Beveiligingsprobleem in RADIUS-implementatie van netwerkbeleidsserver kan denial of service veroorzaken (3014029)
Gepubliceerd: 13 januari 2015
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate wordt een privé gemeld beveiligingsprobleem in Microsoft Windows opgelost. Het beveiligingsprobleem kan denial of service toestaan op een IAS (Internet Authentication Service) of Network Policy Server (NPS) als een aanvaller speciaal gemaakte gebruikersnaamtekenreeksen naar de IAS of NPS verzendt. Houd er rekening mee dat het denial of service-beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of gebruikersrechten te verhogen; Het kan echter RADIUS-verificatie op de IAS of NPS voorkomen.
Deze beveiligingsupdate is beoordeeld belangrijk voor alle ondersteunde edities van Windows Server 2003, Windows Server 2008 (met uitzondering van Itanium), Windows Server 2008 R2 (met uitzondering van Itanium), Windows Server 2012 en Windows Server 2012 R2. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te wijzigen hoe gebruikersnaamquery's door Network Policy Servers worden geparseerd bij het implementeren van RADIUS. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over het beveiligingsprobleem.
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in het overzicht van het bulletin van januari.
Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software
Windows Server 2003 x64 Edition Service Pack 2 (3014029)
Belangrijk\ Denial of Service
Belangrijk
Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen (3014029)
Belangrijk\ Denial of Service
Belangrijk
Windows Server 2008
Windows Server 2008 voor 32-bits systemen Service Pack 2 (3014029)
Belangrijk\ Denial of Service
Belangrijk
Windows Server 2008 voor x64-systemen Service Pack 2 (3014029)
Belangrijk\ Denial of Service
Belangrijk
Windows Server 2008 R2
Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3014029)
Belangrijk\ Denial of Service
Belangrijk
Windows Server 2012 en Windows Server 2012 R2
Windows Server 2012 (3014029)
Belangrijk\ Denial of Service
Belangrijk
Windows Server 2012 R2 (3014029)
Belangrijk\ Denial of Service
Belangrijk
Informatie over het beveiligingsprobleem
Radius-beveiligingsprobleem met radius-implementatie van Network Policy Server - CVE-2015-0015
Dit is een denial of service-beveiligingsprobleem. Een niet-geverifieerde aanvaller die dit beveiligingsprobleem heeft misbruikt, kan speciaal gemaakte gebruikersnaamtekenreeksen verzenden naar een IAS (Internet Authentication Service) of NPS (Network Policy Server), waardoor een denial of service-voorwaarde voor RADIUS-verificatie op de IAS of NPS wordt veroorzaakt. Houd er rekening mee dat het denial of service-beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of gebruikersrechten te verhogen; Het kan echter RADIUS-verificatie op de IAS of NPS voorkomen. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan ertoe leiden dat het doelsysteem niet meer reageert. Netwerkbeleidsservers waarmee externe, niet-vertrouwde gebruikers kunnen worden geverifieerd, lopen een bepaald risico op dit beveiligingsprobleem. In de update wordt het denial of service-beveiligingsprobleem opgelost door te wijzigen hoe gebruikersnamenquery's door Network Policy Servers worden geparseerd bij het implementeren van RADIUS.
Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.