Buletin Keamanan Microsoft MS14-068 - Kritis
Kerentanan di Kerberos Dapat Memungkinkan Elevasi (3011780)
Diterbitkan: 18 November 2014
Versi: 1.0
Ringkasan Eksekutif
Pembaruan keamanan ini menyelesaikan kerentanan yang dilaporkan secara privat di Microsoft Windows Kerberos KDC yang dapat memungkinkan penyerang untuk meningkatkan hak istimewa akun pengguna domain yang tidak istimewa ke akun administrator domain. Penyerang dapat menggunakan hak istimewa yang ditingkatkan ini untuk membahayakan komputer apa pun di domain, termasuk pengendali domain. Penyerang harus memiliki kredensial domain yang valid untuk mengeksploitasi kerentanan ini. Komponen yang terpengaruh tersedia dari jarak jauh untuk pengguna yang memiliki akun pengguna standar dengan kredensial domain; ini bukan kasus untuk pengguna dengan kredensial akun lokal saja. Ketika buletin keamanan ini dikeluarkan, Microsoft menyadari serangan terbatas yang ditargetkan yang mencoba mengeksploitasi kerentanan ini.
Pembaruan keamanan ini dinilai Penting untuk semua edisi Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, dan Windows Server 2012 R2. Pembaruan ini juga disediakan secara mendalam untuk semua edisi Windows Vista, Windows 7, Windows 8, dan Windows 8.1 yang didukung. Untuk informasi selengkapnya, lihat bagian Perangkat Lunak yang Terpengaruh.
Pembaruan keamanan mengatasi kerentanan dengan memperbaiki perilaku verifikasi tanda tangan dalam implementasi Windows Kerberos. Untuk informasi selengkapnya tentang kerentanan, lihat subbagian Tanya Jawab Umum (FAQ) untuk kerentanan tertentu.
Untuk informasi selengkapnya tentang pembaruan ini, lihat Artikel Pangkalan Pengetahuan Microsoft 3011780.
Perangkat Lunak yang Terpengaruh
Perangkat lunak berikut telah diuji untuk menentukan versi atau edisi mana yang terpengaruh. Versi atau edisi lain melewati siklus hidup dukungan mereka atau tidak terpengaruh. Untuk menentukan siklus hidup dukungan untuk versi atau edisi perangkat lunak Anda, lihat Siklus Hidup Dukungan Microsoft.
Perangkat Lunak yang Terpengaruh
| Sistem Operasi | Dampak Keamanan Maksimum | Peringkat Tingkat Keparahan Agregat | Pembaruan Diganti |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Peningkatan Hak Istimewa | Kritis | 2478971 di MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Peningkatan Hak Istimewa | Kritis | 2478971 di MS11-013 |
| Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium (3011780) | Peningkatan Hak Istimewa | Kritis | 2478971 di MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | Tidak |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | Tidak |
| Windows Server 2008 | |||
| Windows Server 2008 untuk Sistem 32-bit Paket Layanan 2 (3011780) | Peningkatan Hak Istimewa | Kritis | 977290 di MS10-014 |
| Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2 (3011780) | Peningkatan Hak Istimewa | Kritis | 977290 di MS10-014 |
| Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2 (3011780) | Peningkatan Hak Istimewa | Kritis | Tidak |
| Windows 7 | |||
| Windows 7 untuk Sistem 32-bit Paket Layanan 1 (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | 2982378 di SA2871997 |
| Windows 7 untuk Paket Layanan Sistem berbasis x64 1 (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | 2982378 di SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 untuk Sistem berbasis x64 Paket Layanan 1 (3011780) | Peningkatan Hak Istimewa | Kritis | 2982378 di SA2871997 |
| Windows Server 2008 R2 untuk Sistem Berbasis Itanium Paket Layanan 1 (3011780) | Peningkatan Hak Istimewa | Kritis | 2982378 di SA2871997 |
| Windows 8 dan Windows 8.1 | |||
| Windows 8 untuk Sistem 32-bit (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | Tidak |
| Windows 8 untuk Sistem berbasis x64 (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | Tidak |
| Windows 8.1 untuk Sistem 32-bit (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | Tidak |
| Windows 8.1 untuk Sistem berbasis x64 (3011780) | Tidak | Tidak ada peringkat tingkat keparahan[1] | Tidak |
| Windows Server 2012 dan Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Peningkatan Hak Istimewa | Kritis | Tidak |
| Windows Server 2012 R2 (3011780) | Peningkatan Hak Istimewa | Kritis | Tidak |
| Opsi penginstalan Server Core | |||
| Windows Server 2008 untuk Sistem 32-bit Paket Layanan 2 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa | Kritis | 977290 di MS10-014 |
| Windows Server 2008 untuk Sistem berbasis x64 Paket Layanan 2 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa | Kritis | 977290 di MS10-014 |
| Windows Server 2008 R2 untuk Sistem Berbasis x64 Paket Layanan 1 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa | Kritis | 2982378 di SA2871997 |
| Windows Server 2012 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa | Kritis | Tidak |
| Windows Server 2012 R2 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa | Kritis | Tidak |
Catatan Pembaruan tersedia untuk Pratinjau Teknis Windows dan Pratinjau Teknis Windows Server. Pelanggan yang menjalankan sistem operasi ini didorong untuk menerapkan pembaruan, yang tersedia melalui Windows Update.
[1]Peringkat tingkat keparahan tidak berlaku untuk sistem operasi ini karena kerentanan yang ditangani dalam buletin ini tidak ada. Pembaruan ini memberikan pengerasan pertahanan mendalam tambahan yang tidak memperbaiki kerentanan yang diketahui.
Peringkat Tingkat Keparahan dan Pengidentifikasi Kerentanan
Peringkat tingkat keparahan berikut mengasumsikan potensi dampak maksimum dari kerentanan. Untuk informasi mengenai kemungkinan, dalam waktu 30 hari sejak rilis buletin keamanan ini, tentang eksploitasi kerentanan sehubungan dengan peringkat tingkat keparahan dan dampak keamanannya, silakan lihat Indeks Eksploitasi dalam ringkasan buletin November.
| Peringkat Tingkat Keparahan Kerentanan dan Dampak Keamanan Maksimum oleh Perangkat Lunak yang Terpengaruh | ||
|---|---|---|
| Perangkat Lunak yang Terpengaruh | Kerentanan Kerberos Checksum - CVE-2014-6324 | Peringkat Tingkat Keparahan Agregat |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2003 dengan SP2 untuk Sistem berbasis Itanium (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows Server 2008 | ||
| Windows Server 2008 untuk Sistem 32-bit Paket Layanan 2 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2008 untuk Paket Layanan Sistem berbasis x64 2 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2008 untuk Paket Layanan Sistem berbasis Itanium 2 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows 7 | ||
| Windows 7 untuk Sistem 32-bit Paket Layanan 1 (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows 7 untuk Sistem berbasis x64 Paket Layanan 1 (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 untuk Sistem berbasis x64 Paket Layanan 1 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2008 R2 untuk Sistem Berbasis Itanium Paket Layanan 1 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows 8 dan Windows 8.1 | ||
| Windows 8 untuk Sistem 32-bit (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows 8 untuk Sistem berbasis x64 (3011780) | ||
| Windows 8.1 untuk Sistem 32-bit (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows 8.1 untuk Sistem berbasis x64 (3011780) | Tidak ada peringkat tingkat keparahan | Tidak ada peringkat tingkat keparahan |
| Windows Server 2012 dan Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2012 R2 (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Opsi penginstalan Server Core | ||
| Windows Server 2008 untuk Sistem 32-bit Paket Layanan 2 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2008 untuk Sistem berbasis x64 Paket Layanan 2 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2008 R2 untuk Sistem berbasis x64 Paket Layanan 1 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2012 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
| Windows Server 2012 R2 (penginstalan Server Core) (3011780) | Peningkatan Hak Istimewa Kritis | Kritis |
Kerentanan Kerberos Checksum - CVE-2014-6324
Elevasi jarak jauh kerentanan hak istimewa ada dalam implementasi Kerberos KDC di Microsoft Windows. Kerentanan ada ketika implementasi Microsoft Kerberos KDC gagal memvalidasi tanda tangan dengan benar, yang dapat memungkinkan aspek tertentu dari tiket layanan Kerberos ditempa. Microsoft menerima informasi tentang kerentanan ini melalui pengungkapan kerentanan terkoordinasi. Ketika buletin keamanan ini dikeluarkan, Microsoft menyadari serangan terbatas yang ditargetkan yang mencoba mengeksploitasi kerentanan ini. Perhatikan bahwa serangan yang diketahui tidak memengaruhi sistem yang menjalankan Windows Server 2012 atau Windows Server 2012 R2. Pembaruan membahas kerentanan dengan mengoreksi perilaku verifikasi tanda tangan dalam implementasi Windows Kerberos.
Faktor Mitigasi
Faktor-faktor mitigasi berikut mungkin berguna dalam situasi Anda:
- Penyerang harus memiliki kredensial domain yang valid untuk mengeksploitasi kerentanan ini. Komponen yang terpengaruh tersedia dari jarak jauh untuk pengguna yang memiliki akun pengguna standar dengan kredensial domain; ini bukan kasus untuk pengguna dengan kredensial akun lokal saja.
Penyelesaian masalah
Microsoft belum mengidentifikasi solusi untuk kerentanan ini.
FAQ
Apa yang mungkin dilakukan penyerang untuk menggunakan kerentanan?
Penyerang dapat menggunakan kerentanan ini untuk meningkatkan akun pengguna domain yang tidak istimewa ke akun administrator domain. Penyerang yang berhasil mengeksploitasi kerentanan ini dapat meniru pengguna apa pun di domain, termasuk administrator domain, dan bergabung dengan grup apa pun. Dengan meniru administrator domain, penyerang dapat menginstal program; menampilkan, mengubah, atau menghapus data; atau buat akun baru pada sistem yang bergabung dengan domain apa pun.
Bagaimana penyerang dapat mengeksploitasi kerentanan?
Pengguna domain terautentikasi dapat mengirim Kerberos KDC tiket Kerberos yang dipalsukan yang mengklaim pengguna adalah administrator domain. Kerberos KDC secara tidak benar memvalidasi tanda tangan tiket yang dipalsukan saat memproses permintaan dari penyerang, memungkinkan penyerang mengakses sumber daya apa pun di jaringan dengan identitas administrator domain.
Sistem apa yang terutama berisiko dari kerentanan?
Pengendali domain yang dikonfigurasi untuk bertindak sebagai Kerberos Key Distribution Center (KDC) terutama berisiko.
Penyebaran Pembaruan Keamanan
Untuk informasi Penyebaran Pembaruan Keamanan, lihat artikel Pangkalan Pengetahuan Microsoft yang dirujuk dalam Ringkasan Eksekutif.
Ucapan terima kasih
Microsoft mengakui upaya mereka di komunitas keamanan yang membantu kami melindungi pelanggan melalui pengungkapan kerentanan terkoordinasi. Lihat Pengakuan untuk informasi selengkapnya.
Pengelakan
Informasi yang diberikan dalam Pangkalan Pengetahuan Microsoft disediakan "apa adanya" tanpa jaminan apa pun. Microsoft menolak semua jaminan, baik tersurat maupun tersirat, termasuk jaminan kelayakan untuk diperdagangkan dan kesesuaian untuk tujuan tertentu. Dalam hal apa pun, Microsoft Corporation atau pemasoknya tidak bertanggung jawab atas kerusakan apa pun termasuk kerusakan langsung, tidak langsung, insidental, konsekuensial, kehilangan keuntungan bisnis atau kerusakan khusus, bahkan jika Microsoft Corporation atau pemasoknya telah diberi tahu tentang kemungkinan kerusakan tersebut. Beberapa negara bagian tidak mengizinkan pengecualian atau batasan tanggung jawab untuk kerusakan konsekuensial atau insidental sehingga batasan sebelumnya mungkin tidak berlaku.
Revisi
- V1.0 (18 November 2014): Buletin diterbitkan.
Halaman dihasilkan 2015-01-14 11:40Z-08:00.