Microsoft-beveiligingsbulletin MS14-068 - Kritiek
Beveiligingsprobleem in Kerberos kan uitbreiding van bevoegdheden toestaan (3011780)
Gepubliceerd: 18 november 2014
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate wordt een beveiligingsprobleem opgelost dat privé is gerapporteerd in Microsoft Windows Kerberos KDC , waardoor een aanvaller de bevoegdheden van niet-gemachtigde domeingebruikersaccounts kan verhogen naar die van het domeinbeheerdersaccount. Een aanvaller kan deze verhoogde bevoegdheden gebruiken om elke computer in het domein te misbruiken, inclusief domeincontrollers. Een aanvaller moet geldige domeinreferenties hebben om dit beveiligingsprobleem te misbruiken. Het betrokken onderdeel is extern beschikbaar voor gebruikers met standaardgebruikersaccounts met domeinreferenties; Dit is niet het geval voor gebruikers met alleen lokale accountreferenties. Toen dit beveiligingsbulletin werd uitgegeven, was Microsoft op de hoogte van beperkte, gerichte aanvallen die proberen dit beveiligingsprobleem te misbruiken.
Deze beveiligingsupdate wordt beoordeeld als kritiek voor alle ondersteunde edities van Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2. De update wordt ook uitgebreid ondersteund voor alle ondersteunde edities van Windows Vista, Windows 7, Windows 8 en Windows 8.1. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door het gedrag van handtekeningverificatie in Windows-implementaties van Kerberos te corrigeren. Zie de subsectie Veelgestelde vragen (FAQ) voor het specifieke beveiligingsprobleem voor meer informatie over het beveiligingsprobleem.
Zie het Microsoft Knowledge Base-artikel 3011780 voor meer informatie over deze update.
Betrokken software
De volgende software is getest om te bepalen welke versies of edities worden beïnvloed. Andere versies of edities zijn na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Betrokken software
| Besturingssysteem | Maximale beveiligingsimpact | Classificatie voor cumulatieve ernst | Updates vervangen |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Verhoging van bevoegdheden | Kritiek | 2478971 in MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Verhoging van bevoegdheden | Kritiek | 2478971 in MS11-013 |
| Windows Server 2003 met SP2 voor Op Itanium gebaseerde systemen (3011780) | Verhoging van bevoegdheden | Kritiek | 2478971 in MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Geen | Geen ernstclassificatie[1] | Geen |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Geen | Geen ernstclassificatie[1] | Geen |
| Windows Server 2008 | |||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (3011780) | Verhoging van bevoegdheden | Kritiek | 977290 in MS10-014 |
| Windows Server 2008 voor x64-systemen Service Pack 2 (3011780) | Verhoging van bevoegdheden | Kritiek | 977290 in MS10-014 |
| Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 (3011780) | Verhoging van bevoegdheden | Kritiek | Geen |
| Windows 7 | |||
| Windows 7 voor 32-bits systemen Service Pack 1 (3011780) | Geen | Geen ernstclassificatie[1] | 2982378 in SA2871997 |
| Windows 7 voor x64-systemen Service Pack 1 (3011780) | Geen | Geen ernstclassificatie[1] | 2982378 in SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3011780) | Verhoging van bevoegdheden | Kritiek | 2982378 in SA2871997 |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1 (3011780) | Verhoging van bevoegdheden | Kritiek | 2982378 in SA2871997 |
| Windows 8 en Windows 8.1 | |||
| Windows 8 voor 32-bits systemen (3011780) | Geen | Geen ernstclassificatie[1] | Geen |
| Windows 8 voor x64-systemen (3011780) | Geen | Geen ernstclassificatie[1] | Geen |
| Windows 8.1 voor 32-bits systemen (3011780) | Geen | Geen ernstclassificatie[1] | Geen |
| Windows 8.1 voor x64-systemen (3011780) | Geen | Geen ernstclassificatie[1] | Geen |
| Windows Server 2012 en Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Verhoging van bevoegdheden | Kritiek | Geen |
| Windows Server 2012 R2 (3011780) | Verhoging van bevoegdheden | Kritiek | Geen |
| Server Core-installatieoptie | |||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie) (3011780) | Verhoging van bevoegdheden | Kritiek | 977290 in MS10-014 |
| Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie) (3011780) | Verhoging van bevoegdheden | Kritiek | 977290 in MS10-014 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) (3011780) | Verhoging van bevoegdheden | Kritiek | 2982378 in SA2871997 |
| Windows Server 2012 (Server Core-installatie) (3011780) | Verhoging van bevoegdheden | Kritiek | Geen |
| Windows Server 2012 R2 (Server Core-installatie) (3011780) | Verhoging van bevoegdheden | Kritiek | Geen |
Opmerking De update is beschikbaar voor Windows Technical Preview en Windows Server Technical Preview. Klanten die deze besturingssystemen uitvoeren, worden aangemoedigd om de update toe te passen, die beschikbaar is via Windows Update.
[1]Ernstclassificaties zijn niet van toepassing op dit besturingssysteem omdat het beveiligingsprobleem dat in dit bulletin is opgelost, niet aanwezig is. Deze update biedt aanvullende diepgaande beveiliging waarmee geen bekende beveiligingsproblemen worden opgelost.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitabiliteit in de samenvatting van het bulletin van november.
| Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software | ||
|---|---|---|
| Betrokken software | Kerberos Checksum Vulnerability - CVE-2014-6324 | Classificatie voor cumulatieve ernst |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows Server 2008 | ||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2008 voor x64-systemen Service Pack 2 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows 7 | ||
| Windows 7 voor 32-bits systemen Service Pack 1 (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows 7 voor x64-systemen Service Pack 1 (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows 8 en Windows 8.1 | ||
| Windows 8 voor 32-bits systemen (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows 8 voor x64-systemen (3011780) | ||
| Windows 8.1 voor 32-bits systemen (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows 8.1 voor x64-systemen (3011780) | Geen ernstclassificatie | Geen ernstclassificatie |
| Windows Server 2012 en Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2012 R2 (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Server Core-installatieoptie | ||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie) (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie) (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2012 (Server Core-installatie) (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
| Windows Server 2012 R2 (Server Core-installatie) (3011780) | Kritieke uitbreiding van bevoegdheden | Kritiek |
Kerberos Checksum Vulnerability - CVE-2014-6324
Er bestaat een beveiligingsprobleem met externe uitbreiding van bevoegdheden in implementaties van Kerberos KDC in Microsoft Windows. Het beveiligingsprobleem bestaat wanneer de Microsoft Kerberos KDC-implementaties handtekeningen niet goed valideren, waardoor bepaalde aspecten van een Kerberos-serviceticket kunnen worden vervalst. Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, was Microsoft op de hoogte van beperkte, gerichte aanvallen die proberen dit beveiligingsprobleem te misbruiken. Houd er rekening mee dat de bekende aanvallen geen invloed hebben op systemen met Windows Server 2012 of Windows Server 2012 R2. De update lost het beveiligingsprobleem op door het gedrag van handtekeningverificatie in Windows-implementaties van Kerberos te corrigeren.
Factoren beperken
De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- Een aanvaller moet geldige domeinreferenties hebben om dit beveiligingsprobleem te misbruiken. Het betrokken onderdeel is extern beschikbaar voor gebruikers met standaardgebruikersaccounts met domeinreferenties; Dit is niet het geval voor gebruikers met alleen lokale accountreferenties.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Veelgestelde vragen
Wat kan een aanvaller doen met het beveiligingsprobleem?
Een aanvaller kan dit beveiligingsprobleem gebruiken om een niet-gemachtigd domeingebruikersaccount te verhogen naar een domeinbeheerdersaccount. Een aanvaller die misbruik heeft gemaakt van dit beveiligingsprobleem, kan elke gebruiker in het domein imiteren, inclusief domeinbeheerders en lid worden van een groep. Door de domeinbeheerder te imiteren, kan de aanvaller programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts op elk systeem dat lid is van een domein.
Hoe kan een aanvaller misbruik maken van het beveiligingsprobleem?
Een geverifieerde domeingebruiker kan de Kerberos KDC een vervalst Kerberos-ticket verzenden dat claimt dat de gebruiker een domeinbeheerder is. Kerberos KDC valideert de vervalste tickethandtekening onjuist bij het verwerken van aanvragen van de aanvaller, zodat de aanvaller toegang heeft tot elke resource in het netwerk met de identiteit van een domeinbeheerder.
Welke systemen lopen voornamelijk risico op het beveiligingsprobleem?
Domeincontrollers die zijn geconfigureerd om te fungeren als een Kerberos Key Distribution Center (KDC) lopen voornamelijk gevaar.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (18 november 2014): Bulletin gepubliceerd.
Pagina gegenereerd 2015-01-14 11:40Z-08:00.