Após instalar a atualização cumulativa de Maio de 2018 (KB4103727) para Windows 10 através do Windows Update, alguns clientes telefonaram para a NetHouse Informática informando que perderam acesso aos servidores da Área de trabalho remota (RDP), sendo exibida a seguinte mensagem de erro:
Erro de autenticação.
Não há suporte para Função solicitadaComputador remoto: Uma possível causa seria uma correção de oráculo criptografia CredSSP.
Para mais informações, visite https://go.microsoft.com/fwlink/?linkid=866660
As atualizações listadas na CVE-2018-0886 da Microsoft trazem uma série de correções para diversos aplicativos do Windows, incluindo o Internet Explorer e, em especial, a Área de trabalho remota (RDP). A atualização para a Área de trabalho remota visa mitigar vulnerabilidades no CredSSP (detalhes sobre o funcionamento do CredSSP pode ser encontrado no post Autenticação em nível de rede escrito há alguns meses aqui no blog). A vulnerabilidade permite a um invasor (através de um ataque man-in-the-middle) retransmitir as credenciais do usuário ao servidor alvo para execução remota de código. Um atacante poderia instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com permissões totais de usuário. [3] A atualização corrige a forma como o CredSSP (Credential Security Support Provider) valida solicitações de logon durante o processo de autenticação. Todos os programas que utilizam o CredSSP (além da Área de trabalho remota) são vulneráveis sem a instalação da atualização. [1]
A atualização está disponível para os seguintes sistemas operacionais [3]:
- Windows 7 SP1
- Windows 8.1/RT 8.1
- Windows 10
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
A mensagem acima não será exibida caso a atualização esteja instalada tanto no cliente quanto no servidor. No entanto, se o o cliente estiver atualizado mas o servidor estiver desatualizado, haverá diferença nas versões disponíveis do CredSSP, causando uma falha de conexão. [2]
As configurações da Diretiva de grupo desabilitam o acesso por padrão (causando a falha na conexão) e os usuários deverão instalar a atualização da CVE-2018-0886 para estarem protegidos. [3]
Solução paliativa
Infelizmente, alguns clientes possuem versões legadas do Windows Server (como o Windows Server 2003), devido a necessidade de execução de programas legados (que, aos poucos, estão sendo migrados para outras plataformas). O Windows Server 2003 também suporta a Autenticação de nível de rede (CredSSP), porém, o Windows Server 2003 perdeu suporte oficial da Microsoft em 14 de Julho de 2015 e, portanto, não recebeu esta atualização de segurança. Porém, clientes que possuem a atualização CVE-2018-0886 instalada receberão a mensagem de erro acima devido ao servidor não possuir a atualização instalada.
Existem três soluções paliativas (caso você não possa instalar a atualização):
- Desinstalar a atualização CVE-2018-0886 correspondente ao sistema operacional em todos os computadores clientes. Esta solução paliativa NÃO é recomendada. Ela é uma atualização cumulativa que trás uma série de correções para diversos aplicativos do Windows, incluindo o Internet Explorer e a Área de trabalho remota (RDP). Além da desinstalação da atualização ser trabalhosa, dependendo do número de clientes com a atualização instalada, esta “solução” paliativa não seria eficaz por que a Microsoft possuí o costume de lançar atualizações cumulativas mensais e novas atualizações a possuirão embutida. A única forma de evitar a instalação da atualização seria desabilitando as atualizações automáticas. É extremamente NÃO recomendado desabilitar o Windows Update. Lembrando que o Windows Update não pode ser desabilitado no Windows 10.
- Desabilitar a Autenticação de nível de rede no servidor da Área de trabalho remota. Esta solução paliativa é extremamente NÃO recomendada, devido a expor ao servidor a ataques de ransomware e ataques de negação de serviço. Maiores detalhes podem ser encontrados no post Autenticação de nível de rede escrito há alguns meses aqui no blog.
- Alterar a Diretiva de grupo tanto de clientes quanto servidores da Área de trabalho remota que possuam a atualização instalada para que aceitem a conexão de parceiros que possuam versões anteriores do CredSSP instaladas. Apesar desta solução não ser recomendada (devido ao servidor continuar vulnerável a ameaça), esta é a “solução” paliativa mais recomendada caso você não possa instalar a atualização.
Para alterar a Diretiva de grupo, permitindo a conexão a parceiros que possuam versões anteriores do CredSSP instaladas, realize o seguinte procedimento tanto em clientes quanto servidores que possuam a atualização instalada [2]:
- Clique no botão iniciar, digite
gpedit.mscno teclado e clique em “gpedit.msc” que aparecerá na parte superior do menu.
- No Editor da Política de Grupo Local, expanda Configurações do Computador/Modelos Administrativos/Sistema/Delegação de Credenciais no painel esquerdo.
- No painel direito, dê botão direito na diretiva Correção do Oráculo de Criptografia e selecione Propriedades.
- Na janela Correção do Oráculo de Criptografia, selecione a opção Habilitado e, em Nível de Proteção, selecione Vulnerável e clique em OK.
Você também pode aplicar esta diretiva em lote através do Editor da Política de Grupo do Domínio do Active Directory, caso tanto os clientes quanto servidores da Área de trabalho remota pertençam a mesma floresta.
Caso você esteja utilizando a versão Home do Windows, ela não possui o Editor de diretiva de grupo. Porém, você ainda poderá alterar a configuração da diretiva através do registro do Windows.
Execute o Prompt de comando como administrador e execute o seguinte comando:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
O arquivo abaixo [2] possuí o mesmo efeito do comando acima e poderá ser executado tanto na versão Home do Windows, quanto em outras versões do Windows (por exemplo: Pro) para permitir a conexão de parceiros inseguros (tendo o mesmo efeito da edição da Diretiva de grupo através do Editor da Política de Grupo Local documentada acima).
- Copie o conteúdo da caixa abaixo para o Bloco de notas:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters] "AllowEncryptionOracle"=dword:00000002
- No menu Arquivo, clique em Salvar como….
- Em Nome, digite o nome do arquivo incluindo a extensão .reg (por exemplo:
AllowEncryptionOracle.reg). É importante declarar a extensão .reg, caso contrário, o Bloco de notas assumirá que você está criando um arquivo de texto puro e salvará o arquivo com a extensão .txt. - Após salvar o arquivo, ele deverá estar com o ícone de arquivos de registro do Windows, ao invés do ícone convencional de folha de arquivos de texto.
- Dê botão direito no arquivo salvo anteriormente e selecione a opção Mesclar.
- O Windows deverá perguntar se você deseja aplicar as alterações presentes no arquivo no Registro do Windows. Clique em Sim para continuar.
Referências
- Atualizações de CredSSP para a CVE-2018-0886. Suporte da Microsoft.
- Resolver o error de autenticação da área de trabalho remota RDP (Não há suporte para a função solicitada, CredSSP). Tutorial Tech.
- CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability. Microsoft Security TechCenter.
Eduardo Mozart 
Tentem isso na ma´quina cliente:
Pelo CMD
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\ /v AllowEncryptionOracle /t REG_DWORD /d 2
CurtirCurtir
Este comando possuí o mesmo efeito da execução do arquivo de registro (*.reg), porém, adicionarei sua contribuição ao post para aqueles que desejarem executar o comando em sessões remotas, por exemplo, sem a necessidade de criar ou transferir o arquivo de registro.
Obrigado pela contribuição!
Um abraço!
CurtirCurtir
Muito boa explicação. Parabéns. Me safou brilhantemente!!
CurtirCurtir
Fico feliz em ajudar Dayana!
Um abraço!
CurtirCurtir
Valeu !!! Muito útil, resolveu meu problema, e ainda esclareceu a situação com texto detalhado mas fácil. 😉
CurtirCurtir
Fico feliz que pude ajudar!
Um abraço!
CurtirCurtir
Obrigado Eduardo!
Infelizmente no trabalho ainda tenho servidores nesta situação. Funcionou aqui também. Valeu por compartilhar o conhecimento devido a explicação detalhada e a solução.
CurtirCurtir
Bom dia, Lucio!
Também trabalhamos com clientes com sistemas Windows Server legados que, infelizmente, por um motivo ou outro (principalmente financeiros ou compatibilidade com aplicações legadas), não podem ser migrados imediatamente. Mas aos poucos estamos migrando eles para Linux ou adquirindo servidores novos com licença do Windows Server pré-instalada.
Fico feliz que pude ajudar! Espero que você possa compartilhar teus conhecimentos com outras pessoas (mesmo que sejam apenas colegas de trabalho) também!
Um abraço! 😉
CurtirCurtir
Parabéns, Mto Bom
CurtirCurtir
Obrigado André!
CurtirCurtir
Olá Eduardo.
Gostaria de agradecer as explicações fornecidas no texto, foi de grande valia e ajudou a entender o problema.
Parabéns e obrigado.
Jeferson
CurtirCurtir
Obrigado Jeferson!
Comentários como o seu motivam a gente a continuar mantendo o blog! Em todos os posts aqui do blog, tento resumir o conteúdo e trazer as soluções em uma linguagem simples para que ela seja útil para as pessoas. Fico feliz que pude te ajudar! Um abraço! =)
CurtirCurtir
Cara. muito obrigado.
Foi o melhor post sobre o assunto que encontrei, muito bem explicado.
Apliquei a atualização no servidor e o problemas foi solucionado.
Agradeço a dedicação na criação desse post.
CurtirCurtir
Jean, obrigado pelo reconhecimento! Este post ajudou mais de 2 mil administradores de sistema, porém você foi o único que comentou agradecendo! Comentários como o seu motivam a gente a continuar escrevendo, documentando e ajudando outras pessoas sem cobrar nada por isso, apenas para difundir conhecimento! =)
Obrigado!
CurtirCurtir