Megosztás a következőn keresztül:


Microsoft MS14-068 biztonsági közlemény – Kritikus fontosságú

A Kerberos biztonsági rése engedélyezheti a jogosultságszint-emelési jogosultságot (3011780)

Közzétéve: 2014. november 18.

Verzió: 1.0

Vezetői összefoglaló

Ez a biztonsági frissítés feloldja a Microsoft Windows Kerberos KDC magánjellegűleg jelentett biztonsági rését, amely lehetővé teszi a támadó számára, hogy emelje a nem emelt jogosultságú tartományi felhasználói fiók jogosultságait a tartományi rendszergazdai fiókhoz. A támadók ezen emelt szintű jogosultságokkal veszélyeztethetik a tartomány bármely számítógépét, beleértve a tartományvezérlőket is. A biztonsági rés kihasználásához a támadónak érvényes tartományi hitelesítő adatokkal kell rendelkeznie. Az érintett összetevő távolról érhető el azoknak a felhasználóknak, akik tartományi hitelesítő adatokkal rendelkeznek standard felhasználói fiókokkal; ez nem vonatkozik a csak helyi fiók hitelesítő adataival rendelkező felhasználókra. A biztonsági közlemény kiadásakor a Microsoft értesült a biztonsági rést kihasználni próbáló korlátozott, célzott támadásokról.

Ez a biztonsági frissítés kritikus besorolású a Windows Server 2003, a Windows Server 2008, a Windows Server 2008 R2, a Windows Server 2012 és a Windows Server 2012 R2 támogatott kiadásaihoz. A frissítés a Windows Vista, a Windows 7, a Windows 8 és a Windows 8.1 támogatott kiadásaihoz is részletes védelemmel szolgál. További információkért lásd az Érintett szoftverek szakaszt.

A biztonsági frissítés a Kerberos Windows-implementációiban az aláírás-ellenőrzési viselkedés javításával oldja meg a biztonsági rést. A biztonsági résről további információt az adott biztonsági rés gyakori kérdések (GYIK) alszakaszában talál.

A frissítésről további információt a Microsoft Tudásbázis 3011780.

Érintett szoftver

Az alábbi szoftvert teszteltük annak megállapítására, hogy mely verziókra vagy kiadásokra van hatással. A többi verzió vagy kiadás vagy túllépte a támogatási életciklusukat, vagy nem érinti őket. A szoftververzió vagy -kiadás támogatási életciklusának meghatározásához tekintse meg Microsoft ügyfélszolgálata életciklust.

Érintett szoftver 

Operációs rendszer Maximális biztonsági hatás Súlyosság összesített minősítése Frissítések lecserélve
Windows Server 2003
Windows Server 2003 Service Pack 2 (3011780) Jogosultsági szint emelése Kritikus 2478971 az MS11-013-ban
Windows Server 2003 x64 Edition Service Pack 2 (3011780) Jogosultsági szint emelése Kritikus 2478971 az MS11-013-ban
Windows Server 2003 SP2 itanium-alapú rendszerekhez (3011780) Jogosultsági szint emelése Kritikus 2478971 az MS11-013-ban
Windows Vista
Windows Vista Service Pack 2 (3011780) Egyik sem Nincs súlyossági értékelés[1] Egyik sem
Windows Vista x64 Edition Service Pack 2 (3011780) Egyik sem Nincs súlyossági értékelés[1] Egyik sem
Windows Server 2008
Windows Server 2008 for 32 bites Systems Service Pack 2 (3011780) Jogosultsági szint emelése Kritikus 977290 az MS10-014-ben
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (3011780) Jogosultsági szint emelése Kritikus 977290 az MS10-014-ben
Windows Server 2008 for Itanium-alapú Systems Service Pack 2 (3011780) Jogosultsági szint emelése Kritikus Egyik sem
Windows 7
Windows 7 for 32 bites Systems Service Pack 1 (3011780) Egyik sem Nincs súlyossági értékelés[1] 2982378 SA2871997
Windows 7 x64-alapú Systems Service Pack 1 (3011780) Egyik sem Nincs súlyossági értékelés[1] 2982378 SA2871997
Windows Server 2008 R2
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (3011780) Jogosultsági szint emelése Kritikus 2982378 SA2871997
Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 (3011780) Jogosultsági szint emelése Kritikus 2982378 SA2871997
Windows 8 és Windows 8.1
Windows 8 32 bites rendszerekhez (3011780) Egyik sem Nincs súlyossági értékelés[1] Egyik sem
Windows 8 x64-alapú rendszerekhez (3011780) Egyik sem Nincs súlyossági értékelés[1] Egyik sem
Windows 8.1 32 bites rendszerekhez (3011780) Egyik sem Nincs súlyossági értékelés[1] Egyik sem
Windows 8.1 x64-alapú rendszerekhez (3011780) Egyik sem Nincs súlyossági értékelés[1] Egyik sem
Windows Server 2012 és Windows Server 2012 R2
Windows Server 2012 (3011780) Jogosultsági szint emelése Kritikus Egyik sem
Windows Server 2012 R2 (3011780) Jogosultsági szint emelése Kritikus Egyik sem
Server Core telepítési lehetőség
Windows Server 2008 32 bites Systems Service Pack 2-hez (Server Core telepítés) (3011780) Jogosultsági szint emelése Kritikus 977290 az MS10-014-ben
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (Server Core telepítés) (3011780) Jogosultsági szint emelése Kritikus 977290 az MS10-014-ben
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (Server Core telepítés) (3011780) Jogosultsági szint emelése Kritikus 2982378 SA2871997
Windows Server 2012 (Server Core telepítés) (3011780) Jogosultsági szint emelése Kritikus Egyik sem
Windows Server 2012 R2 (Server Core telepítés) (3011780) Jogosultsági szint emelése Kritikus Egyik sem

Megjegyzés: A frissítés elérhető a Windows Technical Preview és a Windows Server Technical Preview rendszerhez. Az ezeket az operációs rendszereket futtató ügyfeleknek javasoljuk, hogy alkalmazzák a Windows Update-en keresztül elérhető frissítést.

[1]A súlyossági minősítések nem vonatkoznak erre az operációs rendszerre, mert a jelen közleményben ismertetett biztonsági rés nem található. Ez a frissítés további részletes védelmet biztosít, amely nem oldja meg az ismert biztonsági réseket.

 

Súlyossági minősítések és biztonságirés-azonosítók

Az alábbi súlyossági minősítések feltételezik a biztonsági rés lehetséges maximális hatását. A biztonsági rés súlyosságával és biztonsági hatásával kapcsolatos biztonsági rés kihasználásának valószínűségéről a biztonsági közlemény megjelenésétől számított 30 napon belül tekintse meg a novemberi közlemény összegzésében található Kizsákmányolhatósági indexet.

Biztonságirés súlyossági besorolása és az érintett szoftverek által gyakorolt maximális biztonsági hatás
Érintett szoftver Kerberos Ellenőrzőösszeg biztonsági rése – CVE-2014-6324 Súlyosság összesített minősítése
Windows Server 2003
Windows Server 2003 Service Pack 2 (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2003 x64 Edition Service Pack 2 (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2003 SP2 itanium-alapú rendszerekhez (3011780) Jogosultság kritikus emelése Kritikus
Windows Vista
Windows Vista Service Pack 2 (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows Vista x64 Edition Service Pack 2 (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows Server 2008
Windows Server 2008 for 32 bites Systems Service Pack 2 (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2008 for Itanium-alapú Systems Service Pack 2 (3011780) Jogosultság kritikus emelése Kritikus
Windows 7
Windows 7 for 32 bites Systems Service Pack 1 (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows 7 x64-alapú Systems Service Pack 1 (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows Server 2008 R2
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 (3011780) Jogosultság kritikus emelése Kritikus
Windows 8 és Windows 8.1
Windows 8 32 bites rendszerekhez (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows 8 x64-alapú rendszerekhez (3011780)
Windows 8.1 32 bites rendszerekhez (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows 8.1 x64-alapú rendszerekhez (3011780) Nincs súlyossági minősítés Nincs súlyossági minősítés
Windows Server 2012 és Windows Server 2012 R2
Windows Server 2012 (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2012 R2 (3011780) Jogosultság kritikus emelése Kritikus
Server Core telepítési lehetőség
Windows Server 2008 for 32 bites Systems Service Pack 2 (Server Core telepítés) (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2008 x64-alapú Systems Service Pack 2-hez (Server Core telepítés) (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (Server Core telepítés) (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2012 (Server Core telepítés) (3011780) Jogosultság kritikus emelése Kritikus
Windows Server 2012 R2 (Server Core telepítés) (3011780) Jogosultság kritikus emelése Kritikus

 

Kerberos Ellenőrzőösszeg biztonsági rése – CVE-2014-6324

A Microsoft Windows Kerberos KDC-implementációiban távoli jogosultságszint-emelési biztonsági rés áll fenn. A biztonsági rés akkor áll fenn, ha a Microsoft Kerberos KDC-implementációk nem tudják megfelelően ellenőrizni az aláírásokat, ami lehetővé teszi a Kerberos-szolgáltatásjegyek bizonyos elemeinek hamisítását. A Microsoft összehangolt biztonságirés-közzététellel kapott információt erről a biztonsági résről. A biztonsági közlemény kiadásakor a Microsoft értesült a biztonsági rést kihasználni próbáló korlátozott, célzott támadásokról. Vegye figyelembe, hogy az ismert támadások nem befolyásolták a Windows Server 2012 vagy a Windows Server 2012 R2 rendszert futtató rendszereket. A frissítés a Kerberos Windows-implementációiban az aláírás-ellenőrzési viselkedés javításával oldja meg a biztonsági rést.

Enyhítő tényezők

Az alábbi enyhítő tényezők hasznosak lehetnek az Ön helyzetében:

  • A biztonsági rés kihasználásához a támadónak érvényes tartományi hitelesítő adatokkal kell rendelkeznie. Az érintett összetevő távolról érhető el azoknak a felhasználóknak, akik tartományi hitelesítő adatokkal rendelkeznek standard felhasználói fiókokkal; ez nem vonatkozik a csak helyi fiók hitelesítő adataival rendelkező felhasználókra. 

Kerülő megoldások

A Microsoft nem talált megkerülő megoldást a biztonsági résre.

GYIK

Mire használhatja a támadó a biztonsági rést?
A támadó ezzel a biztonsági résrel emelhet egy nem jogosultságokkal rendelkező tartományi felhasználói fiókot egy tartományi rendszergazdai fiókba. A biztonsági rést sikeresen kihasználó támadók megszemélyesíthetik a tartomány bármely felhasználóját, beleértve a tartományi rendszergazdákat is, és bármilyen csoporthoz csatlakozhatnak. A tartományi rendszergazda megszemélyesítésével a támadó programokat telepíthet; adatok megtekintése, módosítása vagy törlése; vagy hozzon létre új fiókokat bármely tartományhoz csatlakoztatott rendszeren.

Hogyan használhatja ki a támadó a biztonsági rést?
Egy hitelesített tartományfelhasználó hamis Kerberos-jegyet küldhet a Kerberos KDC-nek, amely azt állítja, hogy a felhasználó tartományi rendszergazda. A Kerberos KDC helytelenül ellenőrzi a hamis jegy aláírását a támadótól érkező kérések feldolgozásakor, így a támadó hozzáférhet a hálózati erőforrásokhoz egy tartományi rendszergazda identitásával.

Mely rendszerek vannak elsősorban veszélyben a sebezhetőség miatt?
Elsősorban azok a tartományvezérlők vannak veszélyben, amelyek Kerberos-kulcsterjesztési központként (KDC) működnek.

Biztonsági frissítés üzembe helyezése

A biztonsági frissítések központi telepítésével kapcsolatos információkért tekintse meg a Microsoft Tudásbázis vezetői összefoglalójában hivatkozott cikket.

Köszönetnyilvánítás

A Microsoft felismeri a biztonsági közösség azon dolgozóinak erőfeszítéseit, akik összehangolt biztonsági rések feltárásával segítenek az ügyfelek védelmében. További információt a Nyugtázások című témakörben talál.

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban megadott információk "az adott módon" vannak megadva, semmilyen garancia nélkül. A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.

Változatok

  • 1.0-s verzió (2014. november 18.): Közlemény megjelent.

Lap generálva 2015-01-14 11:40Z-08:00.