Beveiligingsupdate voor Kerberos om beveiligingsfuncties te omzeilen (3105256)
Gepubliceerd: 10 november 2015 | Bijgewerkt: 7 april 2016
Versie: 1.2
Samenvatting
Met deze beveiligingsupdate wordt een bypass van beveiligingsfuncties in Microsoft Windows opgelost. Een aanvaller kan Kerberos-verificatie omzeilen op een doelcomputer en stations ontsleutelen die worden beveiligd door BitLocker. De bypass kan alleen worden misbruikt als BitLocker is ingeschakeld zonder een pincode of USB-sleutel en de computer lid is van een domein.
Deze beveiligingsupdate heeft de classificatie Belangrijk voor alle ondersteunde edities van Windows. Zie de sectie Beïnvloede software voor meer informatie.
De update adresseert de bypass door een extra verificatiecontrole toe te voegen die wordt uitgevoerd voordat een wachtwoord wordt gewijzigd. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over het beveiligingsprobleem.
Ernstclassificaties voor betrokken software en beveiligingsproblemen
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitabiliteit in de samenvatting van het bulletin van november.
Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software
[1]Houd er rekening mee dat update-3081320 in MS15-121 en 3101746 in MS15-115 gelijktijdig worden uitgebracht met 3101246 in dit bulletin, MS15-122. Klanten die alle drie de updates handmatig willen installeren in Windows 7 Service Pack 1 of Windows Server 2008 R2 Service Pack 1, moeten de updates in de volgende volgorde installeren: 3101246 eerste, 3081320 tweede en 3101746 derde (dit wordt automatisch geregeld voor klanten waarvoor automatisch bijwerken is ingeschakeld). Klanten kunnen ook alleen 3101746 installeren, die de updates voor 3101246 en 3081320 bevat. Zie de sectie Bekende problemen van het Microsoft Knowledge Base-artikel 3105256 voor meer informatie.
[2]Houd er rekening mee dat update-3081320 in MS15-121 en 3101746 in MS15-115 gelijktijdig worden uitgebracht met 3101246 in MS15-122. Klanten die van plan zijn om alle drie de updates handmatig te installeren op Windows 8 of Windows Server 2012, moeten de updates in de volgende volgorde installeren: 3101246 eerste, 3101746 tweede en 3081320 derde (dit wordt automatisch geregeld voor klanten waarvoor automatisch bijwerken is ingeschakeld). Klanten kunnen ook alleen 3081320 installeren, die de updates voor 3101246 en 3101746 bevat. Zie de sectie Bekende problemen van het Microsoft Knowledge Base-artikel 3105256 voor meer informatie.
[3]Windows 10-updates zijn cumulatief. Naast het bevatten van niet-beveiligingsupdates bevatten ze ook alle beveiligingsoplossingen voor alle door Windows 10 getroffen beveiligingsproblemen die worden verzonden met de maandelijkse beveiligingsrelease. De updates zijn beschikbaar via de Microsoft Update-catalogus.
Houd er rekening mee dat Windows Server Technical Preview 3 wordt beïnvloed. Klanten die dit besturingssysteem uitvoeren, worden aangemoedigd om de update toe te passen, die beschikbaar is via Windows Update.
*De kolom Updates vervangen toont alleen de meest recente update in een keten van vervangen updates. Voor een uitgebreide lijst met updates die zijn vervangen, gaat u naar de Microsoft Update-catalogus, zoekt u naar het KB-nummer van de update en bekijkt u de updategegevens (informatie over de vervangen updates vindt u op het tabblad Pakketdetails).
Veelgestelde vragen over bijwerken
Windows RT en Windows RT 8.1 worden niet vermeld in de tabel Ernstclassificaties voor betrokken software en beveiligingsproblemen. Waarom krijg ik de 3101246 update aangeboden?
De kwetsbare code bestaat in alle ondersteunde versies van Windows, maar het beveiligingsprobleem kan niet worden misbruikt in systemen met Windows RT of Windows RT 8.1. Als diepgaande meting is de update geïmplementeerd op alle ondersteunde producten en versies die de kwetsbare code bevatten.
Informatie over het beveiligingsprobleem
Windows Kerberos-beveiligingsfunctie omzeilen - CVE-2015-6095
Er bestaat een bypass van beveiligingsfuncties in Windows wanneer Kerberos de wachtwoordwijziging van een gebruiker bij een werkstation niet kan controleren. Een aanvaller kan Kerberos-verificatie omzeilen op een doelcomputer en stations ontsleutelen die worden beveiligd door BitLocker.
Een aanvaller kan Kerberos-verificatie omzeilen door een werkstation te verbinden met een schadelijk Kerberos Key Distribution Center (KDC).
De update adresseren de bypass door een extra verificatiecontrole toe te voegen. Microsoft heeft informatie ontvangen over de bypass van de beveiligingsfunctie via gecoördineerde openbaarmaking van beveiligingsproblemen. Op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven, wist Microsoft niet dat er aanvallen werden uitgevoerd om deze bypass te misbruiken.
Deze bypass kan alleen worden misbruikt als BitLocker is ingeschakeld voor het doelsysteem zonder een pincode of USB-sleutel.
Een domeingebruiker moet zijn aangemeld bij de doelcomputer om de aanval te voltooien.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar hier wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
V1.0 (10 november 2015): Bulletin gepubliceerd.
V1.1 (9 december 2015): Herzien bulletin om alle verwijzingen te verwijderen naar de vereiste dat een aanvaller fysieke toegang heeft tot de doelcomputer om CVE-2015-6095 te exploiteren. Dit is alleen een informatieve wijziging. Klanten die de update al hebben geïnstalleerd, hoeven geen actie te ondernemen.
V1.2 (7 april 2016): De voetnoten bijgewerkt volgens de tabel Ernstclassificaties voor betrokken software en beveiligingsproblemen om de installatievolgorde voor be 3101746 veiligingsupdates in MS15-115, 3081320 in MS15-121 en 3101246 in MS15-122 verder te verduidelijken. Dit is alleen een informatieve wijziging. Klanten die de update al hebben geïnstalleerd, hoeven geen actie te ondernemen.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.