Skip to content

Erro de conexão RDP após atualização de Maio de 2018 | CredSSP Remote Code Execution Vulnerability

Olá! Recebemos alguns chamados de clientes relatando não estar conseguindo conectar via RDP em alguns servidores. Vou explicar o por que isto ocorre, além de como corrigir.

Este erro ocorre devido á uma atualização que corrige uma vulnerabilidade do protocolo CredSSP. A Microsoft diz que “Existe uma vulnerabilidade de execução remota de código em versões não corrigidas do CredSSP. Um invasor que explora com êxito essa vulnerabilidade pode retransmitir as credenciais do usuário para executar o código no sistema de destino. Qualquer aplicativo que dependa do CredSSP para autenticação pode ser vulnerável a esse tipo de ataque.”

A Microsoft vem se preparando desde o dia 13 de Março para a ação tomada na atualização de Maio: “A versão inicial de 13 de março de 2018 atualiza o protocolo de autenticação CredSSP e os clientes da Área de Trabalho Remota para todas as plataformas afetadas.”

Na atualização do dia 13 de março foi adicionado política de grupo e registros, onde a recomendação é que o administrador modifique o status para Force updated clients ou Mitigated. cCom estas configurações o ambiente já ficaria mais seguro, entretanto poderá causar problemas de conexão RDP entre clientes e servidores desatualizados.

Outra atualização foi disponibilizada no dia 17 de Abril de 2018, onde essa aprimorou a mensagem de erro nos acessos RDP (Conforme imagem mostrada acima).

Na última atualização, do dia 8 de maio de 2018, a Microsoft alterou o a política do sistema atualizado de Vulnerable para Mitigated. Por padrão, depois que essa atualização é instalada, os clientes atualizados e corrigidos não podem se comunicar com servidores desatualizados.

Ok, mas como corrijo isso e volto a trabalhar normalmente?

A maneira correta e mais segura é: Atualizar.

Se está com este erro, seu computador cliente ou servidor está com a atualização e a política modificada. Neste caso você deve atualizar o outro lado, e após isso tudo volta a funcionar.
Entretanto esta atualização requer a reinicialização do computador/servidor e pode ser que você não tenha uma janela exatamente neste momento para isso. Uma solução temporária caso o erro venha a ocorrer é alterar a política de grupo (GPO) permitindo que todas suas conexões ocorram normalmente, entretanto esta opção não é segura. Isto deverá ser utilizado apenas como temporária até atualização completa de todo o seu ambiente.

Qual atualização devo instalar?

As atualizações estão disponíveis em https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886

Quais sistemas devo atualizar?

Basicamente, todas as versões do Windows 7, 8.1 e 10, Windows Server 2008, 2008 R2, 2012, 2012R2 e 2016.

Qual política devo modificar para permitir?

Computer Configuration -> Administrative Templates -> System -> Credentials Delegation
Encryption Oracle Remediation
Existem 3 opções para esta configuração: Force Updated ClientsMitigatedVulnerable.
Você deve alterar para Vulnerable afim de permitir novamente as conexões, entretanto utilize esta opção apenas para deixar seu ambiente operacional até que todas as atualizações sejam feitas.

Se você perceber que o cliente e o servidor estão corrigidos, mas a configuração de política padrão é Vulnerable, a conexão RDP é vulnerável para atacar. Quando a configuração padrão é modificada para Mitigated, a conexão fica segura por padrão.

Você pode verificar na tabela abaixo o comportamento da conexão de acordo com cada configuração aplicada. Esta tabela eu copiei de um artigo da Microsoft ao qual deixarei o link abaixo.

Você pode encontrar mais informações nos links abaixo, aos quais me baseei para criar este post.
https://blogs.technet.microsoft.com/askpfeplat/2018/05/07/credssp-rdp-and-raven/
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886

Published inSegurançaWindowsWindows Server

One Comment

  1. Rodrigo Andreata Rodrigo Andreata

    Outra forma que encontrei para contornar o problema (até poder reiniciar o servidor), foi usar o aplicativo de conexão remota do windows, localizado na Windows Store.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *