出現(xiàn)身份驗證錯誤,要求的函數(shù)不受支持(這可能是由于CredSSP加密Oracle修正)

從5月8\9日開始客戶端Win10\WinSer2016突然無法訪問測試環(huán)境下所有遠(yuǎn)程Win Ser2012/16資源，提示"出現(xiàn)身份驗證錯誤。要求的函數(shù)不受支持... 這可能是由于CredSSP加密Oracle修正..." Win7中英文版本分別提示"發(fā)生身份驗證錯誤。要求的函數(shù)不受支持"或"An authentication error has occurred and the required function is not supported"

問題截圖：

Win7報錯截圖：

具體信息：

遠(yuǎn)程桌面連接報錯：

出現(xiàn)身份驗證錯誤。要求的函數(shù)不受支持

遠(yuǎn)程計算機(jī)：*.*.*.*

這可能是由于CredSSP加密Oracle修正。

要了解詳細(xì)信息，請訪問https://go.microsoft.com/fwlink/?linkid=866660

問題排查：

根據(jù)提示我們訪問https://go.microsoft.com/fwlink/?linkid=866660

發(fā)現(xiàn)是因為CVE-2018-0886 的 CredSSP 更新導(dǎo)致該問題的發(fā)生。簡單了解下CredSSP：

憑據(jù)安全支持提供程序協(xié)議 (CredSSP) 是處理其他應(yīng)用程序的身份驗證請求的身份驗證提供程序。

CredSSP 的未修補(bǔ)版本中存在遠(yuǎn)程代碼執(zhí)行漏洞。 成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上中繼用戶憑據(jù)以執(zhí)行代碼。任何依賴 CredSSP 進(jìn)行身份驗證的應(yīng)用程序都可能容易受到此類攻擊。

此安全更新通過更正CredSSP在身份驗證過程中驗證請求的方式來修復(fù)此漏洞。

解決方法：

修改本地組策略：

計算機(jī)配置>管理模板>系統(tǒng)>憑據(jù)分配>加密Oracle修正 選擇啟用并選擇"易受攻擊"。

易受攻擊–使用CredSSP的客戶端應(yīng)用程序?qū)⑼ㄟ^支持回退到不安全的版本使遠(yuǎn)程服務(wù)器遭受攻擊，但使用CredSSP的服務(wù)將接受未修補(bǔ)的客戶端。

English:

Group Policy ->Computer Configuration->Administrative Templates->System->Credentials Delegation>Encrypted Oracle Remediation change to Vulnerable

Vulnerable – Client applications that use CredSSP will expose the remote servers to attacks by supporting fallback to insecure versions, and services that use CredSSP will accept unpatched clients.

步驟如下：

1.打開本地組策略：

2.依次展開計算機(jī)配置>管理模板>系統(tǒng)>憑據(jù)分配>加密Oracle修正 ，啟用加密Oracle修正并選擇"易受攻擊",單擊確定完成設(shè)置。

3.配置選項如下：

?

補(bǔ)充：加密 Oracle 修復(fù)

此策略設(shè)置適用于使用 CredSSP 組件的應(yīng)用程序(例如: 遠(yuǎn)程桌面連接)。

CredSSP 協(xié)議的某些版本容易受到針對客戶端的加密 oracle 攻擊。此策略控制與易受攻擊的客戶端和服務(wù)器的兼容性。此策略允許你設(shè)置加密 oracle 漏洞所需的保護(hù)級別。

如果啟用此策略設(shè)置，將根據(jù)以下選項選擇 CredSSP 版本支持:

強(qiáng)制更新的客戶端:使用 CredSSP 的客戶端應(yīng)用程序?qū)o法回退到不安全的版本，使用 CredSSP 的服務(wù)將不接受未修補(bǔ)的客戶端。注意: 在所有遠(yuǎn)程主機(jī)支持最新版本之前，不應(yīng)部署此設(shè)置。

減輕:使用 CredSSP 的客戶端應(yīng)用程序?qū)o法回退到不安全的版本，但使用 CredSSP 的服務(wù)將接受未修補(bǔ)的客戶端。有關(guān)剩余未修補(bǔ)客戶端所造成的風(fēng)險的重要信息，請參見下面的鏈接。

易受攻擊:如果使用 CredSSP 的客戶端應(yīng)用程序支持回退到不安全的版本，遠(yuǎn)程服務(wù)器將容易遭受攻擊，使用 CredSSP 的服務(wù)將接受未修補(bǔ)的客戶端。

參考鏈接：

https://support.microsoft.com/zh-cn/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

https://support.microsoft.com/zh-cn/help/20180508/security-update-deployment-information-may-08-2018

https://thehackernews.com/2018/03/credssp-rdp-exploit.html

https://blog.preempt.com/security-advisory-credssp

http://www.freebuf.com/vuls/166537.html