP, el valor predeterminado Permitir cifradoOracle el valor es 1 (Mitigado).
Según la tabla anterior, la interoperabilidad entre la configuración de la política RDP CredSSP del servidor y del cliente se muestra en la siguiente tabla.
En resumen, el error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP» solo ocurre si alguna de las dos computadoras involucradas en la conexión RDP no ha instalado la actualización de seguridad de CredSSP.
Solución recomendada para solucionar el error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP»
La mejor solución para corregir el error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP» es aplicar la actualización de CredSSP a todas las computadoras.
La actualización de CredSSP se instala automáticamente a través de Windows Update. Asegurarse de que su computadora obtenga la última actualización solucionará este error.
Pero si sus servidores no reciben actualizaciones automáticamente, consulte la Actualizaciones de CredSSP para CVE-2018-0886 artículo para encontrar la actualización adecuada para su computadora.
Solución alternativa para evitar el error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP»
Si aplicar la actualización de CredSSP no es una opción, o al menos no es una opción inmediata, puede implementar temporalmente una de las dos soluciones.
Recordatorio: Estas soluciones alternativas están pensadas como soluciones temporales. Una vez que haya completado sus tareas o haya actualizado los sistemas con los últimos parches de seguridad de CredSSP, debe revertir los cambios que realizó.
Modificar la política de grupo “Remediación de Oracle de cifrado”
- Abra el Editor de políticas de grupo local en la computadora con el parche CredSSP instalado.
gpedit.msc - Navegar a Configuración del equipo → Plantillas administrativas → Sistema → Delegación de credenciales → Haga doble clic en la política «Remediación de Oracle de cifrado».
- Cambiar el Nivel de protección a Vulnerable y haga clic DE ACUERDO.
- Cierra el Editor de políticas de grupo local.
Modificar el registro “AllowEncryptionOracle”
Nota. El “Remediación de Oracle de cifrado” La política de grupo sobrescribe los cambios que realiza en la “PermitirOracle de cifrado” registro.
También podemos omitir temporalmente el error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP» modificando el «Permitir cifradoOracle”valor de registro para 2 (Vulnerable).
Abra un símbolo del sistema elevado o PowerShell y ejecute el siguiente comando.
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /f /v AllowEncryptionOracle /t REG_DWORD /d 2
Una vez que ejecuta el comando, cambia el «Permitir cifradoOracle”valor en el registro.
Puede modificar el mismo elemento de registro en una computadora remota mediante la comunicación remota de PowerShell.
# Connect to the remote computer Enter-PSSession -ComputerName <REMOTE COMPUTER> # Change the AllowEncryptionOracle value to 2 (Vulnerable) Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters' -name "AllowEncryptionOracle" 2 -Type DWord
Deshabilite la “Autenticación a nivel de red (NLA)” en el servidor RDP
Deshabilitar el NLA en una máquina remota no es la mejor práctica. Aún así, puede ser necesario si no puede acceder mediante RDP debido al error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP».
Para deshabilitar el NLA en el servidor RDP, abra el Propiedades del sistema ejecutando el sysdm.cpl dominio.
Cambie a la pestaña Remoto, desmarque «Permitir conexiones solo desde computadoras que ejecutan escritorio con autenticación de nivel de red (recomendado)«cuadro y haga clic en DE ACUERDO.
También puede usar PowerShell para desactivar NLA ejecutando este comando:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "UserAuthentication" -Value 0
Conclusión
El Actualizaciones de CredSSP para CVE-2018-0886 se lanzaron por primera vez en marzo de 2018 para sistemas que se ejecutan en Windows 10 1709 y Windows Server 2016 1607 y versiones anteriores. Desde entonces, las versiones más nuevas de Windows ya incluyen este parche de seguridad.
Por lo tanto, si su organización mantiene todas las computadoras actualizadas, el error «Esto podría deberse a la corrección de Oracle de cifrado CredSSP» ya no debería ocurrir. Pero si así fuera, aún puedes probar las soluciones alternativas de este tutorial.