Boletín de seguridad de Microsoft MS14-068: crítico
Vulnerabilidad en Kerberos podría permitir la elevación de privilegios (3011780)
Publicado: 18 de noviembre de 2014
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad notificada de forma privada en KDC de Kerberos de Microsoft Windows que podría permitir que un atacante elevara privilegios de cuenta de usuario de dominio sin privilegios a los de la cuenta de administrador de dominio. Un atacante podría usar estos privilegios elevados para poner en peligro cualquier equipo del dominio, incluidos los controladores de dominio. Un atacante debe tener credenciales de dominio válidas para aprovechar esta vulnerabilidad. El componente afectado está disponible de forma remota para los usuarios que tienen cuentas de usuario estándar con credenciales de dominio; este no es el caso de los usuarios que solo tengan credenciales de cuenta local. Cuando se emitió este boletín de seguridad, Microsoft era consciente de ataques dirigidos limitados que intentan aprovechar esta vulnerabilidad.
Esta actualización de seguridad es crítica para todas las ediciones compatibles de Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2. La actualización también se proporciona en profundidad para todas las ediciones compatibles de Windows Vista, Windows 7, Windows 8 y Windows 8.1. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección del comportamiento de comprobación de firmas en implementaciones de Windows de Kerberos. Para obtener más información sobre la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) para ver la vulnerabilidad específica.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3011780.
Software afectado
Se ha probado el siguiente software para determinar qué versiones o ediciones se ven afectadas. Otras versiones o ediciones han pasado su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Software afectado
| Sistema operativo | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Novedades reemplazado |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Elevación de privilegios | Crítico | 2478971 en MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Elevación de privilegios | Crítico | 2478971 en MS11-013 |
| Windows Server 2003 con SP2 para sistemas basados en Itanium (3011780) | Elevación de privilegios | Crítico | 2478971 en MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | None | Sin clasificación de gravedad[1] | None |
| Windows Vista x64 Edition Service Pack 2 (3011780) | None | Sin clasificación de gravedad[1] | None |
| Windows Server 2008 | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3011780) | Elevación de privilegios | Crítico | 977290 en MS10-014 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (3011780) | Elevación de privilegios | Crítico | 977290 en MS10-014 |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 (3011780) | Elevación de privilegios | Crítico | None |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3011780) | None | Sin clasificación de gravedad[1] | 2982378 en SA2871997 |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3011780) | None | Sin clasificación de gravedad[1] | 2982378 en SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3011780) | Elevación de privilegios | Crítico | 2982378 en SA2871997 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3011780) | Elevación de privilegios | Crítico | 2982378 en SA2871997 |
| Windows 8 y Windows 8.1 | |||
| Windows 8 para sistemas de 32 bits (3011780) | None | Sin clasificación de gravedad[1] | None |
| Windows 8 para sistemas basados en x64 (3011780) | None | Sin clasificación de gravedad[1] | None |
| Windows 8.1 para sistemas de 32 bits (3011780) | None | Sin clasificación de gravedad[1] | None |
| Windows 8.1 para sistemas basados en x64 (3011780) | None | Sin clasificación de gravedad[1] | None |
| Windows Server 2012 y Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Elevación de privilegios | Crítico | None |
| Windows Server 2012 R2 (3011780) | Elevación de privilegios | Crítico | None |
| Opción de instalación Server Core | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) (3011780) | Elevación de privilegios | Crítico | 977290 en MS10-014 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación Server Core) (3011780) | Elevación de privilegios | Crítico | 977290 en MS10-014 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) (3011780) | Elevación de privilegios | Crítico | 2982378 en SA2871997 |
| Windows Server 2012 (instalación server Core) (3011780) | Elevación de privilegios | Crítico | None |
| Windows Server 2012 R2 (instalación server Core) (3011780) | Elevación de privilegios | Crítico | None |
Nota La actualización está disponible para Windows Technical Preview y Windows Server Technical Preview. Se recomienda a los clientes que ejecutan estos sistemas operativos aplicar la actualización, que está disponible a través de Windows Update.
[1]Las clasificaciones de gravedad no se aplican a este sistema operativo porque la vulnerabilidad abordada en este boletín no está presente. Esta actualización proporciona protección adicional en profundidad que no corrige ninguna vulnerabilidad conocida.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de noviembre.
| Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado | ||
|---|---|---|
| Software afectado | Vulnerabilidad de suma de comprobación de Kerberos: CVE-2014-6324 | Clasificación de gravedad agregada |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2003 con SP2 para sistemas basados en Itanium (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows Server 2008 | ||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows 7 | ||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows 8 y Windows 8.1 | ||
| Windows 8 para sistemas de 32 bits (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows 8 para sistemas basados en x64 (3011780) | ||
| Windows 8.1 para sistemas de 32 bits (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows 8.1 para sistemas basados en x64 (3011780) | Sin clasificación de gravedad | Sin clasificación de gravedad |
| Windows Server 2012 y Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2012 R2 (3011780) | Elevación crítica de privilegios | Crítica |
| Opción de instalación Server Core | ||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación Server Core) (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación server Core) (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2012 (instalación server Core) (3011780) | Elevación crítica de privilegios | Crítica |
| Windows Server 2012 R2 (instalación server Core) (3011780) | Elevación crítica de privilegios | Crítica |
Vulnerabilidad de suma de comprobación de Kerberos: CVE-2014-6324
Existe una vulnerabilidad de elevación remota de privilegios en implementaciones de KDC de Kerberos en Microsoft Windows. La vulnerabilidad existe cuando las implementaciones de KDC de Kerberos de Microsoft no pueden validar correctamente las firmas, lo que puede permitir la falsificación de determinados aspectos de un vale de servicio kerberos. Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. Cuando se emitió este boletín de seguridad, Microsoft era consciente de ataques dirigidos limitados que intentan aprovechar esta vulnerabilidad. Tenga en cuenta que los ataques conocidos no afectaron a los sistemas que ejecutan Windows Server 2012 o Windows Server 2012 R2. La actualización aborda la vulnerabilidad mediante la corrección del comportamiento de comprobación de firmas en implementaciones de Windows de Kerberos.
Factores de mitigación
Los siguientes factores de mitigación pueden ser útiles en su situación:
- Un atacante debe tener credenciales de dominio válidas para aprovechar esta vulnerabilidad. El componente afectado está disponible de forma remota para los usuarios que tienen cuentas de usuario estándar con credenciales de dominio; este no es el caso de los usuarios que solo tengan credenciales de cuenta local.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Preguntas más frecuentes
¿Qué podría hacer un atacante para usar la vulnerabilidad?
Un atacante podría usar esta vulnerabilidad para elevar una cuenta de usuario de dominio sin privilegios a una cuenta de administrador de dominio. Un atacante que aprovechara correctamente esta vulnerabilidad podría suplantar a cualquier usuario del dominio, incluidos los administradores de dominio, y unirse a cualquier grupo. Al suplantar al administrador de dominio, el atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas en cualquier sistema unido a un dominio.
¿Cómo podría un atacante aprovechar la vulnerabilidad?
Un usuario de dominio autenticado podría enviar al KDC de Kerberos un vale kerberos falsificado que dice que el usuario es un administrador de dominio. KDC de Kerberos valida incorrectamente la firma de vale falsificada al procesar las solicitudes del atacante, lo que permite al atacante acceder a cualquier recurso de la red con la identidad de un administrador de dominio.
¿Qué sistemas están principalmente en riesgo de la vulnerabilidad?
Los controladores de dominio configurados para actuar como un Centro de distribución de claves (KDC) kerberos están en riesgo.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (18 de noviembre de 2014): Boletín publicado.
Página generada 2015-01-14 11:40Z-08:00.