Errore di crittografia CredSSP

Se avete provato a connettervi a un server remoto tramite il protocollo RDP (Remote Desktop Protocol) e avete ricevuto il seguente messaggio di errore:

Errore di crittografia CredSSP

“Impossibile connettersi al computer remoto a causa di un errore di crittografia CredSSP (Credential Security Support Provider). Questo potrebbe essere dovuto alla configurazione del criterio di crittografia CredSSP sul server. Per ulteriori informazioni, consultare la documentazione del server o contattare l’amministratore del sistema.”

Allora siete incappati in un problema noto come “errore CredSSP Encryption Oracle Remediation”. L’errore di crittografia CredSSP si verifica quando il client e il server hanno una versione diversa del protocollo CredSSP, che è usato per autenticare le credenziali degli utenti e crittografare i dati trasmessi tra le due parti.

CredSSP è un protocollo che consente al client RDP di delegare le proprie credenziali al server remoto per eseguire operazioni che richiedono privilegi elevati, come l’installazione di software o la modifica delle impostazioni di sistema. Tuttavia, questo protocollo è vulnerabile ad un attacco di tipo “man-in-the-middle” in cui un malintenzionato può intercettare le credenziali del client e usarle per eseguire operazioni non autorizzate sul server remoto.

Il problema è stato introdotto da un aggiornamento di sicurezza di Windows rilasciato a marzo 2018, che ha modificato il comportamento di CredSSP per prevenire un tipo di attacco chiamato “oracle padding”.

Per risolvere questo errore, ci sono due possibili soluzioni:

  1. Aggiornare il client e il server allo stesso livello di patch di sicurezza. Questa è la soluzione più consigliata, in quanto garantisce la massima protezione contro gli attacchi basati su CredSSP. Per verificare se il vostro sistema è aggiornato, potete usare lo strumento Windows Update o consultare il sito web Microsoft Update Catalog.
  2. Modificare le impostazioni del registro di sistema del client per consentire la connessione RDP anche se il server non è aggiornato. Questa è una soluzione temporanea, che comporta un rischio di sicurezza maggiore, in quanto espone il client agli attacchi basati su CredSSP. Per applicare questa soluzione, dovete seguire questi passi:
    • Aprire l’editor del registro di sistema (regedit.exe) e navigare alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
    • Creare un nuovo valore DWORD (32 bit) chiamato AllowEncryptionOracle e impostarlo a 2
    • Riavviare il computer
    • Tentare nuovamente la connessione RDP al server remoto
  3. Modificare il criterio di gruppo sul client o sul server per consentire la connessione con una versione precedente di CredSSP. Questa è una soluzione temporanea, che può esporre il sistema a rischi di sicurezza. Per modificare il criterio di gruppo, seguire questi passaggi:
    • Aprire l’editor dei criteri di gruppo locale (gpedit.msc) sul client o sul server.
    • Navigare fino a Configurazione computer > Modelli amministrativi > Sistema > Delega credenziali.
    • Fare doppio clic sulla voce “Correzione oracolo crittografia CredSSP” e impostarla su “Abilitata”.
    • Scegliere “Vulnerabile”o “Mitigato” tra le opzioni disponibili nel menu a discesa “Protezione oracolo crittografia CredSSP”. Le opzioni sono:
      • Forza aggiornamento: richiede che il server sia aggiornato alla stessa versione del client. Se il server non è aggiornato, la connessione viene rifiutata. Questa è l’opzione predefinita dopo l’aggiornamento di sicurezza.
      • Mitigato: consente la connessione con un server non aggiornato, ma solo se il client è protetto da un firewall o da un gateway RDP. Questa opzione riduce il rischio di attacco, ma non lo elimina completamente.
      • Vulnerabile: consente la connessione con qualsiasi server, indipendentemente dalla sua versione. Questa opzione espone il client a un alto rischio di attacco e dovrebbe essere usata solo in casi eccezionali.
    • Fare clic su OK per salvare le modifiche.
    • Riavviare il client o il server per applicare le modifiche.
Modificare il criterio di gruppo

Spero che questa guida vi sia stata utile per risolvere l’errore CredSSP Encryption Oracle Remediation.