Bulletin zabezpečení společnosti Microsoft MS14-068 – kritické
Ohrožení zabezpečení protokolu Kerberos může umožnit zvýšení oprávnění (3011780)
Publikováno: 18. listopadu 2014
Verze: 1.0
Shrnutí
Tato aktualizace zabezpečení řeší soukromě hlášenou chybu zabezpečení v KDC protokolu Microsoft Windows Kerberos, která by mohla útočníkovi umožnit zvýšit oprávnění neprivilegovaného účtu uživatele domény na oprávnění správce domény. Útočník může tato zvýšená oprávnění použít k napadení jakéhokoli počítače v doméně, včetně řadičů domény. Aby mohl útočník tuto chybu zabezpečení zneužít, musí mít platné přihlašovací údaje k doméně. Ovlivněná komponenta je dostupná vzdáleně uživatelům, kteří mají standardní uživatelské účty s přihlašovacími údaji domény; to neplatí jenom pro uživatele s přihlašovacími údaji místního účtu. Při vydání tohoto bulletinu zabezpečení společnost Microsoft věděla o omezených cílených útocích, které se pokoušejí tuto chybu zabezpečení zneužít.
Tato aktualizace zabezpečení má hodnocení Kritické pro všechny podporované edice Systému Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 a Windows Server 2012 R2. Aktualizace je také poskytována v hloubkové obraně pro všechny podporované edice systému Windows Vista, Windows 7, Windows 8 a Windows 8.1. Další informace najdete v části Ovlivněný software .
Aktualizace zabezpečení řeší ohrožení zabezpečení tím, že opraví chování ověřování podpisu v implementacích protokolu Kerberos ve Windows. Další informace o ohrožení zabezpečení najdete v pododdílu Nejčastější dotazy pro konkrétní ohrožení zabezpečení.
Další informace o této aktualizaci naleznete v článku znalostní báze Microsoft Knowledge Base 3011780.
Ovlivněný software
Následující software byl testován k určení, které verze nebo edice jsou ovlivněny. Jiné verze nebo edice jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, přečtěte si téma podpora Microsoftu životní cyklus.
Ovlivněný software
| Operační systém | Maximální dopad na zabezpečení | Agregované hodnocení závažnosti | Aktualizace nahrazeno |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Zvýšení oprávnění | Kritické | 2478971 v MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Zvýšení oprávnění | Kritické | 2478971 v MS11-013 |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium (3011780) | Zvýšení oprávnění | Kritické | 2478971 v MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Nic | Bez hodnocení závažnosti[1] | Nic |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Nic | Bez hodnocení závažnosti[1] | Nic |
| Windows Server 2008 | |||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (3011780) | Zvýšení oprávnění | Kritické | 977290 v MS10-014 |
| Windows Server 2008 pro systémy založené na platformě x64 Service Pack 2 (3011780) | Zvýšení oprávnění | Kritické | 977290 v MS10-014 |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 (3011780) | Zvýšení oprávnění | Kritické | Nic |
| Windows 7 | |||
| Windows 7 pro 32bitové systémy Service Pack 1 (3011780) | Nic | Bez hodnocení závažnosti[1] | 2982378 v SA2871997 |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 (3011780) | Nic | Bez hodnocení závažnosti[1] | 2982378 v SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (3011780) | Zvýšení oprávnění | Kritické | 2982378 v SA2871997 |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 (3011780) | Zvýšení oprávnění | Kritické | 2982378 v SA2871997 |
| Windows 8 a Windows 8.1 | |||
| Windows 8 pro 32bitové systémy (3011780) | Nic | Bez hodnocení závažnosti[1] | Nic |
| Windows 8 pro systémy x64 (3011780) | Nic | Bez hodnocení závažnosti[1] | Nic |
| Windows 8.1 pro 32bitové systémy (3011780) | Nic | Bez hodnocení závažnosti[1] | Nic |
| Windows 8.1 pro systémy založené na platformě x64 (3011780) | Nic | Bez hodnocení závažnosti[1] | Nic |
| Windows Server 2012 a Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Zvýšení oprávnění | Kritické | Nic |
| Windows Server 2012 R2 (3011780) | Zvýšení oprávnění | Kritické | Nic |
| Možnost instalace jádra serveru | |||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace jádra serveru) (3011780) | Zvýšení oprávnění | Kritické | 977290 v MS10-014 |
| Windows Server 2008 pro systémy založené na platformě x64 Service Pack 2 (instalace jádra serveru) (3011780) | Zvýšení oprávnění | Kritické | 977290 v MS10-014 |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) (3011780) | Zvýšení oprávnění | Kritické | 2982378 v SA2871997 |
| Windows Server 2012 (instalace jádra serveru) (3011780) | Zvýšení oprávnění | Kritické | Nic |
| Windows Server 2012 R2 (instalace jádra serveru) (3011780) | Zvýšení oprávnění | Kritické | Nic |
Poznámka: Aktualizace je k dispozici pro Windows Technical Preview a Windows Server Technical Preview. Zákazníkům, kteří používají tyto operační systémy, doporučujeme použít aktualizaci, která je dostupná prostřednictvím služba Windows Update.
[1]Hodnocení závažnosti se pro tento operační systém nevztahují, protože není k dispozici ohrožení zabezpečení vyřešené v tomto bulletinu. Tato aktualizace poskytuje dodatečné posílení zabezpečení hloubkové ochrany, které neopravuje žádné známé ohrožení zabezpečení.
Hodnocení závažnosti a identifikátory ohrožení zabezpečení
Následující hodnocení závažnosti předpokládají potenciální maximální dopad ohrožení zabezpečení. Informace týkající se pravděpodobnosti, že do 30 dnů od vydání tohoto bulletinu zabezpečení dojde k zneužití ohrožení zabezpečení ve vztahu k jeho závažnosti a dopadu na zabezpečení, najdete v listopadovém souhrnu bulletinu index zneužitelnosti.
| Hodnocení závažnosti ohrožení zabezpečení a maximální dopad na zabezpečení ovlivněným softwarem | ||
|---|---|---|
| Ovlivněný software | Ohrožení zabezpečení kontrolního součtu protokolu Kerberos – CVE-2014-6324 | Agregované hodnocení závažnosti |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2003 s aktualizací SP2 pro počítače s procesorem Itanium (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows Server 2008 | ||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2008 pro systémy s platformou x64 Service Pack 2 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2008 pro počítače s procesorem Itanium Service Pack 2 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows 7 | ||
| Windows 7 pro 32bitové systémy Service Pack 1 (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows 8 a Windows 8.1 | ||
| Windows 8 pro 32bitové systémy (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows 8 pro systémy x64 (3011780) | ||
| Windows 8.1 pro 32bitové systémy (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows 8.1 pro systémy založené na platformě x64 (3011780) | Bez hodnocení závažnosti | Bez hodnocení závažnosti |
| Windows Server 2012 a Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2012 R2 (3011780) | Kritické zvýšení oprávnění | Kritická |
| Možnost instalace jádra serveru | ||
| Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace jádra serveru) (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2008 pro systémy x64 s aktualizací Service Pack 2 (instalace jádra serveru) (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2012 (instalace jádra serveru) (3011780) | Kritické zvýšení oprávnění | Kritická |
| Windows Server 2012 R2 (instalace jádra serveru) (3011780) | Kritické zvýšení oprávnění | Kritická |
Ohrožení zabezpečení kontrolního součtu protokolu Kerberos – CVE-2014-6324
V implementacích KDC protokolu Kerberos v systému Microsoft Windows existuje ohrožení zabezpečení spočívající ve vzdáleném zvýšení oprávnění. K ohrožení zabezpečení dochází v případě, že se implementace KDC protokolu Microsoft Kerberos nepodaří správně ověřit podpisy, což může umožnit, aby se určité aspekty lístku služby Kerberos zkládaly. Společnost Microsoft obdržela informace o této chybě zabezpečení prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Při vydání tohoto bulletinu zabezpečení společnost Microsoft věděla o omezených cílených útocích, které se pokoušejí tuto chybu zabezpečení zneužít. Všimněte si, že známé útoky nemají vliv na systémy se systémem Windows Server 2012 nebo Windows Server 2012 R2. Tato aktualizace řeší ohrožení zabezpečení tím, že opraví chování ověřování podpisu v implementacích Protokolu Kerberos ve Windows.
Faktory pro zmírnění rizika
Ve vaší situaci můžou být užitečné následující faktory pro zmírnění rizika:
- Aby mohl útočník tuto chybu zabezpečení zneužít, musí mít platné přihlašovací údaje k doméně. Ovlivněná komponenta je dostupná vzdáleně uživatelům, kteří mají standardní uživatelské účty s přihlašovacími údaji domény; to neplatí jenom pro uživatele s přihlašovacími údaji místního účtu.
Alternativní řešení
Společnost Microsoft nezjistila žádná alternativní řešení tohoto ohrožení zabezpečení.
Často kladené dotazy
Co může útočník použít k ohrožení zabezpečení?
Útočník by mohl tuto chybu zabezpečení použít ke zvýšení oprávnění neprivilegovaného uživatelského účtu domény na účet správce domény. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl zosobnit libovolného uživatele v doméně, včetně správců domény, a připojit se k jakékoli skupině. Zosobněním správce domény by útočník mohl nainstalovat programy; zobrazení, změna nebo odstranění dat; nebo vytvořte nové účty v jakémkoli systému připojeném k doméně.
Jak by mohl útočník zneužít tuto chybu zabezpečení?
Ověřený uživatel domény by mohl odeslat KDC protokolu Kerberos zkřetězený lístek Kerberos, který tvrdí, že je uživatel správcem domény. KDC protokolu Kerberos nesprávně ověří podpis zkopírovaného lístku při zpracování požadavků od útočníka, což útočníkovi umožní přístup k libovolnému prostředku v síti s identitou správce domény.
Jaké systémy jsou primárně ohroženy ohrožením zabezpečení?
Řadiče domény, které jsou nakonfigurované tak, aby fungovaly jako služba KDC (Key Distribution Center) protokolu Kerberos, jsou primárně ohrožené.
Nasazení aktualizace zabezpečení
Informace o nasazení aktualizací zabezpečení naleznete v článku znalostní báze Microsoft Knowledge Base, na který se odkazuje v souhrnu vedení.
Poděkování
Microsoft rozpoznává úsilí těch, kteří jsou v komunitě zabezpečení, kteří nám pomáhají chránit zákazníky prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Další informace najdete v části Potvrzení .
Právní doložka
Informace poskytované ve znalostní bázi Microsoft Knowledge Base jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (18. listopadu 2014): Bulletin publikován.
Stránka vygenerovaná 2015-01-14 11:40Z-08:00.