[English]Im Vorfeld des Patchday und kommender Updates noch ein kleiner Hinweis auf CredSSP-Updates für Windows. Diese können zu Konflikten bei Remote Desktop-Verbindungen zwischen Linux und Windows führen.
Ein paar Hintergrundinformationen zu CredSSP
In allen Windows-Versionen gibt es eine kritische Sicherheitslücke im Credential Security Support Provider (CredSSP). Die Sicherheitslücke CVE-2018-0886 ermöglicht nun Remote-Angreifern, RDP- und WinRM-Verbindungen zum Stehlen von Daten oder zum Ausführen von Malware zu nutzen. Ich hatte auf dieses Thema kürzlich im Blog-Beitrag CredSSP-Sicherheitslücke in RDP unter Windows hingewiesen.
Microsoft beginnt daher aus Sicherheitsgründen damit, nicht gepatchte Systeme von RDP-Verbindungen auszuschließen. Ich hatte im Blog-Beitrag Microsoft blockt bald RDP-Anfragen von Clients auf das Thema hingewiesen. Am 17. April ist das nächste RDP-Update geplant. Microsoft hat in KB4093492 (CredSSP updates for CVE-2018-0886) für Windows Clients und Windows Server zusammen gefasst, was man wissen soll.
Was ist rdesktop?
Bei rdesktop handelt es sich um ein Open Source-Programm, welches eine RDP-Verbindung von Unix-artigen Betriebssystemen zu Microsoft Windows herstellen kann (siehe diesen Wikipedia-Artikel). Dieses Wiki beschreibt die Nutzung des Programms unter Ubuntu.
Achtung: CredSSP kollidiert mit rdesktop
Nun gibt es aber wohl ein Problem im Zusammenspiel von rdesktop und den von Microsoft geplanten CredSSP-Änderungen. Ich bin bei administrator.de auf diese aktuelle Warnung eines Administrators gestoßen. Der Nutzer schreibt:
KB4093492 beschreibt notwendige Patches und Policies, um CredSSP abzusichern, welches unter anderem bei RDP-Verbindungen mit Single Sign on zum Einsatz kommt.
Solltet Ihr das in Eurem Netzwerk gepatcht und abgesichert haben, achtet darauf, ob Remoteverbindungen von Linuxclients aus (mittels z.B. rdesktop) noch funktionieren.
Hier, auf SUSE Leap, kann keine RDP-Verbindung mehr zu Windowsrechnern hergestellt werden, es sei denn, man deaktiviert windowsseitig NLA.
Sonst kommt auf Linux der Fehler „CredSSP required by server“
Also: für Kompatibilität mit rdesktop (falls benötigt) entweder ganz auf NLA verzichten, oder den Patch auf „mitigated“ einstellen, nicht auf „Force updated clients“!->Falls Ihr die GPO auf „Force updated clients“ eingestellt haben solltet und dennoch kompatible Linux-RDP-Clients habt, würde mich sehr interessieren, welche das sind.
Der Betroffene schreibt, wenn er Network Level Authentication (NLA) auf dem Windows Server deaktiviert, funktioniert die RDP-Verbindung von Linux. Network Level Authentication war mit RDP 6.0 (ab Windows Vista unterstützt) eingeführt worden. NLA erfordert eine Authentifizierung des Nutzers, bevor eine Remote Desktop Session mit dem Server aufgebaut wird (Microsoft beschreibt hier die Vorteile – z.B. Schutz vor Denial of Service-Angriffe).
NLA verwendet CredSSP, um die Anmeldeinformationen des Benutzers am Server für die Authentifizierung vor dem Erstellen einer Sitzung zu präsentieren. Wenn Microsoft jetzt an CredSSP herum patcht, hat das Einfluss auf die RDP-Verbindungen, wie der Nutzer oben schreibt.
Ich bin beim Erstellen des Artikels auf diesen Technet-Forenbeitrag gestoßen, wo es sporadisch Probleme unter Windows 7 mit RDP-Verbindungen mit Windows Server 2012 R2 gab. Dort war es allerdings ein RDS-Zertifikat, was wohl die Probleme versursacht hatte. Ist zwar eine andere Baustelle, ich fand die Ausführungen aber recht interessant.
Der Fehler „CredSSP required by server“
Der Fehler „CredSSP required by server“ ist wohl eine Dauerbaustelle zwischen Linux und Windows, wenn ich diesen Artikel richtig interpretiere. Interessant ist dieser Artikel, weil er Hintergründe und Maßnahmen zur Abhilfe beschreibt. Dort wird Freerdp als RDP-Client vorgeschlagen, da dieser wohl funktioniert.
Es kann sein, dass es jetzt eine Einzelbeobachtung ist (ich kann aus diversen Gründen momentan nichts testen) – ihr könnt ja hier ggf. eine Rückmeldung geben, ob ihr betroffen seid und falls ihr das anders gelöst habt.
Ähnliche Artikel:
CredSSP-Sicherheitslücke in RDP unter Windows
Microsoft blockt bald RDP-Anfragen von Clients
Windows-Remoteunterstützung als Risiko