Microsoft Security Bulletin MS14-068 - Critico
La vulnerabilità in Kerberos potrebbe consentire l'elevazione dei privilegi (3011780)
Pubblicato: 18 novembre 2014
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità segnalata privatamente in Microsoft Windows Kerberos KDC che potrebbe consentire a un utente malintenzionato di elevare privilegi di account utente di dominio senza privilegi a quelli dell'account amministratore di dominio. Un utente malintenzionato potrebbe usare questi privilegi elevati per compromettere qualsiasi computer nel dominio, inclusi i controller di dominio. Un utente malintenzionato deve disporre di credenziali di dominio valide per sfruttare questa vulnerabilità. Il componente interessato è disponibile in remoto per gli utenti con account utente standard con credenziali di dominio; questo non è il caso solo per gli utenti con credenziali dell'account locale. Quando è stato pubblicato questo bollettino sulla sicurezza, Microsoft era a conoscenza di attacchi limitati e mirati che tentano di sfruttare questa vulnerabilità.
Questo aggiornamento della sicurezza è valutato Critical per tutte le edizioni supportate di Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. L'aggiornamento viene fornito anche in modo approfondito per tutte le edizioni supportate di Windows Vista, Windows 7, Windows 8 e Windows 8.1. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il comportamento di verifica della firma nelle implementazioni di Windows di Kerberos. Per altre informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la vulnerabilità specifica.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3011780.
Software interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate. Altre versioni o edizioni superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Software interessato
| Sistema operativo | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Elevazione dei privilegi | Critico | 2478971 in MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Elevazione dei privilegi | Critico | 2478971 in MS11-013 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium (3011780) | Elevazione dei privilegi | Critico | 2478971 in MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | None | Nessuna classificazione di gravità[1] | None |
| Windows Vista x64 Edition Service Pack 2 (3011780) | None | Nessuna classificazione di gravità[1] | None |
| Windows Server 2008 | |||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3011780) | Elevazione dei privilegi | Critico | 977290 in MS10-014 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3011780) | Elevazione dei privilegi | Critico | 977290 in MS10-014 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3011780) | Elevazione dei privilegi | Critico | None |
| Windows 7 | |||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3011780) | None | Nessuna classificazione di gravità[1] | 2982378 in SA2871997 |
| Windows 7 per sistemi basati su x64 Service Pack 1 (3011780) | None | Nessuna classificazione di gravità[1] | 2982378 in SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3011780) | Elevazione dei privilegi | Critico | 2982378 in SA2871997 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3011780) | Elevazione dei privilegi | Critico | 2982378 in SA2871997 |
| Windows 8 e Windows 8.1 | |||
| Windows 8 per sistemi a 32 bit (3011780) | None | Nessuna classificazione di gravità[1] | None |
| Windows 8 per sistemi basati su x64 (3011780) | None | Nessuna classificazione di gravità[1] | None |
| Windows 8.1 per sistemi a 32 bit (3011780) | None | Nessuna classificazione di gravità[1] | None |
| Windows 8.1 per sistemi basati su x64 (3011780) | None | Nessuna classificazione di gravità[1] | None |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Elevazione dei privilegi | Critico | None |
| Windows Server 2012 R2 (3011780) | Elevazione dei privilegi | Critico | None |
| Opzione di installazione dei componenti di base del server | |||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) (3011780) | Elevazione dei privilegi | Critico | 977290 in MS10-014 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core) (3011780) | Elevazione dei privilegi | Critico | 977290 in MS10-014 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core) (3011780) | Elevazione dei privilegi | Critico | 2982378 in SA2871997 |
| Windows Server 2012 (installazione server Core) (3011780) | Elevazione dei privilegi | Critico | None |
| Windows Server 2012 R2 (installazione server Core) (3011780) | Elevazione dei privilegi | Critico | None |
Nota L'aggiornamento è disponibile per Windows Technical Preview e Windows Server Technical Preview. I clienti che eseguono questi sistemi operativi sono invitati a applicare l'aggiornamento, disponibile tramite Windows Update.
[1]Le classificazioni di gravità non si applicano per questo sistema operativo perché la vulnerabilità risolta in questo bollettino non è presente. Questo aggiornamento fornisce ulteriore protezione avanzata avanzata che non corregge alcuna vulnerabilità nota.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di novembre.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | ||
|---|---|---|
| Software interessato | Vulnerabilità del checksum Kerberos - CVE-2014-6324 | Valutazione della gravità aggregata |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2003 con SP2 per sistemi basati su Itanium (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows Server 2008 | ||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows 7 | ||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows 7 per sistemi basati su x64 Service Pack 1 (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows 8 e Windows 8.1 | ||
| Windows 8 per sistemi a 32 bit (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows 8 per sistemi basati su x64 (3011780) | ||
| Windows 8.1 per sistemi a 32 bit (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows 8.1 per sistemi basati su x64 (3011780) | Nessuna classificazione di gravità | Nessuna classificazione di gravità |
| Windows Server 2012 e Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2012 R2 (3011780) | Elevazione dei privilegi critici | Critico |
| Opzione di installazione dei componenti di base del server | ||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core) (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server Core) (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2012 (installazione server Core) (3011780) | Elevazione dei privilegi critici | Critico |
| Windows Server 2012 R2 (installazione server Core) (3011780) | Elevazione dei privilegi critici | Critico |
Vulnerabilità del checksum Kerberos - CVE-2014-6324
Esiste una vulnerabilità di elevazione remota dei privilegi nelle implementazioni di Kerberos KDC in Microsoft Windows. La vulnerabilità si verifica quando le implementazioni KDC di Microsoft Kerberos non riescono a convalidare correttamente le firme, consentendo l'aggiunta di determinati aspetti di un ticket di servizio Kerberos. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato pubblicato questo bollettino sulla sicurezza, Microsoft era a conoscenza di attacchi limitati e mirati che tentano di sfruttare questa vulnerabilità. Si noti che gli attacchi noti non hanno influito sui sistemi che eseguono Windows Server 2012 o Windows Server 2012 R2. L'aggiornamento risolve la vulnerabilità correggendo il comportamento di verifica della firma nelle implementazioni di Windows di Kerberos.
Fattori di mitigazione
I fattori di mitigazione seguenti possono essere utili nella situazione:
- Un utente malintenzionato deve disporre di credenziali di dominio valide per sfruttare questa vulnerabilità. Il componente interessato è disponibile in remoto per gli utenti con account utente standard con credenziali di dominio; questo non è il caso solo per gli utenti con credenziali dell'account locale.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Domande frequenti
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato potrebbe usare questa vulnerabilità per elevare un account utente di dominio senza privilegi a un account amministratore di dominio. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe rappresentare qualsiasi utente nel dominio, inclusi gli amministratori di dominio, e partecipare a qualsiasi gruppo. Rappresentando l'amministratore di dominio, l'utente malintenzionato potrebbe installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account in qualsiasi sistema aggiunto a un dominio.
In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
Un utente di dominio autenticato può inviare il KDC Kerberos Kerberos a un ticket Kerberos contraffatto che dichiara che l'utente è un amministratore di dominio. Kerberos KDC convalida in modo non corretto la firma del ticket contraffatto durante l'elaborazione delle richieste da parte dell'utente malintenzionato, consentendo all'utente malintenzionato di accedere a qualsiasi risorsa nella rete con l'identità di un amministratore di dominio.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
I controller di dominio configurati per fungere da Centro distribuzione chiavi Kerberos (KDC) sono principalmente a rischio.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (18 novembre 2014): Bollettino pubblicato.
Pagina generata 2015-01-14 11:40Z-08:00.