Microsoft Security Bulletin MS14-068 - Kritisch

Sicherheitslücke in Kerberos kann Erhöhung von Berechtigungen ermöglichen (3011780)

Veröffentlicht: 18. November 2014

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate dient zum Schließen einer privat gemeldeten Sicherheitslücke im Microsoft Windows Kerberos-Schlüsselverteilungscenter (KDC), über die ein Angreifer die Berechtigungen eines Domänenbenutzerkontos ohne Berechtigungen in die des Domänenadministratorkontos hochstufen kann. Ein Angreifer kann mit diesen erhöhten Berechtigungen beliebige Computer in der Domäne, einschließlich Domänencontrollern, gefährden. Ein Angreifer muss über gültige Anmeldeinformationen verfügen, um diese Sicherheitslücke ausnutzen zu können. Die betroffene Komponente ist für Benutzer mit standardmäßigen Benutzerkonten mit Anmeldeinformationen für die Domäne remote verfügbar. Dies ist nicht der Fall für Benutzer mit ausschließlich Anmeldeinformationen für das lokale Konto. Als dieses Security Bulletin veröffentlicht wurde, war sich Microsoft begrenzter, gezielter Angriffe bewusst, bei denen versucht wird, diese Sicherheitslücke auszunutzen.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 als "Kritisch" eingestuft. Das Update wird auch als tiefgreifende Vorbeugungsmaßnahme für alle unterstützten Editionen von Windows Vista, Windows 7, Windows 8 und Windows 8.1 bereitgestellt. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate schließt die Sicherheitslücke, indem das Signaturbestätigungsverhalten in Windows-Implementierungen von Kerberos korrigiert wird. Weitere Informationen zu dieser Sicherheitslücke finden Sie im Unterabschnitt Häufig gestellte Fragen für die betreffende Sicherheitslücke.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3011780.

Betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

Betriebssystem Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Windows Server 2003
Windows Server 2003 Service Pack 2
(3011780)
Rechteerweiterungen Kritisch 2478971 in MS11-013
Windows Server 2003 x64 Edition Service Pack 2
(3011780)
Rechteerweiterungen Kritisch 2478971 in MS11-013
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
(3011780)
Rechteerweiterungen Kritisch 2478971 in MS11-013
Windows Vista
Windows Vista Service Pack 2
(3011780)
Keine Keine Bewertung des Schweregrads[1] Keine
Windows Vista x64 Edition Service Pack 2
(3011780)
Keine Keine Bewertung des Schweregrads[1] Keine
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
(3011780)
Rechteerweiterungen Kritisch 977290 in MS10-014
Windows Server 2008 für x64-basierte Systeme Service Pack 2
(3011780)
Rechteerweiterungen Kritisch 977290 in MS10-014
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
(3011780)
Rechteerweiterungen Kritisch Keine
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1
(3011780)
Keine Keine Bewertung des Schweregrads[1] 2982378 in SA2871997
Windows 7 für x64-basierte Systeme Service Pack 1
(3011780)
Keine Keine Bewertung des Schweregrads[1] 2982378 in SA2871997
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
(3011780)
Rechteerweiterungen Kritisch 2982378 in SA2871997
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
(3011780)
Rechteerweiterungen Kritisch 2982378 in SA2871997
Windows 8 und Windows 8.1
Windows 8 für 32-Bit-Systeme
(3011780)
Keine Keine Bewertung des Schweregrads[1] Keine
Windows 8 für x64-basierte Systeme
(3011780)
Keine Keine Bewertung des Schweregrads[1] Keine
Windows 8.1 für 32-Bit-Systeme
(3011780)
Keine Keine Bewertung des Schweregrads[1] Keine
Windows 8.1 für x64-basierte Systeme
(3011780)
Keine Keine Bewertung des Schweregrads[1] Keine
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012
(3011780)
Rechteerweiterungen Kritisch Keine
Windows Server 2012 R2
(3011780)
Rechteerweiterungen Kritisch Keine
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
(3011780)
Rechteerweiterungen Kritisch 977290 in MS10-014
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
(3011780)
Rechteerweiterungen Kritisch 977290 in MS10-014
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
(3011780)
Rechteerweiterungen Kritisch 2982378 in SA2871997
Windows Server 2012 (Server Core-Installation)
(3011780)
Rechteerweiterungen Kritisch Keine
Windows Server 2012 R2 (Server Core-Installation)
(3011780)
Rechteerweiterungen Kritisch Keine

Hinweis Das Update steht für Windows Technical Preview und Windows Server Technical Preview zur Verfügung. Kunden, die unter diesen Betriebssystemen werden empfohlen, das Update zu installieren, das über Windows Update verfügbar ist.

[1]Bewertungen des Schweregrads treffen nicht auf dieses Betriebssystem zu, da die in diesem Bulletin angesprochene Sicherheitslücke nicht vorhanden ist. Dieses Update bietet eine zusätzliche Verstärkung der Sicherheit, durch die keine bekannten Sicherheitslücken geschlossen werden.

Bewertungen des Schweregrads und ID der Sicherheitslücke

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für November.

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software Kerberos-Prüfsumme für die Sicherheitslücke – CVE-2014-6324 Bewertung des Gesamtschweregrads
Windows Server 2003
Windows Server 2003 Service Pack 2
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2003 x64 Edition Service Pack 2
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Vista
Windows Vista Service Pack 2
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows Vista x64 Edition Service Pack 2
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2008 für x64-basierte Systeme Service Pack 2
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows 7 für x64-basierte Systeme Service Pack 1
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows 8 und Windows 8.1
Windows 8 für 32-Bit-Systeme
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows 8 für x64-basierte Systeme
(3011780)
Windows 8.1 für 32-Bit-Systeme
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows 8.1 für x64-basierte Systeme
(3011780)
Keine Bewertung des Schweregrads Keine Bewertung des Schweregrads
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2012 R2
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2012 (Server Core-Installation)
(3011780)
Kritisch
Rechteerweiterungen
Kritisch
Windows Server 2012 R2 (Server Core-Installation)
(3011780)
Kritisch
Rechteerweiterungen
Kritisch

Kerberos-Prüfsumme für die Sicherheitslücke – CVE-2014-6324

Eine Remote-EoP-Sicherheitslücke ist in Implementierungen von Kerberos-KDC in Microsoft Windows vorhanden. Die Sicherheitslücke besteht darin, dass die Microsoft Kerberos-KDC-Implementierung Signaturen nicht ordnungsgemäß auf Gültigkeit überprüft, was ermöglicht, dass bestimmte Aspekte eines Kerberos-Diensttickets gefälscht werden können. Microsoft hat Informationen zu dieser Sicherheitslücke durch eine koordinierte Offenlegung der Sicherheitslücke erhalten. Als dieses Security Bulletin veröffentlicht wurde, war sich Microsoft begrenzter, gezielter Angriffe bewusst, bei denen versucht wird, diese Sicherheitslücke auszunutzen. Beachten Sie, dass die bekannten Angriffe keine Auswirkungen auf Systeme mit Windows Server 2012 oder Windows Server 2012 R2 hatten. Das Update schließt die Sicherheitslücke, indem das Signaturbestätigungsverhalten in Windows-Implementierungen von Kerberos korrigiert wird.

Schadensbegrenzende Faktoren

Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

  • Ein Angreifer muss über gültige Anmeldeinformationen verfügen, um diese Sicherheitslücke ausnutzen zu können. Die betroffene Komponente ist für Benutzer mit standardmäßigen Benutzerkonten mit Anmeldeinformationen für die Domäne remote verfügbar. Dies ist nicht der Fall für Benutzer mit ausschließlich Anmeldeinformationen für das lokale Konto.

Problemumgehungen

Für diese Sicherheitslücke gibt es noch keine Behelfslösungen.

Häufig gestellte Fragen

Was kann ein Angreifer über diese Sicherheitslücke erreichen?
Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um die Berechtigungen eines Domänenbenutzerkontos ohne Berechtigungen in die des Domänenadministratorkontos hochzustufen. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann die Identität beliebiger Benutzer in der Domäne annehmen, z. B. auch die eines Domänenadministrators, und beliebigen Gruppen beitreten. Durch die Annahme der Identität des Domänenadministrators könnte der Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten auf beliebigen zur Domäne gehörigen Systemen erstellen.

Wie gehen Angreifer vor, um diese Sicherheitslücke auszunutzen?
Ein authentifizierter Domänenbenutzer könnte an das Kerberos-KDC ein gefälschtes Kerberos-Ticket senden, das behauptet, der Benutzer sei ein Domänenadministrator. Das Kerberos-KDC bestätigt bei der Verarbeitung von Anforderungen des Angreifers fälschlicherweise die Gültigkeit der gefälschten Ticketsignatur und erlaubt dem Angreifer den Zugriff auf beliebige Ressourcen im Netzwerk mit der Identität eines Domänenadministrators.

Für welche Systeme stellt diese Sicherheitslücke hauptsächlich ein Risiko dar?
Domänencontroller, die als Kerberos-Schlüsselverteilungscenter (KDC) konfiguriert sind, sind am meisten gefährdet.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzfassung verwiesen wird.

Danksagungen

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine verantwortungsbewusste Offenlegung von Sicherheitslücken zu schützen. Weitere Informationen finden Sie unter Danksagung.

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (18. November 2014): Bulletin veröffentlicht.

Seite generiert am 18.11.14 um 7:17Z-08:00.