Microsoft Security Bulletin MS14-068 – Kritisk
Sårbarhet i Kerberos kan tillåta utökade privilegier (3011780)
Publicerad: 18 november 2014
Version: 1.0
Sammanfattning
Den här säkerhetsuppdateringen löser en privat rapporterad säkerhetsrisk i Microsoft Windows Kerberos KDC som kan göra det möjligt för en angripare att höja behörigheterna för domänanvändarkontot som inte är privilegierade för domänadministratörskontot. En angripare kan använda dessa utökade privilegier för att kompromettera alla datorer i domänen, inklusive domänkontrollanter. En angripare måste ha giltiga autentiseringsuppgifter för domänen för att kunna utnyttja den här säkerhetsrisken. Den berörda komponenten är tillgänglig via fjärranslutning för användare som har standardanvändarkonton med domänautentiseringsuppgifter. Detta gäller inte endast för användare med autentiseringsuppgifter för lokala konton. När den här säkerhetsbulletinen utfärdades var Microsoft medveten om begränsade riktade attacker som försöker utnyttja den här sårbarheten.
Den här säkerhetsuppdateringen är kritisk för alla utgåvor av Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 och Windows Server 2012 R2. Uppdateringen tillhandahålls också på djupet för alla versioner av Windows Vista, Windows 7, Windows 8 och Windows 8.1 som stöds. Mer information finns i avsnittet Berörd programvara .
Säkerhetsuppdateringen åtgärdar säkerhetsrisken genom att korrigera signaturverifieringsbeteendet i Windows-implementeringar av Kerberos. Mer information om sårbarheten finns i avsnittet Vanliga frågor och svar om den specifika säkerhetsrisken.
Mer information om den här uppdateringen finns i Microsoft Knowledge Base-artikeln 3011780.
Programvara som påverkas
Följande programvara har testats för att avgöra vilka versioner eller utgåvor som påverkas. Andra versioner eller utgåvor har antingen passerat sin supportlivscykel eller påverkas inte. Information om hur du fastställer supportlivscykeln för din programvaruversion eller utgåva finns i Microsoft Support Lifecycle.
Programvara som påverkas
| Operativsystem | Maximal säkerhetspåverkan | Aggregerad allvarlighetsgrad | Uppdateringar ersatt |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Höjning av privilegier | Kritiskt | 2478971 i MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Höjning av privilegier | Kritiskt | 2478971 i MS11-013 |
| Windows Server 2003 med SP2 för Itanium-baserade system (3011780) | Höjning av privilegier | Kritiskt | 2478971 i MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Ingen | Ingen allvarlighetsgrad[1] | Ingen |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Ingen | Ingen allvarlighetsgrad[1] | Ingen |
| Windows Server 2008 | |||
| Windows Server 2008 för 32-bitars System Service Pack 2 (3011780) | Höjning av privilegier | Kritiskt | 977290 i MS10-014 |
| Windows Server 2008 för x64-baserade System Service Pack 2 (3011780) | Höjning av privilegier | Kritiskt | 977290 i MS10-014 |
| Windows Server 2008 för Itanium-baserade System Service Pack 2 (3011780) | Höjning av privilegier | Kritiskt | Ingen |
| Windows 7 | |||
| Windows 7 för 32-bitars System Service Pack 1 (3011780) | Ingen | Ingen allvarlighetsgrad[1] | 2982378 i SA2871997 |
| Windows 7 för x64-baserade System Service Pack 1 (3011780) | Ingen | Ingen allvarlighetsgrad[1] | 2982378 i SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (3011780) | Höjning av privilegier | Kritiskt | 2982378 i SA2871997 |
| Windows Server 2008 R2 för Itanium-baserade System Service Pack 1 (3011780) | Höjning av privilegier | Kritiskt | 2982378 i SA2871997 |
| Windows 8 och Windows 8.1 | |||
| Windows 8 för 32-bitarssystem (3011780) | Ingen | Ingen allvarlighetsgrad[1] | Ingen |
| Windows 8 för x64-baserade system (3011780) | Ingen | Ingen allvarlighetsgrad[1] | Ingen |
| Windows 8.1 för 32-bitarssystem (3011780) | Ingen | Ingen allvarlighetsgrad[1] | Ingen |
| Windows 8.1 för x64-baserade system (3011780) | Ingen | Ingen allvarlighetsgrad[1] | Ingen |
| Windows Server 2012 och Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Höjning av privilegier | Kritiskt | Ingen |
| Windows Server 2012 R2 (3011780) | Höjning av privilegier | Kritiskt | Ingen |
| Installationsalternativ för Server Core | |||
| Windows Server 2008 för 32-bitars System Service Pack 2 (Server Core-installation) (3011780) | Höjning av privilegier | Kritiskt | 977290 i MS10-014 |
| Windows Server 2008 för x64-baserade System Service Pack 2 (Server Core-installation) (3011780) | Höjning av privilegier | Kritiskt | 977290 i MS10-014 |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) (3011780) | Höjning av privilegier | Kritiskt | 2982378 i SA2871997 |
| Windows Server 2012 (Server Core-installation) (3011780) | Höjning av privilegier | Kritiskt | Ingen |
| Windows Server 2012 R2 (Server Core-installation) (3011780) | Höjning av privilegier | Kritiskt | Ingen |
Obs! Uppdateringen är tillgänglig för Windows Technical Preview och Windows Server Technical Preview. Kunder som kör dessa operativsystem uppmanas att tillämpa uppdateringen, som är tillgänglig via Windows Update.
[1]Allvarlighetsgradklassificeringar gäller inte för det här operativsystemet eftersom den sårbarhet som åtgärdas i den här bulletinen inte finns. Den här uppdateringen ger ytterligare skydd på djupet härdning som inte åtgärdar någon känd sårbarhet.
Allvarlighetsgradsklassificeringar och sårbarhetsidentifierare
Följande allvarlighetsgradsklassificeringar förutsätter den potentiella maximala effekten av sårbarheten. Information om sannolikheten, inom 30 dagar efter att säkerhetsbulletinen har släppts, för sårbarhetens sårbarhets exploaterbarhet i förhållande till dess allvarlighetsgrad och säkerhetspåverkan, finns i sammanfattningen av sårbarhetsindexet för november.
| Allvarlighetsgrad för sårbarhet och maximal säkerhetspåverkan av påverkad programvara | ||
|---|---|---|
| Programvara som påverkas | Kerberos Checksum Vulnerability – CVE-2014-6324 | Aggregerad allvarlighetsgrad |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2003 med SP2 för Itanium-baserade system (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows Server 2008 | ||
| Windows Server 2008 för 32-bitars System Service Pack 2 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2008 för x64-baserade System Service Pack 2 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2008 för Itanium-baserade System Service Pack 2 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows 7 | ||
| Windows 7 för 32-bitars System Service Pack 1 (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows 7 för x64-baserade System Service Pack 1 (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2008 R2 för Itanium-baserade System Service Pack 1 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows 8 och Windows 8.1 | ||
| Windows 8 för 32-bitarssystem (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows 8 för x64-baserade system (3011780) | ||
| Windows 8.1 för 32-bitarssystem (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows 8.1 för x64-baserade system (3011780) | Ingen allvarlighetsgrad | Ingen allvarlighetsgrad |
| Windows Server 2012 och Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2012 R2 (3011780) | Kritisk behörighetshöjning | Kritisk |
| Installationsalternativ för Server Core | ||
| Windows Server 2008 för 32-bitars System Service Pack 2 (Server Core-installation) (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2008 för x64-baserade System Service Pack 2 (Server Core-installation) (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2012 (Server Core-installation) (3011780) | Kritisk behörighetshöjning | Kritisk |
| Windows Server 2012 R2 (Server Core-installation) (3011780) | Kritisk behörighetshöjning | Kritisk |
Kerberos Checksum Vulnerability – CVE-2014-6324
Det finns en fjärrhöjning av sårbarheten för privilegier i implementeringar av Kerberos KDC i Microsoft Windows. Säkerhetsrisken finns när Microsoft Kerberos KDC-implementeringarna inte verifierar signaturer korrekt, vilket kan göra det möjligt att förfalska vissa aspekter av en Kerberos-tjänstbiljett. Microsoft fick information om den här sårbarheten genom samordnat avslöjande av säkerhetsrisker. När den här säkerhetsbulletinen utfärdades var Microsoft medveten om begränsade riktade attacker som försöker utnyttja den här sårbarheten. Observera att de kända attackerna inte påverkade system som kör Windows Server 2012 eller Windows Server 2012 R2. Uppdateringen åtgärdar säkerhetsrisken genom att korrigera signaturverifieringsbeteendet i Windows-implementeringar av Kerberos.
Mildrande faktorer
Följande förmildrande faktorer kan vara till hjälp i din situation:
- En angripare måste ha giltiga autentiseringsuppgifter för domänen för att kunna utnyttja den här säkerhetsrisken. Den berörda komponenten är tillgänglig via fjärranslutning för användare som har standardanvändarkonton med domänautentiseringsuppgifter. Detta gäller inte endast för användare med autentiseringsuppgifter för lokala konton.
Provisoriska lösningar
Microsoft har inte identifierat några lösningar på den här säkerhetsrisken.
Vanliga frågor
Vad kan en angripare använda sårbarheten för att göra?
En angripare kan använda den här säkerhetsrisken för att höja ett användarkonto för domänanvändare utan privilegier till ett domänadministratörskonto. En angripare som har utnyttjat den här säkerhetsrisken kan personifiera alla användare i domänen, inklusive domänadministratörer, och ansluta till valfri grupp. Genom att personifiera domänadministratören kan angriparen installera program. visa, ändra eller ta bort data. eller skapa nya konton i ett domänanslutet system.
Hur kan en angripare utnyttja sårbarheten?
En autentiserad domänanvändare kan skicka Kerberos KDC en förfalskad Kerberos-biljett som hävdar att användaren är domänadministratör. Kerberos KDC validerar felaktigt signaturen för den förfalskade biljetten vid bearbetning av begäranden från angriparen, vilket gör att angriparen kan komma åt alla resurser i nätverket med en domänadministratörs identitet.
Vilka system är i första hand utsatta för sårbarheten?
Domänkontrollanter som är konfigurerade för att fungera som Kerberos Key Distribution Center (KDC) är i första hand i riskzonen.
Distribution av säkerhetsuppdatering
Information om distribution av säkerhetsuppdateringar finns i artikeln Microsoft Knowledge Base som refereras i sammanfattningen.
Tack
Microsoft känner igen insatserna från de i säkerhetscommunityn som hjälper oss att skydda kunder genom samordnad avslöjande av säkerhetsrisker. Mer information finns i Bekräftelser .
Friskrivning
Informationen som tillhandahålls i Microsoft Knowledge Base tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (18 november 2014): Bulletin publicerad.
Sidan genererades 2015-01-14 11:40Z-08:00.