出現身分識別驗證錯誤,要求的函數不受支援(這可能是由於CredSSP加密Oracle修正)

標籤：CredSSP加密Oracle修正   出現身分識別驗證錯誤   要求的函數不受支援   CredSSP   遠端連線錯誤   

問題描述：

從5月8\9日開始用戶端Win10\WinSer2016突然無法訪問測試環境下所有遠程Win Ser2012/16資源，提示"出現身分識別驗證錯誤。要求的函數不受支援... 這可能是由於CredSSP加密Oracle修正..." Win7中英文版本分別提示"發生身分識別驗證錯誤。要求的函數不受支援"或"An authentication error has occurred and the required function is not supported"

問題：

Win7報錯：

具體資訊：

遠端桌面連線報錯：

出現身分識別驗證錯誤。要求的函數不受支援

遠端電腦：*.*.*.*

這可能是由於CredSSP加密Oracle修正。

要瞭解詳細資料，請訪問https://go.microsoft.com/fwlink/?linkid=866660

問題排查：

根據提示我們訪問https://go.microsoft.com/fwlink/?linkid=866660

發現是因為CVE-2018-0886 的 CredSSP 更新導致該問題的發生。簡單瞭解下CredSSP：

憑據安全性支援提供者協議 (CredSSP) 是處理其他應用程式的身分識別驗證請求的身分識別驗證提供者。

CredSSP 的未修補版本中存在遠程代碼執行漏洞。 成功利用此漏洞的攻擊者可以在目標系統上中繼使用者憑證以執行代碼。任何依賴 CredSSP 進行身分識別驗證的應用程式都可能容易受到此類攻擊。

此安全更新通過更正CredSSP在身分識別驗證過程中驗證請求的方式來修複此漏洞。

解決方案：

修改本機群組策略：

電腦配置>系統管理範本>系統>憑據分配>加密Oracle修正 選擇啟用並選擇"易受攻擊"。

易受攻擊–使用CredSSP的用戶端應用程式將通過支援回退到不安全的版本使遠程伺服器遭受攻擊，但使用CredSSP的服務將接受未修補的用戶端。

English:

Group Policy ->Computer Configuration->Administrative Templates->System->Credentials Delegation>Encrypted Oracle Remediation change to Vulnerable

Vulnerable – Client applications that use CredSSP will expose the remote servers to attacks by supporting fallback to insecure versions, and services that use CredSSP will accept unpatched clients.

步驟如下：

1.開啟本機群組策略：

2.依次展開電腦配置>系統管理範本>系統>憑據分配>加密Oracle修正 ，啟用加密Oracle修正並選擇"易受攻擊",單擊確定完成設定。

3.配置選項如下：

補充：加密 Oracle 修複

此原則設定適用於使用 CredSSP 組件的應用程式(例如: 遠端桌面連線)。

CredSSP 協議的某些版本容易受到針對用戶端的加密 oracle 攻擊。此策略控制與易受攻擊的用戶端和伺服器的相容性。此策略允許你設定加密 oracle 漏洞所需的保護層級。

如果啟用此原則設定，將根據以下選項選擇 CredSSP 版本支援:

1. 強制更新的用戶端:使用 CredSSP 的用戶端應用程式將無法回退到不安全的版本，使用 CredSSP 的服務將不接受未修補的用戶端。注意: 在所有遠程主機支援最新版本之前，不應部署此設定。

2. 減輕:使用 CredSSP 的用戶端應用程式將無法回退到不安全的版本，但使用 CredSSP 的服務將接受未修補的用戶端。有關剩餘未修補用戶端所造成的風險的重要訊息，請參見下面的連結。

3. 易受攻擊:如果使用 CredSSP 的用戶端應用程式支援回退到不安全的版本，遠程伺服器將容易遭受攻擊，使用 CredSSP 的服務將接受未修補的用戶端。

參考連結：

https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

https://support.microsoft.com/zh-cn/help/20180508/security-update-deployment-information-may-08-2018

https://thehackernews.com/2018/03/credssp-rdp-exploit.html

https://blog.preempt.com/security-advisory-credssp

http://www.freebuf.com/vuls/166537.html

出現身分識別驗證錯誤,要求的函數不受支援(這可能是由於CredSSP加密Oracle修正)