Bulletin de sécurité Microsoft MS14-068 - Critique
La vulnérabilité dans Kerberos peut autoriser l’élévation de privilèges (3011780)
Publication : 18 novembre 2014
Version : 1.0
Résumé
Cette mise à jour de sécurité résout une vulnérabilité signalée en privé dans le KDC Kerberos Microsoft Windows qui pourrait permettre à un attaquant d’élever des privilèges de compte d’utilisateur de domaine non privilégiés à ceux du compte d’administrateur de domaine. Un attaquant peut utiliser ces privilèges élevés pour compromettre tout ordinateur du domaine, y compris les contrôleurs de domaine. Un attaquant doit avoir des informations d’identification de domaine valides pour exploiter cette vulnérabilité. Le composant concerné est disponible à distance pour les utilisateurs disposant de comptes d’utilisateur standard avec des informations d’identification de domaine ; ce n’est pas le cas pour les utilisateurs disposant uniquement d’informations d’identification de compte local. Lorsque ce bulletin de sécurité a été émis, Microsoft a pris connaissance d’attaques ciblées limitées et ciblées qui tentent d’exploiter cette vulnérabilité.
Cette mise à jour de sécurité est évaluée critique pour toutes les éditions prises en charge de Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2. La mise à jour est également fournie en profondeur pour toutes les éditions prises en charge de Windows Vista, Windows 7, Windows 8 et Windows 8.1. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout la vulnérabilité en corrigeant le comportement de vérification de signature dans les implémentations Windows de Kerberos. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur la vulnérabilité spécifique.
Pour plus d’informations sur cette mise à jour, consultez l’article 3011780 de la Base de connaissances Microsoft.
Logiciel affecté
Le logiciel suivant a été testé pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Logiciel affecté
| Système d’exploitation | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Élévation de privilège | Critique | 2478971 dans MS11-013 |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Élévation de privilège | Critique | 2478971 dans MS11-013 |
| Windows Server 2003 avec SP2 pour les systèmes Itanium (3011780) | Élévation de privilège | Critique | 2478971 dans MS11-013 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Aucun | Aucune évaluation de gravité[1] | Aucun |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Aucun | Aucune évaluation de gravité[1] | Aucun |
| Windows Server 2008 | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3011780) | Élévation de privilège | Critique | 977290 dans MS10-014 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (3011780) | Élévation de privilège | Critique | 977290 dans MS10-014 |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3011780) | Élévation de privilège | Critique | Aucun |
| Windows 7 | |||
| Windows 7 pour systèmes 32 bits Service Pack 1 (3011780) | Aucun | Aucune évaluation de gravité[1] | 2982378 dans SA2871997 |
| Windows 7 pour systèmes x64 Service Pack 1 (3011780) | Aucun | Aucune évaluation de gravité[1] | 2982378 dans SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3011780) | Élévation de privilège | Critique | 2982378 dans SA2871997 |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3011780) | Élévation de privilège | Critique | 2982378 dans SA2871997 |
| Windows 8 et Windows 8.1 | |||
| Windows 8 pour systèmes 32 bits (3011780) | Aucun | Aucune évaluation de gravité[1] | Aucun |
| Windows 8 pour systèmes x64 (3011780) | Aucun | Aucune évaluation de gravité[1] | Aucun |
| Windows 8.1 pour les systèmes 32 bits (3011780) | Aucun | Aucune évaluation de gravité[1] | Aucun |
| Windows 8.1 pour les systèmes x64 (3011780) | Aucun | Aucune évaluation de gravité[1] | Aucun |
| Windows Server 2012 et Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Élévation de privilège | Critique | Aucun |
| Windows Server 2012 R2 (3011780) | Élévation de privilège | Critique | Aucun |
| Option d’installation server Core | |||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation Server Core) (3011780) | Élévation de privilège | Critique | 977290 dans MS10-014 |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation Server Core) (3011780) | Élévation de privilège | Critique | 977290 dans MS10-014 |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation server Core) (3011780) | Élévation de privilège | Critique | 2982378 dans SA2871997 |
| Windows Server 2012 (installation minimale) (3011780) | Élévation de privilège | Critique | Aucun |
| Windows Server 2012 R2 (installation minimale) (3011780) | Élévation de privilège | Critique | Aucun |
Notez que la mise à jour est disponible pour Windows Technical Preview et Windows Server Technical Preview. Les clients exécutant ces systèmes d’exploitation sont encouragés à appliquer la mise à jour, disponible via Windows Update.
[1]Les évaluations de gravité ne s’appliquent pas à ce système d’exploitation, car la vulnérabilité traitée dans ce bulletin n’est pas présente. Cette mise à jour fournit un renforcement supplémentaire de la défense en profondeur qui ne résout aucune vulnérabilité connue.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de novembre.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||
|---|---|---|
| Logiciel affecté | Vulnérabilité de somme de contrôle Kerberos - CVE-2014-6324 | Évaluation de gravité agrégée |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2003 Édition x64 Service Pack 2 (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2003 avec SP2 pour les systèmes Itanium (3011780) | Élévation critique des privilèges | Critique |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows Server 2008 | ||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2008 pour les systèmes Itanium Service Pack 2 (3011780) | Élévation critique des privilèges | Critique |
| Windows 7 | ||
| Windows 7 pour systèmes 32 bits Service Pack 1 (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows 7 pour systèmes x64 Service Pack 1 (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2008 R2 pour les systèmes Itanium Service Pack 1 (3011780) | Élévation critique des privilèges | Critique |
| Windows 8 et Windows 8.1 | ||
| Windows 8 pour systèmes 32 bits (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows 8 pour systèmes x64 (3011780) | ||
| Windows 8.1 pour les systèmes 32 bits (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows 8.1 pour les systèmes x64 (3011780) | Aucune évaluation de gravité | Aucune évaluation de gravité |
| Windows Server 2012 et Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2012 R2 (3011780) | Élévation critique des privilèges | Critique |
| Option d’installation server Core | ||
| Windows Server 2008 pour systèmes 32 bits Service Pack 2 (installation server Core) (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2008 pour systèmes x64 Service Pack 2 (installation server Core) (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core) (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2012 (installation minimale) (3011780) | Élévation critique des privilèges | Critique |
| Windows Server 2012 R2 (installation minimale) (3011780) | Élévation critique des privilèges | Critique |
Vulnérabilité de somme de contrôle Kerberos - CVE-2014-6324
Une vulnérabilité d’élévation de privilèges distante existe dans les implémentations du KDC Kerberos dans Microsoft Windows. La vulnérabilité existe lorsque les implémentations du KDC Microsoft Kerberos ne parviennent pas à valider correctement les signatures, ce qui peut permettre à certains aspects d’un ticket de service Kerberos d’être falsifiés. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft a pris connaissance d’attaques ciblées limitées et ciblées qui tentent d’exploiter cette vulnérabilité. Notez que les attaques connues n’ont pas affecté les systèmes exécutant Windows Server 2012 ou Windows Server 2012 R2. La mise à jour résout la vulnérabilité en corrigeant le comportement de vérification de signature dans les implémentations Windows de Kerberos.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Un attaquant doit avoir des informations d’identification de domaine valides pour exploiter cette vulnérabilité. Le composant concerné est disponible à distance pour les utilisateurs disposant de comptes d’utilisateur standard avec des informations d’identification de domaine ; ce n’est pas le cas pour les utilisateurs disposant uniquement d’informations d’identification de compte local.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
FAQ
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant peut utiliser cette vulnérabilité pour élever un compte d’utilisateur de domaine non privilégié à un compte d’administrateur de domaine. Un attaquant qui a réussi à exploiter cette vulnérabilité peut emprunter l’identité d’un utilisateur sur le domaine, y compris les administrateurs de domaine et rejoindre n’importe quel groupe. En empruntant l’identité de l’administrateur de domaine, l’attaquant peut installer des programmes ; afficher, modifier ou supprimer des données ; ou créez des comptes sur n’importe quel système joint à un domaine.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un utilisateur de domaine authentifié peut envoyer au contrôleur de domaine Kerberos un ticket Kerberos falsifié qui prétend que l’utilisateur est un administrateur de domaine. Kerberos KDC valide incorrectement la signature de ticket falsifiée lors du traitement des demandes de l’attaquant, ce qui permet à l’attaquant d’accéder à n’importe quelle ressource sur le réseau avec l’identité d’un administrateur de domaine.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Les contrôleurs de domaine configurés pour agir en tant que centre de distribution de clés Kerberos (KDC) sont principalement à risque.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (18 novembre 2014) : Bulletin publié.
Page générée 2015-01-14 11 :40Z-08 :00.