Microsoft Security Bulletin MS14-068 - Kritisch
Sicherheitslücke in Kerberos kann Erhöhung von Berechtigungen ermöglichen (3011780)
Veröffentlicht: 18. November 2014
Version: 1.0
Kurzzusammenfassung
Dieses Sicherheitsupdate dient zum Schließen einer privat gemeldeten Sicherheitslücke im Microsoft Windows Kerberos-Schlüsselverteilungscenter (KDC), über die ein Angreifer die Berechtigungen eines Domänenbenutzerkontos ohne Berechtigungen in die des Domänenadministratorkontos hochstufen kann. Ein Angreifer kann mit diesen erhöhten Berechtigungen beliebige Computer in der Domäne, einschließlich Domänencontrollern, gefährden. Ein Angreifer muss über gültige Anmeldeinformationen verfügen, um diese Sicherheitslücke ausnutzen zu können. Die betroffene Komponente ist für Benutzer mit standardmäßigen Benutzerkonten mit Anmeldeinformationen für die Domäne remote verfügbar. Dies ist nicht der Fall für Benutzer mit ausschließlich Anmeldeinformationen für das lokale Konto. Als dieses Security Bulletin veröffentlicht wurde, war sich Microsoft begrenzter, gezielter Angriffe bewusst, bei denen versucht wird, diese Sicherheitslücke auszunutzen.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 als "Kritisch" eingestuft. Das Update wird auch als tiefgreifende Vorbeugungsmaßnahme für alle unterstützten Editionen von Windows Vista, Windows 7, Windows 8 und Windows 8.1 bereitgestellt. Weitere Informationen finden Sie im Abschnitt Betroffene Software.
Das Sicherheitsupdate schließt die Sicherheitslücke, indem das Signaturbestätigungsverhalten in Windows-Implementierungen von Kerberos korrigiert wird. Weitere Informationen zu dieser Sicherheitslücke finden Sie im Unterabschnitt Häufig gestellte Fragen für die betreffende Sicherheitslücke.
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3011780.
Betroffene Software
Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.
Betroffene Software
| **Betriebssystem** | **Maximale Sicherheitsauswirkung** | **Bewertung des Gesamtschweregrads** | **Ersetzte Updates** |
| **Windows Server 2003** | |||
| [Windows Server 2003 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44960) (3011780) | Rechteerweiterungen | Kritisch | 2478971 in [MS11-013](https://technet.microsoft.com/de-de/library/security/ms11-013) |
| [Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44970) (3011780) | Rechteerweiterungen | Kritisch | 2478971 in [MS11-013](https://technet.microsoft.com/de-de/library/security/ms11-013) |
| [Windows Server 2003 mit SP2 für Itanium-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44984) (3011780) | Rechteerweiterungen | Kritisch | 2478971 in [MS11-013](https://technet.microsoft.com/de-de/library/security/ms11-013) |
| **Windows Vista** | |||
| [Windows Vista Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44967) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | Keine |
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44971) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | Keine |
| **Windows Server 2008** | |||
| [Windows Server 2008 für 32-Bit-Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44961) (3011780) | Rechteerweiterungen | Kritisch | 977290 in [MS10-014](https://technet.microsoft.com/de-de/library/security/ms10-014) |
| [Windows Server 2008 für x64-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44986) (3011780) | Rechteerweiterungen | Kritisch | 977290 in [MS10-014](https://technet.microsoft.com/de-de/library/security/ms10-014) |
| [Windows Server 2008 für Itanium-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44983) (3011780) | Rechteerweiterungen | Kritisch | Keine |
| **Windows 7** | |||
| [Windows 7 für 32-Bit-Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44978) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | 2982378 in [SA2871997](https://technet.microsoft.com/de-de/library/2871997.aspx) |
| [Windows 7 für x64-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44981) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | 2982378 in [SA2871997](https://technet.microsoft.com/de-de/library/2871997.aspx) |
| **Windows Server 2008 R2** | |||
| [Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44966) (3011780) | Rechteerweiterungen | Kritisch | 2982378 in [SA2871997](https://technet.microsoft.com/de-de/library/2871997.aspx) |
| [Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44973) (3011780) | Rechteerweiterungen | Kritisch | 2982378 in [SA2871997](https://technet.microsoft.com/de-de/library/2871997.aspx) |
| **Windows 8 und Windows 8.1** | |||
| [Windows 8 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44982) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | Keine |
| [Windows 8 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44979) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | Keine |
| [Windows 8.1 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44976) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | Keine |
| [Windows 8.1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44965) (3011780) | Keine | Keine Bewertung des Schweregrads[1] | Keine |
| **Windows Server 2012 und Windows Server 2012 R2** | |||
| [Windows Server 2012](https://www.microsoft.com/de-de/download/details.aspx?id=44968) (3011780) | Rechteerweiterungen | Kritisch | Keine |
| [Windows Server 2012 R2](https://www.microsoft.com/de-de/download/details.aspx?id=44964) (3011780) | Rechteerweiterungen | Kritisch | Keine |
| **Server Core-Installationsoption** | |||
| [Windows Server 2008 für 32-Bit-Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44961) (Server Core-Installation) (3011780) | Rechteerweiterungen | Kritisch | 977290 in [MS10-014](https://technet.microsoft.com/de-de/library/security/ms10-014) |
| [Windows Server 2008 für x64-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44986) (Server Core-Installation) (3011780) | Rechteerweiterungen | Kritisch | 977290 in [MS10-014](https://technet.microsoft.com/de-de/library/security/ms10-014) |
| [Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44966) (Server Core-Installation) (3011780) | Rechteerweiterungen | Kritisch | 2982378 in [SA2871997](https://technet.microsoft.com/de-de/library/2871997.aspx) |
| [Windows Server 2012](https://www.microsoft.com/de-de/download/details.aspx?id=44968) (Server Core-Installation) (3011780) | Rechteerweiterungen | Kritisch | Keine |
| [Windows Server 2012 R2](https://www.microsoft.com/de-de/download/details.aspx?id=44964) (Server Core-Installation) (3011780) | Rechteerweiterungen | Kritisch | Keine |
[1]Bewertungen des Schweregrads treffen nicht auf dieses Betriebssystem zu, da die in diesem Bulletin angesprochene Sicherheitslücke nicht vorhanden ist. Dieses Update bietet eine zusätzliche Verstärkung der Sicherheit, durch die keine bekannten Sicherheitslücken geschlossen werden.
Bewertungen des Schweregrads und ID der Sicherheitslücke
Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für November.
| **Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software** | ||
| **Betroffene Software** | [**Kerberos-Prüfsumme für die Sicherheitslücke – CVE-2014-6324**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6324) | **Bewertung des Gesamtschweregrads** |
| **Windows Server 2003** | ||
| Windows Server 2003 Service Pack 2 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| **Windows Vista** | ||
| Windows Vista Service Pack 2 (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| **Windows Server 2008** | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| **Windows 7** | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| **Windows Server 2008 R2** | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| **Windows 8 und Windows 8.1** | ||
| Windows 8 für 32-Bit-Systeme (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| Windows 8 für x64-basierte Systeme (3011780) | ||
| Windows 8.1 für 32-Bit-Systeme (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| Windows 8.1 für x64-basierte Systeme (3011780) | Keine Bewertung des Schweregrads | Keine Bewertung des Schweregrads |
| **Windows Server 2012 und Windows Server 2012 R2** | ||
| Windows Server 2012 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2012 R2 (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| **Server Core-Installationsoption** | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2012 (Server Core-Installation) (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
| Windows Server 2012 R2 (Server Core-Installation) (3011780) | **Kritisch** Rechteerweiterungen | **Kritisch** |
Kerberos-Prüfsumme für die Sicherheitslücke – CVE-2014-6324
Eine Remote-EoP-Sicherheitslücke ist in Implementierungen von Kerberos-KDC in Microsoft Windows vorhanden. Die Sicherheitslücke besteht darin, dass die Microsoft Kerberos-KDC-Implementierung Signaturen nicht ordnungsgemäß auf Gültigkeit überprüft, was ermöglicht, dass bestimmte Aspekte eines Kerberos-Diensttickets gefälscht werden können. Microsoft hat Informationen zu dieser Sicherheitslücke durch eine koordinierte Offenlegung der Sicherheitslücke erhalten. Als dieses Security Bulletin veröffentlicht wurde, war sich Microsoft begrenzter, gezielter Angriffe bewusst, bei denen versucht wird, diese Sicherheitslücke auszunutzen. Beachten Sie, dass die bekannten Angriffe keine Auswirkungen auf Systeme mit Windows Server 2012 oder Windows Server 2012 R2 hatten. Das Update schließt die Sicherheitslücke, indem das Signaturbestätigungsverhalten in Windows-Implementierungen von Kerberos korrigiert wird.
Schadensbegrenzende Faktoren
Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:
- Ein Angreifer muss über gültige Anmeldeinformationen verfügen, um diese Sicherheitslücke ausnutzen zu können. Die betroffene Komponente ist für Benutzer mit standardmäßigen Benutzerkonten mit Anmeldeinformationen für die Domäne remote verfügbar. Dies ist nicht der Fall für Benutzer mit ausschließlich Anmeldeinformationen für das lokale Konto.
Problemumgehungen
Für diese Sicherheitslücke gibt es noch keine Behelfslösungen.
Häufig gestellte Fragen
Was kann ein Angreifer über diese Sicherheitslücke erreichen?
Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um die Berechtigungen eines Domänenbenutzerkontos ohne Berechtigungen in die des Domänenadministratorkontos hochzustufen. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann die Identität beliebiger Benutzer in der Domäne annehmen, z. B. auch die eines Domänenadministrators, und beliebigen Gruppen beitreten. Durch die Annahme der Identität des Domänenadministrators könnte der Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten auf beliebigen zur Domäne gehörigen Systemen erstellen.
Wie gehen Angreifer vor, um diese Sicherheitslücke auszunutzen?
Ein authentifizierter Domänenbenutzer könnte an das Kerberos-KDC ein gefälschtes Kerberos-Ticket senden, das behauptet, der Benutzer sei ein Domänenadministrator. Das Kerberos-KDC bestätigt bei der Verarbeitung von Anforderungen des Angreifers fälschlicherweise die Gültigkeit der gefälschten Ticketsignatur und erlaubt dem Angreifer den Zugriff auf beliebige Ressourcen im Netzwerk mit der Identität eines Domänenadministrators.
Für welche Systeme stellt diese Sicherheitslücke hauptsächlich ein Risiko dar?
Domänencontroller, die als Kerberos-Schlüsselverteilungscenter (KDC) konfiguriert sind, sind am meisten gefährdet.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzfassung verwiesen wird.
Danksagungen
Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine verantwortungsbewusste Offenlegung von Sicherheitslücken zu schützen. Weitere Informationen finden Sie unter Danksagung.
Haftungsausschluss
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen
- V1.0 (18. November 2014): Bulletin veröffentlicht.
Seite generiert am 18.11.14 um 7:17Z-08:00.