Бюллетень по безопасности Майкрософт MS14-068 — критически важный
Уязвимость в Kerberos может разрешить повышение привилегий (3011780)
Опубликовано: 18 ноября 2014 г.
Версия: 1.0
Краткий обзор
Это обновление безопасности разрешает частную уязвимость в KDC Microsoft Windows Kerberos, которая может позволить злоумышленнику повысить привилегии учетной записи пользователя домена до учетной записи администратора домена. Злоумышленник может использовать эти повышенные привилегии для компрометации любого компьютера в домене, включая контроллеры домена. Злоумышленник должен иметь допустимые учетные данные домена для использования этой уязвимости. Затронутый компонент доступен удаленно пользователям, имеющим стандартные учетные записи пользователей с учетными данными домена; Это не так для пользователей только с учетными данными локальной учетной записи. При выпуске этого бюллетеня по безопасности корпорация Майкрософт знала о ограниченных целевых атаках, пытающихся использовать эту уязвимость.
Это обновление системы безопасности имеет критически важное значение для всех поддерживаемых выпусков Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Обновление также предоставляется на подробной основе для всех поддерживаемых выпусков Windows Vista, Windows 7, Windows 8 и Windows 8.1. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление безопасности устраняет уязвимость, исправляя поведение проверки подписи в реализациях Kerberos в Windows. Дополнительные сведения об уязвимости см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной уязвимости.
Дополнительные сведения об этом обновлении см. в статье базы знаний Майкрософт 3011780.
Затронутого программного обеспечения
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Затронутого программного обеспечения
| Операционная система | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 с пакетом обновления 2 (3011780) | Несанкционированное получение привилегий | Критически важно | 2478971 в MS11-013 |
| Windows Server 2003 x64 Edition с пакетом обновления 2 (3011780) | Несанкционированное получение привилегий | Критически важно | 2478971 в MS11-013 |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium (3011780) | Несанкционированное получение привилегий | Критически важно | 2478971 в MS11-013 |
| Windows Vista | |||
| Windows Vista с пакетом обновления 2 (3011780) | нет | Нет оценки серьезности[1] | нет |
| Windows Vista x64 Edition с пакетом обновления 2 (3011780) | нет | Нет оценки серьезности[1] | нет |
| Windows Server 2008 | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (3011780) | Несанкционированное получение привилегий | Критически важно | 977290 в MS10-014 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (3011780) | Несанкционированное получение привилегий | Критически важно | 977290 в MS10-014 |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (3011780) | Несанкционированное получение привилегий | Критически важно | нет |
| Windows 7 | |||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (3011780) | нет | Нет оценки серьезности[1] | 2982378 в SA2871997 |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (3011780) | нет | Нет оценки серьезности[1] | 2982378 в SA2871997 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (3011780) | Несанкционированное получение привилегий | Критически важно | 2982378 в SA2871997 |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (3011780) | Несанкционированное получение привилегий | Критически важно | 2982378 в SA2871997 |
| Windows 8 и Windows 8.1 | |||
| Windows 8 для 32-разрядных систем (3011780) | нет | Нет оценки серьезности[1] | нет |
| Windows 8 для систем на основе x64 (3011780) | нет | Нет оценки серьезности[1] | нет |
| Windows 8.1 для 32-разрядных систем (3011780) | нет | Нет оценки серьезности[1] | нет |
| Windows 8.1 для систем на основе x64 (3011780) | нет | Нет оценки серьезности[1] | нет |
| Windows Server 2012 и Windows Server 2012 R2 | |||
| Windows Server 2012 (3011780) | Несанкционированное получение привилегий | Критически важно | нет |
| Windows Server 2012 R2 (3011780) | Несанкционированное получение привилегий | Критически важно | нет |
| Вариант установки основных серверных компонентов | |||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) (3011780) | Несанкционированное получение привилегий | Критически важно | 977290 в MS10-014 |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) (3011780) | Несанкционированное получение привилегий | Критически важно | 977290 в MS10-014 |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) (3011780) | Несанкционированное получение привилегий | Критически важно | 2982378 в SA2871997 |
| Windows Server 2012 (установка основных серверных компонентов) (3011780) | Несанкционированное получение привилегий | Критически важно | нет |
| Windows Server 2012 R2 (установка основных серверных компонентов) (3011780) | Несанкционированное получение привилегий | Критически важно | нет |
Обратите внимание , что обновление доступно для Windows Technical Preview и Windows Server Technical Preview. Клиентам, работающим с этими операционными системами, рекомендуется применить обновление, которое доступно через Обновл. Windows.
[1]Оценки серьезности не применяются к этой операционной системе, так как уязвимость, устраненная в этом бюллетене, отсутствует. Это обновление обеспечивает дополнительную глубинную защиту, которая не устраняет известную уязвимость.
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в ноябрьских бюллетенях.
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||
|---|---|---|
| Затронутого программного обеспечения | Уязвимость контрольной суммы Kerberos — CVE-2014-6324 | Оценка серьезности агрегата |
| Windows Server 2003 | ||
| Windows Server 2003 с пакетом обновления 2 (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2003 x64 Edition с пакетом обновления 2 (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium (3011780) | Критическое повышение привилегий | Критически |
| Windows Vista | ||
| Windows Vista с пакетом обновления 2 (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows Vista x64 Edition с пакетом обновления 2 (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows Server 2008 | ||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (3011780) | Критическое повышение привилегий | Критически |
| Windows 7 | ||
| Windows 7 для 32-разрядных систем с пакетом обновления 1 (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows 7 для систем на основе x64 с пакетом обновления 1 (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (3011780) | Критическое повышение привилегий | Критически |
| Windows 8 и Windows 8.1 | ||
| Windows 8 для 32-разрядных систем (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows 8 для систем на основе x64 (3011780) | ||
| Windows 8.1 для 32-разрядных систем (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows 8.1 для систем на основе x64 (3011780) | Нет оценки серьезности | Нет оценки серьезности |
| Windows Server 2012 и Windows Server 2012 R2 | ||
| Windows Server 2012 (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2012 R2 (3011780) | Критическое повышение привилегий | Критически |
| Вариант установки основных серверных компонентов | ||
| Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов) (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов) (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов) (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2012 (установка основных серверных компонентов) (3011780) | Критическое повышение привилегий | Критически |
| Windows Server 2012 R2 (установка основных серверных компонентов) (3011780) | Критическое повышение привилегий | Критически |
Уязвимость контрольной суммы Kerberos — CVE-2014-6324
Уязвимость удаленного повышения привилегий существует в реализации KDC Kerberos в Microsoft Windows. Уязвимость существует, когда реализации KDC Microsoft Kerberos не могут правильно проверять подписи, что может позволить для определенных аспектов запроса на обслуживание Kerberos быть выковано. Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей. При выпуске этого бюллетеня по безопасности корпорация Майкрософт знала о ограниченных целевых атаках, пытающихся использовать эту уязвимость. Обратите внимание, что известные атаки не повлияли на системы под управлением Windows Server 2012 или Windows Server 2012 R2. Обновление устраняет уязвимость, исправляя поведение проверки подписи в реализациях Kerberos в Windows.
Смягчающие факторы
В вашей ситуации могут оказаться полезными следующие факторы устранения рисков :
- Злоумышленник должен иметь допустимые учетные данные домена для использования этой уязвимости. Затронутый компонент доступен удаленно пользователям, имеющим стандартные учетные записи пользователей с учетными данными домена; Это не так для пользователей только с учетными данными локальной учетной записи.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Вопросы и ответы
Что может сделать злоумышленник?
Злоумышленник может использовать эту уязвимость для повышения непривилегированных учетных записей пользователя домена до учетной записи администратора домена. Злоумышленник, который успешно использовал эту уязвимость, может олицетворить любого пользователя в домене, включая администраторов домена, и присоединиться к любой группе. Олицетворение администратора домена злоумышленник может установить программы; просмотр, изменение или удаление данных; или создайте новые учетные записи в любой системе, присоединенной к домену.
Как злоумышленник может воспользоваться уязвимостью?
Прошедший проверку подлинности пользователь домена может отправить KDC Kerberos запросу Kerberos, который утверждает, что пользователь является администратором домена. KDC Kerberos неправильно проверяет подписанный билет при обработке запросов от злоумышленника, позволяя злоумышленнику получить доступ к любому ресурсу в сети с удостоверением администратора домена.
Какие системы в первую очередь подвергаются риску от уязвимости?
Контроллеры домена, настроенные для работы в качестве центра распространения ключей Kerberos (KDC), в основном подвержены риску.
Развертывание обновлений безопасности
Сведения о развертывании обновлений системы безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка руководства.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (18 ноября 2014 г.): Бюллетень опубликован.
Страница создана 2015-01-14 11:40Z-08:00.