Microsoft MS14-068 biztonsági közlemény – Kritikus fontosságú
A Kerberos biztonsági rése engedélyezheti a jogosultságszint-emelési jogosultságot (3011780)
Közzétéve: 2014. november 18.
Verzió: 1.0
Vezetői összefoglaló
Ez a biztonsági frissítés feloldja a Microsoft Windows Kerberos KDC magánjellegűleg jelentett biztonsági rését, amely lehetővé teszi a támadó számára, hogy emelje a nem emelt jogosultságú tartományi felhasználói fiók jogosultságait a tartományi rendszergazdai fiókhoz. A támadók ezen emelt szintű jogosultságokkal veszélyeztethetik a tartomány bármely számítógépét, beleértve a tartományvezérlőket is. A biztonsági rés kihasználásához a támadónak érvényes tartományi hitelesítő adatokkal kell rendelkeznie. Az érintett összetevő távolról érhető el azoknak a felhasználóknak, akik tartományi hitelesítő adatokkal rendelkeznek standard felhasználói fiókokkal; ez nem vonatkozik a csak helyi fiók hitelesítő adataival rendelkező felhasználókra. A biztonsági közlemény kiadásakor a Microsoft értesült a biztonsági rést kihasználni próbáló korlátozott, célzott támadásokról.
Ez a biztonsági frissítés kritikus besorolású a Windows Server 2003, a Windows Server 2008, a Windows Server 2008 R2, a Windows Server 2012 és a Windows Server 2012 R2 támogatott kiadásaihoz. A frissítés a Windows Vista, a Windows 7, a Windows 8 és a Windows 8.1 támogatott kiadásaihoz is részletes védelemmel szolgál. További információkért lásd az Érintett szoftverek szakaszt.
A biztonsági frissítés a Kerberos Windows-implementációiban az aláírás-ellenőrzési viselkedés javításával oldja meg a biztonsági rést. A biztonsági résről további információt az adott biztonsági rés gyakori kérdések (GYIK) alszakaszában talál.
A frissítésről további információt a Microsoft Tudásbázis 3011780.
Érintett szoftver
Az alábbi szoftvert teszteltük annak megállapítására, hogy mely verziókra vagy kiadásokra van hatással. A többi verzió vagy kiadás vagy túllépte a támogatási életciklusukat, vagy nem érinti őket. A szoftververzió vagy -kiadás támogatási életciklusának meghatározásához tekintse meg Microsoft ügyfélszolgálata életciklust.
Érintett szoftver
| Operációs rendszer | Maximális biztonsági hatás | Súlyosság összesített minősítése | Frissítések lecserélve |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3011780) | Jogosultsági szint emelése | Kritikus | 2478971 az MS11-013-ban |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Jogosultsági szint emelése | Kritikus | 2478971 az MS11-013-ban |
| Windows Server 2003 SP2 itanium-alapú rendszerekhez (3011780) | Jogosultsági szint emelése | Kritikus | 2478971 az MS11-013-ban |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | Egyik sem |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | Egyik sem |
| Windows Server 2008 | |||
| Windows Server 2008 for 32 bites Systems Service Pack 2 (3011780) | Jogosultsági szint emelése | Kritikus | 977290 az MS10-014-ben |
| Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (3011780) | Jogosultsági szint emelése | Kritikus | 977290 az MS10-014-ben |
| Windows Server 2008 for Itanium-alapú Systems Service Pack 2 (3011780) | Jogosultsági szint emelése | Kritikus | Egyik sem |
| Windows 7 | |||
| Windows 7 for 32 bites Systems Service Pack 1 (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | 2982378 SA2871997 |
| Windows 7 x64-alapú Systems Service Pack 1 (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | 2982378 SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (3011780) | Jogosultsági szint emelése | Kritikus | 2982378 SA2871997 |
| Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 (3011780) | Jogosultsági szint emelése | Kritikus | 2982378 SA2871997 |
| Windows 8 és Windows 8.1 | |||
| Windows 8 32 bites rendszerekhez (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | Egyik sem |
| Windows 8 x64-alapú rendszerekhez (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | Egyik sem |
| Windows 8.1 32 bites rendszerekhez (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | Egyik sem |
| Windows 8.1 x64-alapú rendszerekhez (3011780) | Egyik sem | Nincs súlyossági értékelés[1] | Egyik sem |
| Windows Server 2012 és Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Jogosultsági szint emelése | Kritikus | Egyik sem |
| Windows Server 2012 R2 (3011780) | Jogosultsági szint emelése | Kritikus | Egyik sem |
| Server Core telepítési lehetőség | |||
| Windows Server 2008 32 bites Systems Service Pack 2-hez (Server Core telepítés) (3011780) | Jogosultsági szint emelése | Kritikus | 977290 az MS10-014-ben |
| Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (Server Core telepítés) (3011780) | Jogosultsági szint emelése | Kritikus | 977290 az MS10-014-ben |
| Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (Server Core telepítés) (3011780) | Jogosultsági szint emelése | Kritikus | 2982378 SA2871997 |
| Windows Server 2012 (Server Core telepítés) (3011780) | Jogosultsági szint emelése | Kritikus | Egyik sem |
| Windows Server 2012 R2 (Server Core telepítés) (3011780) | Jogosultsági szint emelése | Kritikus | Egyik sem |
Megjegyzés: A frissítés elérhető a Windows Technical Preview és a Windows Server Technical Preview rendszerhez. Az ezeket az operációs rendszereket futtató ügyfeleknek javasoljuk, hogy alkalmazzák a Windows Update-en keresztül elérhető frissítést.
[1]A súlyossági minősítések nem vonatkoznak erre az operációs rendszerre, mert a jelen közleményben ismertetett biztonsági rés nem található. Ez a frissítés további részletes védelmet biztosít, amely nem oldja meg az ismert biztonsági réseket.
Súlyossági minősítések és biztonságirés-azonosítók
Az alábbi súlyossági minősítések feltételezik a biztonsági rés lehetséges maximális hatását. A biztonsági rés súlyosságával és biztonsági hatásával kapcsolatos biztonsági rés kihasználásának valószínűségéről a biztonsági közlemény megjelenésétől számított 30 napon belül tekintse meg a novemberi közlemény összegzésében található Kizsákmányolhatósági indexet.
| Biztonságirés súlyossági besorolása és az érintett szoftverek által gyakorolt maximális biztonsági hatás | ||
|---|---|---|
| Érintett szoftver | Kerberos Ellenőrzőösszeg biztonsági rése – CVE-2014-6324 | Súlyosság összesített minősítése |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2003 x64 Edition Service Pack 2 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2003 SP2 itanium-alapú rendszerekhez (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows Vista x64 Edition Service Pack 2 (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows Server 2008 | ||
| Windows Server 2008 for 32 bites Systems Service Pack 2 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2008 x64-alapú Systems Service Pack 2 rendszerhez (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2008 for Itanium-alapú Systems Service Pack 2 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows 7 | ||
| Windows 7 for 32 bites Systems Service Pack 1 (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows 7 x64-alapú Systems Service Pack 1 (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2008 R2 for Itanium-alapú Systems Service Pack 1 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows 8 és Windows 8.1 | ||
| Windows 8 32 bites rendszerekhez (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows 8 x64-alapú rendszerekhez (3011780) | ||
| Windows 8.1 32 bites rendszerekhez (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows 8.1 x64-alapú rendszerekhez (3011780) | Nincs súlyossági minősítés | Nincs súlyossági minősítés |
| Windows Server 2012 és Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2012 R2 (3011780) | Jogosultság kritikus emelése | Kritikus |
| Server Core telepítési lehetőség | ||
| Windows Server 2008 for 32 bites Systems Service Pack 2 (Server Core telepítés) (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2008 x64-alapú Systems Service Pack 2-hez (Server Core telepítés) (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2008 R2 x64-alapú Systems Service Pack 1 rendszerhez (Server Core telepítés) (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2012 (Server Core telepítés) (3011780) | Jogosultság kritikus emelése | Kritikus |
| Windows Server 2012 R2 (Server Core telepítés) (3011780) | Jogosultság kritikus emelése | Kritikus |
Kerberos Ellenőrzőösszeg biztonsági rése – CVE-2014-6324
A Microsoft Windows Kerberos KDC-implementációiban távoli jogosultságszint-emelési biztonsági rés áll fenn. A biztonsági rés akkor áll fenn, ha a Microsoft Kerberos KDC-implementációk nem tudják megfelelően ellenőrizni az aláírásokat, ami lehetővé teszi a Kerberos-szolgáltatásjegyek bizonyos elemeinek hamisítását. A Microsoft összehangolt biztonságirés-közzététellel kapott információt erről a biztonsági résről. A biztonsági közlemény kiadásakor a Microsoft értesült a biztonsági rést kihasználni próbáló korlátozott, célzott támadásokról. Vegye figyelembe, hogy az ismert támadások nem befolyásolták a Windows Server 2012 vagy a Windows Server 2012 R2 rendszert futtató rendszereket. A frissítés a Kerberos Windows-implementációiban az aláírás-ellenőrzési viselkedés javításával oldja meg a biztonsági rést.
Enyhítő tényezők
Az alábbi enyhítő tényezők hasznosak lehetnek az Ön helyzetében:
- A biztonsági rés kihasználásához a támadónak érvényes tartományi hitelesítő adatokkal kell rendelkeznie. Az érintett összetevő távolról érhető el azoknak a felhasználóknak, akik tartományi hitelesítő adatokkal rendelkeznek standard felhasználói fiókokkal; ez nem vonatkozik a csak helyi fiók hitelesítő adataival rendelkező felhasználókra.
Kerülő megoldások
A Microsoft nem talált megkerülő megoldást a biztonsági résre.
GYIK
Mire használhatja a támadó a biztonsági rést?
A támadó ezzel a biztonsági résrel emelhet egy nem jogosultságokkal rendelkező tartományi felhasználói fiókot egy tartományi rendszergazdai fiókba. A biztonsági rést sikeresen kihasználó támadók megszemélyesíthetik a tartomány bármely felhasználóját, beleértve a tartományi rendszergazdákat is, és bármilyen csoporthoz csatlakozhatnak. A tartományi rendszergazda megszemélyesítésével a támadó programokat telepíthet; adatok megtekintése, módosítása vagy törlése; vagy hozzon létre új fiókokat bármely tartományhoz csatlakoztatott rendszeren.
Hogyan használhatja ki a támadó a biztonsági rést?
Egy hitelesített tartományfelhasználó hamis Kerberos-jegyet küldhet a Kerberos KDC-nek, amely azt állítja, hogy a felhasználó tartományi rendszergazda. A Kerberos KDC helytelenül ellenőrzi a hamis jegy aláírását a támadótól érkező kérések feldolgozásakor, így a támadó hozzáférhet a hálózati erőforrásokhoz egy tartományi rendszergazda identitásával.
Mely rendszerek vannak elsősorban veszélyben a sebezhetőség miatt?
Elsősorban azok a tartományvezérlők vannak veszélyben, amelyek Kerberos-kulcsterjesztési központként (KDC) működnek.
Biztonsági frissítés üzembe helyezése
A biztonsági frissítések központi telepítésével kapcsolatos információkért tekintse meg a Microsoft Tudásbázis vezetői összefoglalójában hivatkozott cikket.
Köszönetnyilvánítás
A Microsoft felismeri a biztonsági közösség azon dolgozóinak erőfeszítéseit, akik összehangolt biztonsági rések feltárásával segítenek az ügyfelek védelmében. További információt a Nyugtázások című témakörben talál.
Felelősséget kizáró nyilatkozat
A Microsoft Tudásbázisban megadott információk "az adott módon" vannak megadva, semmilyen garancia nélkül. A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.
Változatok
- 1.0-s verzió (2014. november 18.): Közlemény megjelent.
Lap generálva 2015-01-14 11:40Z-08:00.