CVE-2018-0886 の CredSSP の更新プログラムについて

こんにちは。Windows サポート チームの矢澤です。
今回は CVE-2018-0886 にて公開された CredSSP の脆弱性対応の更新プログラム (KB4093492) に関する注意事項についてご案内いたします。(2018/04/27, 2018/05/02, 2018/05/09 追記)
 

1. 更新プログラムの注意事項 1
3 月または 5 月のセキュリティ更新プログラムを適用することで CredSSP を利用した通信 (RDP 接続、WinRM、リモートでの PowerShell など) の脆弱性に対応することができます。しかしながら、クライアントのみに更新プログラムを適用しただけでは脆弱性対応は有効とならず、サーバー側でも更新プログラムを適用する必要がございます。また、以下の公開情報に記載されている通り段階的な変更となり、サーバー側に 3 月または 5 月のセキュリティ更新プログラムが適用されておらず、クライアント側にグループ ポリシーの設定をしない状態で 5 月の更新プログラムを適用すると CredSSP を利用した通信が失敗いたしますのでご注意ください。なお、脆弱性を含む通信を確実に実施させないためには、後述する 5 月の更新プログラムを適用するまではグループ ポリシーの設定が必要となります。

Link: CVE-2018-0886 の CredSSP の更新プログラム (KB4093492)
 
OS 毎に適用する KB 番号が異なりますので、以下のリンクからご確認ください。(5 月の更新プログラムにて 3 月の更新プログラムにて対策された CredSSP の脆弱性対策を上書きいたします)
Link: CVE-2018-0886 | CredSSP のリモートでコードが実行される脆弱性

2. 更新プログラムの注意事項 2

3 月の更新プログラムを適用することで、脆弱性に対応するモジュールがインストールされると同時にグループ ポリシーの管理用テンプレートに [Encryption Oracle Remediation] が追加されます。3 月の更新プログラムにおける [未構成] 時の既定値が [Vulnerable] となりますので、サーバーに更新プログラムが適用されていない状態においてもクライアントからの接続が失敗することはございません。確実に脆弱性への対応をさせるためには、クライアントおよびサーバーに更新プログラムを適用し、かつ、[Encryption Oracle Remediation] の設定を [Mitigated] もしくは [Force updated clients] に変更する必要がございます。

グループ ポリシーの詳細と設定値における動作マトリックスについては公開情報に記載がございます。なお、相互運用性一覧に記載されている「クライアント」「サーバー」はあくまで役割を示しておりますので、例えば Windows 10 同士で RDP 接続を実施している場合には接続先の Windows 10 は「サーバー」の役割となりますのでご注意ください。

Link: CVE-2018-0886 の CredSSP の更新プログラム (KB4093492)

3. 「4 月の更新プログラム」について

4 月 18 日にリリースされたロールアップのプレビュー版を適用し、グループ ポリシーにてクライアントに [Mitigated] もしくは [Force updated clients] が設定されており、かつ、サーバー側に更新プログラムが未適用の場合に、リモート デスクトップ接続に失敗した時にクライアント側に出力されるエラー メッセージが以下のように変更されます。なお、本修正プログラムの適用により、表示されるメッセージは変更されますが、リモート デスクトップ接続可否の動作に変更はございません。
なお、公開情報に記載されている通り、エラーメッセージの変更は Windows 8.1 / Windows Server 2012 R2 以降のみで対応しており、それ以前の OS ではエラー メッセージの変更はございません。

4. 「5 月の更新プログラム」について

5 月 9 日にリリースされた更新プログラム (Security-Only, Mothly Rollup) を適用することで、[Encryption Oracle Remediation] の[未構成] 時の既定値が [Vulnerable] から [Mitigated] に変更されます。そのため、クライアントに 5 月の更新プログラムが適用された状態において、サーバー側に3 月以降の更新プログラムが適用されていない場合には、上記のエラーメッセージが出力され CredSSP を利用する RDP 接続などに失敗しますので、クライアントに 5 月の更新プログラムを適用いただく前に、サーバー側に 3 月以降の更新プログラムが適用されているかをご確認ください。なお、この更新プログラムでは [未構成] 時における既定値のみが変更されますので、事前にグループ ポリシーにて [Vunelrable] を設定しておくことで 5 月の更新プログラムを適用したとしてもクライアントからの通信が失敗することはございません。
また、クライアント側に 3 月以降の更新プログラムが適用されておらず、サーバー側に 5 月の更新プログラムが適用される場合には、サーバー側としては [Mitigated] となりますが、クライアントとは動作が異なり、クライアント側に 3 月分が適用れていない場合にも接続が失敗することはございません。
なお、5 月のセキュリティ更新プログラムは 3 月のセキュリティ更新プログラムにおいて対応された CredSSP の脆弱性対策を上書きいたしますので、3 月の更新プログラムが未適用の場合においても 5 月の更新プログラムを適用することで脆弱性の対策が可能となります。

5. 「3 月の更新プログラム」適用後に発生するネットワークの問題について

3 月の更新プログラムを適用すると、ネットワークに問題が発生する事象が報告されておりますので、以下の記事をご参照いただき、適用をお願いいたします。

Link: 3 月の更新プログラムを適用すると無線 LAN,有線 LAN 利用時に問題が発生する (Windows 7 / Windows Server 2008 R2)
Link: 3 月の更新プログラムを適用すると有線 LAN 利用時に問題が発生する (Windows Server 2008)

6. 「3 月の更新プログラム」適用後の設定変更時における再起動の必要性について
グループ ポリシーにて設定を変更した場合には再起動が必要となりますが、CredSSP を読み込むタイミングによっては再起動が必要としないアプリケーションもございます。確実にグループ ポリシーの設定を変更させたい場合には再起動を実施ください。

7. RDP におけるNLA (Network Level Authentication) を無効化することによる影響
上記の注意事項 1 の発生を未然に防ぐため、NLA を無効化する事を検討する方もいらっしゃると思います。また、NLA を無効化することで CredSSP を利用しなくなるため、本脆弱性における影響は受けません。しかしながら、以下の通りセキュリティレベルを下げる状態となりますので、弊社としては NLA を無効化する事は推奨しておりません。

NLA は RDP 接続時に接続先端末がユーザーとのセッションを確立する前にユーザー認証を要求し、セキュリティを強化するための認証方法です。NLA を無効にした場合、RDP 接続時のセッションが確立後に認証が行われるため、暗号化レベルが低下します（Windows Server 2003 と同様のセキュリティ レベル）。すなわち、資格情報を確認する前に、セッション ホスト サーバーへのセッションが確立されてしまうため、この点を突く悪意のある攻撃があった場合、セッションを乱立させることでポートが枯渇し、セッション ホスト サーバーが使用できない状態に陥るような、セキュリティが低い事による弱点をさらす事になりますのでご注意ください。

Link: Windows Server 2008 R2: ネットワーク レベル認証を使用すべき理由
Link: Configure Server Authentication and Encryption Levels
Link: Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について

8. リモート デスクトップ接続における影響
リモート デスクトップ 接続に関する影響を以下の弊社 Blog にてご案内しておりますのでご参照ください。

Link: 2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響

更新履歴
2018/04/20 : 本 Blog の公開
2018/04/27 : 本 Blog の追記 (4 の内容変更、6, 7 の追記)
2018/05/02 : 本 Blog の追記 (8 の追記)
2018/05/09 : 本 Blog の追記 (更新プログラムのリリースを受けて全体的な見直しと 3, 4 の内容変更)