Biuletyn zabezpieczeń firmy Microsoft MS14-068 — krytyczne
Luka w zabezpieczeniach protokołu Kerberos może zezwalać na podniesienie uprawnień (3011780)
Opublikowano: 18 listopada 2014 r.
Wersja: 1.0
Streszczenie
Ta aktualizacja zabezpieczeń rozwiązuje prywatnie zgłoszoną lukę w zabezpieczeniach centrum dystrybucji kluczy Protokołu Kerberos systemu Microsoft Windows, która może umożliwić atakującemu podniesienie uprawnień konta użytkownika domeny nieuprzywilejowanej do kont administratora domeny. Osoba atakująca może użyć tych podwyższonych uprawnień, aby naruszyć bezpieczeństwo dowolnego komputera w domenie, w tym kontrolerów domeny. Osoba atakująca musi mieć prawidłowe poświadczenia domeny, aby wykorzystać tę lukę w zabezpieczeniach. Składnik, którego dotyczy problem, jest dostępny zdalnie dla użytkowników, którzy mają standardowe konta użytkowników z poświadczeniami domeny; nie dotyczy to tylko użytkowników z poświadczeniami konta lokalnego. Po wydaniu tego biuletynu zabezpieczeń firma Microsoft wiedziała o ograniczonych atakach ukierunkowanych, które próbują wykorzystać tę lukę w zabezpieczeniach.
Ta aktualizacja zabezpieczeń jest oceniana jako krytyczna dla wszystkich obsługiwanych wersji systemu Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 i Windows Server 2012 R2. Aktualizacja jest również udostępniana w sposób szczegółowy dla wszystkich obsługiwanych wersji systemu Windows Vista, Windows 7, Windows 8 i Windows 8.1. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, poprawiając zachowanie weryfikacji podpisu w implementacjach protokołu Kerberos w systemie Windows. Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz podsekcję Często zadawane pytania dotyczące określonej luki w zabezpieczeniach.
Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3011780.
Oprogramowanie, którego dotyczy problem
Następujące oprogramowanie zostało przetestowane w celu określenia, na które wersje lub wydania mają wpływ. Inne wersje lub wydania są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
Oprogramowanie, którego dotyczy problem
| System operacyjny | Maksymalny wpływ na zabezpieczenia | Ocena zagregowanej ważności | Aktualizacje zastąpione |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 z dodatkiem Service Pack 2 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 2478971 w ms11-013 |
| Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 2478971 w ms11-013 |
| Windows Server 2003 z dodatkiem SP2 dla systemów opartych na itanium (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 2478971 w ms11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Brak | Brak oceny ważności[1] | Brak |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 (3011780) | Brak | Brak oceny ważności[1] | Brak |
| Windows Server 2008 | |||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 977290 w ms10-014 |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 977290 w ms10-014 |
| Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | Brak |
| Windows 7 | |||
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3011780) | Brak | Brak oceny ważności[1] | 2982378 w usłudze SA2871997 |
| System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3011780) | Brak | Brak oceny ważności[1] | 2982378 w usłudze SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 2982378 w usłudze SA2871997 |
| Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 2982378 w usłudze SA2871997 |
| Windows 8 i Windows 8.1 | |||
| System Windows 8 dla systemów 32-bitowych (3011780) | Brak | Brak oceny ważności[1] | Brak |
| Windows 8 dla systemów opartych na architekturze x64 (3011780) | Brak | Brak oceny ważności[1] | Brak |
| Windows 8.1 dla systemów 32-bitowych (3011780) | Brak | Brak oceny ważności[1] | Brak |
| Windows 8.1 dla systemów opartych na architekturze x64 (3011780) | Brak | Brak oceny ważności[1] | Brak |
| Windows Server 2012 i Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | Brak |
| Windows Server 2012 R2 (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | Brak |
| Opcja instalacji Server Core | |||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core) (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 977290 w ms10-014 |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (instalacja Server Core) (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 977290 w ms10-014 |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | 2982378 w usłudze SA2871997 |
| Windows Server 2012 (instalacja Server Core) (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | Brak |
| Windows Server 2012 R2 (instalacja Server Core) (3011780) | Elevation of Privilege (podniesienie uprawnień) | Krytyczne | Brak |
Uwaga Aktualizacja jest dostępna dla systemów Windows Technical Preview i Windows Server Technical Preview. Klienci korzystający z tych systemów operacyjnych są zachęcani do stosowania aktualizacji, która jest dostępna za pośrednictwem usługi Windows Update.
[1]Oceny ważności nie dotyczą tego systemu operacyjnego, ponieważ luka w zabezpieczeniach rozwiązana w tym biuletynie nie jest obecna. Ta aktualizacja zapewnia dodatkowe zabezpieczenia w głębi systemu ochrony, które nie naprawia żadnych znanych luk w zabezpieczeniach.
Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach
Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu listopada.
| Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem | ||
|---|---|---|
| Oprogramowanie, którego dotyczy problem | Luka w zabezpieczeniach dotycząca sumy kontrolnej protokołu Kerberos — CVE-2014-6324 | Ocena zagregowanej ważności |
| Windows Server 2003 | ||
| Windows Server 2003 z dodatkiem Service Pack 2 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2003 x64 Edition z dodatkiem Service Pack 2 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2003 z dodatkiem SP2 dla systemów itanium (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Brak oceny ważności | Brak oceny ważności |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 (3011780) | Brak oceny ważności | Brak oceny ważności |
| Windows Server 2008 | ||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows 7 | ||
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3011780) | Brak oceny ważności | Brak oceny ważności |
| Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3011780) | Brak oceny ważności | Brak oceny ważności |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2008 R2 dla systemów opartych na itanium z dodatkiem Service Pack 1 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows 8 i Windows 8.1 | ||
| System Windows 8 dla systemów 32-bitowych (3011780) | Brak oceny ważności | Brak oceny ważności |
| System Windows 8 dla systemów opartych na architekturze x64 (3011780) | ||
| Windows 8.1 dla systemów 32-bitowych (3011780) | Brak oceny ważności | Brak oceny ważności |
| Windows 8.1 dla systemów opartych na architekturze x64 (3011780) | Brak oceny ważności | Brak oceny ważności |
| Windows Server 2012 i Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2012 R2 (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Opcja instalacji Server Core | ||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core) (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2008 for x64-based Systems Service Pack 2 (instalacja Server Core) (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2012 (instalacja Server Core) (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
| Windows Server 2012 R2 (instalacja Server Core) (3011780) | Krytyczne podniesienie uprawnień | Krytyczne |
Luka w zabezpieczeniach dotycząca sumy kontrolnej protokołu Kerberos — CVE-2014-6324
Luka w zabezpieczeniach dotycząca zdalnego podniesienia uprawnień istnieje w implementacjach centrum dystrybucji kluczy Kerberos w systemie Microsoft Windows. Luka w zabezpieczeniach istnieje, gdy implementacje centrum dystrybucji kluczy protokołu Kerberos firmy Microsoft nie mogą prawidłowo zweryfikować podpisów, co może umożliwić sfałszowanie niektórych aspektów biletu usługi Kerberos. Firma Microsoft otrzymała informacje o tej lukach w zabezpieczeniach poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Po wydaniu tego biuletynu zabezpieczeń firma Microsoft wiedziała o ograniczonych atakach ukierunkowanych, które próbują wykorzystać tę lukę w zabezpieczeniach. Należy pamiętać, że znane ataki nie miały wpływu na systemy z systemem Windows Server 2012 lub Windows Server 2012 R2. Aktualizacja usuwa tę lukę w zabezpieczeniach, poprawiając zachowanie weryfikacji podpisu w implementacjach protokołu Kerberos w systemie Windows.
Czynniki korygujące
Następujące czynniki korygujące mogą być pomocne w Twojej sytuacji:
- Osoba atakująca musi mieć prawidłowe poświadczenia domeny, aby wykorzystać tę lukę w zabezpieczeniach. Składnik, którego dotyczy problem, jest dostępny zdalnie dla użytkowników, którzy mają standardowe konta użytkowników z poświadczeniami domeny; nie dotyczy to tylko użytkowników z poświadczeniami konta lokalnego.
Obejścia
Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .
Często zadawane pytania
Co może zrobić osoba atakująca?
Osoba atakująca może użyć tej luki w zabezpieczeniach, aby podnieść poziom nieuprzywilejowanego konta użytkownika domeny do konta administratora domeny. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może personifikować dowolnego użytkownika w domenie, w tym administratorów domeny i dołączyć do dowolnej grupy. Personifikując administratora domeny, osoba atakująca może zainstalować programy; wyświetlanie, zmienianie lub usuwanie danych; lub utwórz nowe konta w dowolnym systemie przyłączonym do domeny.
Jak osoba atakująca może wykorzystać tę lukę w zabezpieczeniach?
Uwierzytelniony użytkownik domeny może wysłać sfałszowany bilet protokołu Kerberos usługi Kerberos protokołu Kerberos, który twierdzi, że użytkownik jest administratorem domeny. Usługa Kerberos KDC nieprawidłowo weryfikuje sfałszowany podpis biletu podczas przetwarzania żądań od osoby atakującej, umożliwiając atakującemu uzyskanie dostępu do dowolnego zasobu w sieci przy użyciu tożsamości administratora domeny.
Jakie systemy są narażone przede wszystkim na lukę w zabezpieczeniach?
Kontrolery domeny skonfigurowane do działania jako centrum dystrybucji kluczy Kerberos (KDC) są zagrożone przede wszystkim.
Wdrażanie aktualizacji zabezpieczeń
Informacje o wdrażaniu aktualizacji zabezpieczeń można znaleźć w artykule bazy wiedzy Microsoft Knowledge Base, do których odwołuje się podsumowanie wykonawcze.
Podziękowania
Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .
Zastrzeżenie
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (18 listopada 2014 r.): Opublikowano biuletyn.
Strona wygenerowana 2015-01-14 11:40Z-08:00.