[Warning] Schwerwiegende Sicherheitslücke in Microsoft Windows Kerberos KDC (aktiv ausgenützt, Updates verfügbar)
Robert Waldner
waldner at cert.at
Wed Nov 19 08:03:18 CET 2014
19. November 2014
Beschreibung
Microsoft hat ein "Out-of-Band" Update herausgegeben, das einen
Fehler im Kerberos KDC in allen Windows Server Versionen korrigiert,
der bereits aktiv ausgenutzt wird.
Microsoft hat dazu ein Security Bulletin (MS14-068) und einen
Blog Eintrag veröffentlicht.
Die Schwachstelle erlaubt es einem Angreifer mit gültigem
Domain-Account (etwa über einen Exploit in sonstiger Software auf
einem Client-Rechner) sich Rechte als Domain Admin zu verschaffen,
und damit die Kontrolle über die ganze Windows Domain zu bekommen.
Sollte der Angreifer nur die Kontrolle über einen lokalen Account
bekommen haben, kann er diese Lücke nicht ausnutzen.
Weitere Informationen
CVE: CVE-2014-6324
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6324
Cisco Systems gibt zu diesem Problem einen CVSS2 Score von 8,5 (6,3
temporär) an:
http://tools.cisco.com/security/center/viewAlert.x?alertId=36460
Auswirkungen
Der Angreifer kann nach erfolgtem Ausnutzen dieser Lücke potentiell
beliebigen Code auf allen in der Windows Domain befindlichen Clients
ausführen und beispielsweise auch neue Domain-Benutzer mit beliebigen
Rechten anlegen. Dadurch sind alle Daten auf diesen Systemen, sowie
potenziell alle durch diese erreichbaren (etwa durch ausspionierte
Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
gefährdet.
Betroffene Systeme
Betroffen sind alle unterstützten Versionen von Microsoft Windows
Server:
* Windows Server 2003 Service Pack 2
* Windows Server 2003 x64 Edition Service Pack 2
* Windows Server 2003 mit SP2 für Itanium-basierte Systeme
* Windows Server 2008 für 32-bit Systeme Service Pack 2
* Windows Server 2008 für x64-basierte Systeme Service Pack 2
* Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
* Windows Server 2008 R2 für Itanium-basierte Systeme Service
Pack 1
* Windows Server 2012
* Windows Server 2012 R2
* Windows Server 2008 für 32-bit Systeme Service Pack 2 (Server
Core Installation)
* Windows Server 2008 für x64-basierte Systeme Service Pack 2
(Server Core Installation)
* Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
(Server Core Installation)
* Windows Server 2012 (Server Core Installation)
* Windows Server 2012 R2 (Server Core Installation)
Microsoft gibt auch an, dass für einen "Defense in Depth" Ansatz
Patches für die unterstützten Client-Versionen von Microsoft Windows
(Windows Vista, Windows 7, Windows 8 und Windows 8.1) zur Verfügung
gestellt werden, auch wenn die Lücke auf diesen nicht direkt
ausgenutzt werden kann.
Abhilfe
Installation der bereitgestellten Patches, auch auf Client-Versionen
von Microsoft Windows.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Microsoft Security Bulletin MS14-068 (englisch)
https://technet.microsoft.com/library/security/MS14-068
Microsoft Security Research & Defense Blog (englisch)
http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx
Artikel bei Heise Security
http://www.heise.de/newsticker/meldung/Update-ausser-der-Reihe-fuer-Zero-Day-in-allen-Windows-Serverversionen-2460000.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141119/62f9123e/attachment.sig>
More information about the Warning
mailing list