Microsoft 資訊安全公告 MS14-068 - 重大

Kerberos 中的資訊安全風險可能會允許權限提高 (3011780)

發行日期:2014 年 11 月 18 日

版本: 1.0

提要

此資訊安全更新可解決 Microsoft Windows Kerberos KDC 中一項未公開報告的資訊安全風險,該資訊安全風險可允許攻擊者將未經授權的網域使用者帳戶權限,提高到網域管理員帳戶的權限。攻擊者可使用這些提高的權限入侵網域中的任何電腦,包括網域控制站。 攻擊者必須擁有有效的網域認證,才能利用這項資訊安全風險。 擁有具備網域認證之標準使用者帳戶的使用者可從遠端使用受影響的元件;僅具備本機帳戶認證的使用者無法使用。 發行此資訊安全公告時,Microsoft 已發現有嘗試利用此資訊安全風險、有限且目標明確的攻擊。

對於所有受支援版本的 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2,此資訊安全更新的等級為「重大」。也針對所有受支援版本的 Windows Vista、Windows 7、Windows 8 和 Windows 8.1,在深度防禦基礎上提供此更新。如需更多資訊,請參閱<受影響的軟體>一節。

此資訊安全更新程式可修正 Kerberos 之 Windows 實作中的簽章驗證行為,從而消除這項資訊安全風險。如需更多有關此資訊安全風險的資訊,請參閱特定資訊安全風險的<常見問題集 (FAQ)>小節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文件編號 3011780

受影響的軟體

下列軟體已經過測試判斷哪些版號或版本會受到影響。其他版本超過它們的支援週期或不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

受影響的軟體

作業系統

最大安全性影響

彙總嚴重性等級

已取代更新

Windows Server 2003

Windows Server 2003 Service Pack 2
(3011780)

權限提高

重大

MS11-013 中的 2478971

Windows Server 2003 x64 Edition Service Pack 2
(3011780)

權限提高

重大

MS11-013 中的 2478971

Windows Server 2003 SP2 for Itanium-based Systems
(3011780)

權限提高

重大

MS11-013 中的 2478971

Windows Vista

Windows Vista Service Pack 2
(3011780)

無嚴重性等級[1]

Windows Vista x64 Edition Service Pack 2
(3011780)

無嚴重性等級[1]

Windows Server 2008

適用於 32 位元系統的 Windows Server 2008 Service Pack 2
(3011780)

權限提高

重大

MS10-014 中的 977290

適用於 x64 型系統的 Windows Server 2008 Service Pack 2
(3011780)

權限提高

重大

MS10-014 中的 977290

適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
(3011780)

權限提高

重大

Windows 7

適用於 32 位元系統的 Windows 7 Service Pack 1
(3011780)

無嚴重性等級[1]

SA2871997 中的 2982378

適用於 x64 型系統的 Windows 7 Service Pack 1
(3011780)

無嚴重性等級[1]

SA2871997 中的 2982378

Windows Server 2008 R2

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
(3011780)

權限提高

重大

SA2871997 中的 2982378

適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
(3011780)

權限提高

重大

SA2871997 中的 2982378

Windows 8 和 Windows 8.1

Windows 8 32 位元系統
(3011780)

無嚴重性等級[1]

適用於 x64 型系統的 Windows 8
(3011780)

無嚴重性等級[1]

Windows 8.1 32 位元系統
(3011780)

無嚴重性等級[1]

適用於 x64 型系統的 Windows 8.1
(3011780)

無嚴重性等級[1]

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3011780)

權限提高

重大

Windows Server 2012 R2
(3011780)

權限提高

重大

Server Core 安裝選項

適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(3011780)

權限提高

重大

MS10-014 中的 977290

適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(3011780)

權限提高

重大

MS10-014 中的 977290

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
(3011780)

權限提高

重大

SA2871997 中的 2982378

Windows Server 2012 (Server Core 安裝)
(3011780)

權限提高

重大

Windows Server 2012 R2 (Server Core 安裝)
(3011780)

權限提高

重大

注意 此更新可供 Windows Technical Preview 和 Windows Server Technical Preview 使用。建議執行這些作業系統的客戶套用更新,您可以透過 Windows Update 取得更新。

[1]嚴重性等級不適用此作業系統,因為不會出現此公告中指出的資訊安全風險。此更新提供其他深度防禦強化,但無法解決任何已知的資訊安全風險。

嚴重性等級和弱點識別碼

下列嚴重性等級是假設弱點可能造成的最嚴重影響而評定。在本安全性公告發行的 30 天內,如需弱點易遭利用性與嚴重性等級和安全性影響之間對應關係的資訊,請參閱 11 月份公告摘要中的<弱點索引>。

依受影響軟體列出的弱點嚴重性等級和最大安全性影響

受影響的軟體

Kerberos 總和檢查碼資訊安全風險 - CVE-2014-6324

彙總嚴重性等級

Windows Server 2003

Windows Server 2003 Service Pack 2
(3011780)

重大
權限提高

重大

Windows Server 2003 x64 Edition Service Pack 2
(3011780)

重大
權限提高

重大

Windows Server 2003 SP2 for Itanium-based Systems
(3011780)

重大
權限提高

重大

Windows Vista

Windows Vista Service Pack 2
(3011780)

無嚴重性等級

無嚴重性等級

Windows Vista x64 Edition Service Pack 2
(3011780)

無嚴重性等級

無嚴重性等級

Windows Server 2008

適用於 32 位元系統的 Windows Server 2008 Service Pack 2
(3011780)

重大
權限提高

重大

適用於 x64 型系統的 Windows Server 2008 Service Pack 2
(3011780)

重大
權限提高

重大

適用於 Itanium 型系統的 Windows Server 2008 Service Pack 2
(3011780)

重大
權限提高

重大

Windows 7

適用於 32 位元系統的 Windows 7 Service Pack 1
(3011780)

無嚴重性等級

無嚴重性等級

適用於 x64 型系統的 Windows 7 Service Pack 1
(3011780)

無嚴重性等級

無嚴重性等級

Windows Server 2008 R2

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1
(3011780)

重大
權限提高

重大

適用於 Itanium 型系統的 Windows Server 2008 R2 Service Pack 1
(3011780)

重大
權限提高

重大

Windows 8 和 Windows 8.1

Windows 8 32 位元系統
(3011780)

無嚴重性等級

無嚴重性等級

適用於 x64 型系統的 Windows 8
(3011780)

Windows 8.1 32 位元系統
(3011780)

無嚴重性等級

無嚴重性等級

適用於 x64 型系統的 Windows 8.1
(3011780)

無嚴重性等級

無嚴重性等級

Windows Server 2012 和 Windows Server 2012 R2

Windows Server 2012
(3011780)

重大
權限提高

重大

Windows Server 2012 R2
(3011780)

重大
權限提高

重大

Server Core 安裝選項

適用於 32 位元系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(3011780)

重大
權限提高

重大

適用於 x64 型系統的 Windows Server 2008 Service Pack 2 (Server Core 安裝)
(3011780)

重大
權限提高

重大

適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)
(3011780)

重大
權限提高

重大

Windows Server 2012 (Server Core 安裝)
(3011780)

重大
權限提高

重大

Windows Server 2012 R2 (Server Core 安裝)
(3011780)

重大
權限提高

重大

Kerberos 總和檢查碼資訊安全風險 - CVE-2014-6324

在 Microsoft Windows 的 Kerberos KDC 實作中存在遠端提高權限的資訊安全風險。之所以存在此資訊安全風險,是因為 Microsoft Kerberos KDC 實作無法正確驗證簽章,因而導致 Kerberos 服務票證的某些方面遭到偽造所致。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。發行此資訊安全公告時,Microsoft 已發現有嘗試利用此資訊安全風險、有限且目標明確的攻擊。請注意,已知的攻擊不會影響執行 Windows Server 2012 或 Windows Server 2012 R2 的系統。此更新可修正 Kerberos 之 Windows 實作中的簽章驗證行為,從而消除這項資訊安全風險。

緩和因素

下列緩和因素可能對您的狀況有所助益:

  • 攻擊者必須擁有有效的網域認證,才能利用這項資訊安全風險。擁有具備網域認證之標準使用者帳戶的使用者可從遠端使用受影響的元件;僅具備本機帳戶認證的使用者無法使用。

因應措施

Microsoft 尚未找到此項弱點的任何因應措施

常見問題集

攻擊者可能會利用這項弱點採取什麼行動?
攻擊者可利用此資訊安全風險,將未經授權的網域使用者帳戶提高至網域管理員帳戶。成功利用此資訊安全風險的攻擊者可以模擬網域上的任何使用者 (包括網域管理員),及加入任何群組。藉由模擬網域管理員,攻擊者可以安裝程式;檢視、變更或刪除資料;或在任何網域加入的系統上建立新帳戶。

攻擊者如何利用這項弱點?
經過驗證的網域使用者可將宣告使用者為網域管理員的偽造 Kerberos 票證,傳送給 Kerberos KDC。處理攻擊者的要求時,Kerberos KDC 不當驗證偽造的票證簽章,從而允許攻擊者以網域管理員的身分存取網路上的任何資源。

因為這個弱點而承受風險的主要系統有哪些?
設定作為 Kerberos 金鑰發佈中心 (KDC) 的網域控制站的風險最高。

資訊安全更新部署

如需資訊安全更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

感謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露資訊安全風險來協助我們保護客戶。請參閱認可 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

日期

  • V1.0 (2014 年 11 月 18 日):公告發行。

頁面產生時間:2014-11-18 7:17Z-08:00。