Solución al error CredSSP encryption oracle remediation

,
RDP error CredSSP encryption oracle remedation

Recientemente necesitaba conectarme a unas VPS Windows y al comenzar hacerlo, en cada una que me conectaba recibía un error debido a «CredSSP encryption oracle remediation«:

Error de conexión CredSSP

Error de conexión CredSSP

En el enlace que me surgieren, me encuentro que una nueva actualización de seguridad es la responsable de tal comportamiento. Compruebo mi versión de Windows y efectivamente está actualizado. Desde marzo de 2013 se describió la vulnerabilidad asociada con CredSSP (Credential Security Support Provider), el cual no es más que un protocolo proveedor de autenticación que procesa solicitudes de autenticación para otras aplicaciones.

Según Microsoft en la descripción de esta vulnerabilidad, denominada CVE-2018-0886, declara:

Existe una vulnerabilidad de ejecución remota de código en las versiones sin parchar de CredSSP. Un atacante que explote con éxito esta vulnerabilidad podría transmitir credenciales de usuario para ejecutar código en el sistema de destino. Cualquier aplicación que dependa de CredSSP para autenticación puede ser vulnerable a este tipo de ataque.

La solución consiste en actualizar el servidor como el cliente RDP. Desde un cliente Windows actualizado con el parche no es posible conectarse a un servidor Windows desactualizado (vulnerable). En este caso es necesario aplicar una de las variantes que proponemos a continuación y revirtir los cambios lo antes posible con el objetivo minimizar la duración de la vulnerabilidad introducida.

Versiones de no Windows Home

Desde un cliente Windows 10 Professional actualizado, debemos abrir el Editor de Políticas de Grupo: Inicio >> gpedit

Editor de Políticas de Grupo Windows 10 Pro - Parte 1

Editor de Políticas de Grupo Windows 10 Pro – Parte 1

A continuación seguimos la siguiente ruta para activar la política de seguridad «Encryption Oracle Remediation«:

  • Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation

Activamos la política anterior (clic en Enable) y el nivel de protección (Protection Level) lo cambiamos a Vulnerable:

Editor de Políticas de Grupo Windows 10 Pro - Parte 1

Editor de Políticas de Grupo Windows 10 Pro – Parte 1

Finalmente guardamos los cambios y podemos conectarnos sin problemas, pero con el sistema vulnerable.

Versiones Windows Home

Para los usuarios de versiones Windows Home pueden ejecutar desde el cmd (como administrador!!):

O de forma más sencilla: crear un archivo con extensión .reg y agregar el siguiente contenido:

Luego ejecutar el archivo para activar la nueva configuración en el registro de Windows.

Ahora podemos conectarnos tanto a los servidores Windows que no han sido actualizados, así como los actualizados. Es importante en la medida de las posibilidades mantener siempre el sistema operativo actualizado, por lo que los métodos descritos aquí solo son una forma de «resolver» temporalmente el problema de conexión con servidores Windows que no han sido actualizados.

9 comentarios
  1. David Dominguez
    David Dominguez Dice:

    Yo lo he hecho, pero desde PowerShell (se hace en 20 segundos):

    1 Click sobre icono de windows abajo a la izda de la barra.

    2 Escribir «POWERSHELL», y saldrá el icono del programa. No pulsar aun sobre el programa. Hay que ejecutarlo como administrador.

    3 Click derecho sobre el icono del programa Powershell y en la ventana emergente, pulsar «ejecutar como administrador».

    4 Después tan sencillo como copiar y pegar la línea indicada anteriormente, pulsar intro, y saldrá un mensaje confirmando que se ha añadido la línea correctamente. Listo, ya se puede acceder al escritorio remoto.
    Pongo de nuevo la línea tal cual hay que copiarla y pegarla en PowerShell:

    reg add «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /f /v AllowEncryptionOracle /t REG_DWORD /d 2

    Responder
  2. sergio serrano
    sergio serrano Dice:

    simplemente actualicen todo (servidor y cliente) y se arreglara mágicamente.

    si ingresan algo al registro borrar después de actualizar porque eso genera una vulnerabilidad

    Responder
  3. Adamista
    Adamista Dice:

    Hola, Ha funcionado la opción de la directiva de powershell. No obstante querría volver a activarlo. ¿Cómo se podría hacer?

    Responder
    • Carlos Bustillo
      Carlos Bustillo Dice:

      Si te refieres volver al estado inicial o sea sin vulnerabilidad, desde el Power Shell (como administrador):
      reg delete «HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters» /v AllowEncryptionOracle

      Lo anterior solo borrará el valor de registro AllowEncryptionOracle.

      Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *