Microsoft 安全公告 MS16-072 - 重要

组策略安全更新 (3163622)

发布时间:2016 年 6 月 14 日

版本: 1.0

执行摘要

此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果攻击者对域控制器与目标计算机之间的流量启动中间人 (MiTM) 攻击,漏洞可能允许特权提升。

对于所有受支持的 Microsoft Windows 版本,此安全更新程序的等级为“重要”。有关详细信息,请参阅受影响的软件和漏洞严重等级部分。

安全更新通过对某些基于 LDAP 的调用强制执行 Kerberos 身份验证来修复此漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”部分。

有关此更新程序的详细信息,请参阅 Microsoft 知识库文章 3163622

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本要么是支持生命周期已结束,要么是不受影响。若要确定软件版本的支持生命周期,请参阅 Microsoft 支持生命周期

针对每个受影响的软件标记的严重等级假设漏洞可能造成最大影响。若要了解在此安全公告发布 30 天内漏洞遭到利用的可能性(针对严重等级和安全影响),请参阅 6 月公告摘要中的利用指数。

**操作系统** [**组策略特权提升漏洞 - CVE-2016-3223**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-3223) **替代的更新**\*
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=92c2af08-f534-4c2c-91c3-7c94e839ee2d) (3159398) **重要** 特权提升
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=887f05d0-b6a6-4a46-8503-d0bd46eb1825) (3159398) **重要** 特权提升
**Windows Server 2008**
[Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=1cb4813c-68d7-46c6-9b78-627689f7ce32) (3159398) **重要** 特权提升
[Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=09ea0be0-3cab-4721-afa3-47439ca5360e) (3159398) **重要** 特权提升
[Windows Server 2008(用于基于 Itanium 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=f4f6f86d-4b9b-4e07-8186-3899275c2cf0) (3159398) **重要** 特权提升
**Windows 7**
[Windows 7(用于 32 位系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=87f0ef67-98ca-45c4-b174-08b3e868f92b) (3159398) **重要** 特权提升
[Windows 7(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=43de634c-f716-4dcd-bcf0-7d184848ea89) (3159398) **重要** 特权提升
**Windows Server 2008 R2**
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=a1c7b8ef-1022-4f3e-a3b3-9bcc0ceff2c1) (3159398) **重要** 特权提升
[Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=4714d51b-bc8c-41d2-9c18-d64c329b5b9e) (3159398) **重要** 特权提升
**Windows 8.1**
[Windows 8.1(用于 32 位系统)](https://www.microsoft.com/download/details.aspx?familyid=bdc5ba13-e125-4c5d-b99e-19faa4ac2576) (3159398) **重要** 特权提升
[Windows 8.1(用于基于 x64 的系统)](https://www.microsoft.com/download/details.aspx?familyid=4804c564-624f-4045-8f82-ab64efc2de11) (3159398) **重要** 特权提升
**Windows Server 2012 和 Windows Server 2012 R2**
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=fd7883ef-6e90-4d1b-9010-b7ff3d49d567) (3159398) **重要** 特权提升
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=2bfd8c4a-ad31-46a9-ac7b-fb8d7ce025ba) (3159398) **重要** 特权提升
**Windows RT**
Windows RT 8.1[1] (3159398) **重要** 特权提升
**Windows 10**
[Windows 10(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3163017)[2] (3163017) **重要** 特权提升 [3156387](https://support.microsoft.com/zh-cn/kb/3156387)
[Windows 10(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3163017)[2] (3163017) **重要** 特权提升 [3156387](https://support.microsoft.com/zh-cn/kb/3156387)
[Windows 10 版本 1511(用于 32 位系统)](https://support.microsoft.com/zh-cn/kb/3163018)[2] (3163018) **重要** 特权提升 [3156421](https://support.microsoft.com/zh-cn/kb/3156421)
[Windows 10 版本 1511(用于基于 x64 的系统)](https://support.microsoft.com/zh-cn/kb/3163018)[2] (3163018) **重要** 特权提升 [3156421](https://support.microsoft.com/zh-cn/kb/3156421)
**服务器核心安装选项**
[Windows Server 2008(用于 32 位系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=1cb4813c-68d7-46c6-9b78-627689f7ce32)(服务器核心安装) (3159398) **重要** 特权提升
[Windows Server 2008(用于基于 x64 的系统)Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=09ea0be0-3cab-4721-afa3-47439ca5360e)(服务器核心安装) (3159398) **重要** 特权提升
[Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=a1c7b8ef-1022-4f3e-a3b3-9bcc0ceff2c1)(服务器核心安装) (3159398) **重要** 特权提升
[Windows Server 2012](https://www.microsoft.com/download/details.aspx?familyid=fd7883ef-6e90-4d1b-9010-b7ff3d49d567)(服务器核心安装) (3159398) **重要** 特权提升
[Windows Server 2012 R2](https://www.microsoft.com/download/details.aspx?familyid=2bfd8c4a-ad31-46a9-ac7b-fb8d7ce025ba)(服务器核心安装) (3159398) **重要** 特权提升

[1]此更新仅通过 Windows 更新提供。

[2]Windows 10 更新程序是累积更新。除了非安全更新之外,每月安全发布还包括针对影响 Windows 10 的漏洞的所有安全修补程序。您可以通过 Microsoft 更新目录获取这些更新程序。

注意 Windows Server 2016 Technical Preview 5 受到影响。我们建议运行此操作系统的客户应用此更新程序(可通过 Windows 更新获取此更新程序)。

*“替代的更新程序”列仅显示一系列被取代的更新程序中最新的更新程序。有关替代的更新程序的完整列表,请转到 Microsoft 更新目录,搜索更新程序知识库文章编号,然后查看更新程序详细信息(替代的更新程序信息位于“程序包详细信息”选项卡中)。

漏洞信息

组策略特权提升漏洞 - CVE-2016-3223

当 Microsoft Windows 处理组策略更新时,将存在特权提升漏洞。成功利用此漏洞的攻击者可能会在目标计算机上提升特权或执行其他特权操作。

若要利用此漏洞,攻击者可能需要对域控制器与目标计算机之间的流量启动中间人 (MiTM) 攻击。然后,攻击者可以创建组策略来对标准用户授予管理员权限。安全更新通过对某些基于 LDAP 的调用强制执行 Kerberos 身份验证来修复此漏洞。

下表包含指向“常见漏洞和披露”列表中每个漏洞标准条目的链接:

漏洞标题

CVE 编号

公开披露

已被利用

组策略特权提升漏洞

CVE-2016-3223

### 缓解因素 以下[缓解因素](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)在您遇到的情形中可能会有所帮助: - Kerberos 防护功能将保护运行 Windows Server 2012 及以上版本的服务器和运行 Windows 8 及以上版本的客户端的已加入域的系统,使其免受此漏洞影响。有关其他信息,请参阅下列文章: - [Kerberos 身份验证中的新增功能](https://technet.microsoft.com/zh-cn/library/hh831747.aspx) - [动态访问控制:方案概述](https://technet.microsoft.com/zh-cn/library/hh831717.aspx) ### 变通办法 Microsoft 并未发现这些漏洞的任何[变通办法](https://technet.microsoft.com/zh-cn/library/security/dn848375.aspx)。 安全更新部署 ------------ 有关安全更新部署信息,请参阅[此处](#kbarticle)引用的 Microsoft 知识库文章(在“执行摘要”中)。 鸣谢 ---- Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅[鸣谢](https://technet.microsoft.com/zh-cn/library/security/mt674627.aspx)部分。 免责声明 -------- Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不提供任何种类的明示或默示担保,包括对适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation 或其供应商都不会对任何损害(包括直接的、间接的、偶然的、必然的损害、商业利润损失或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。 修订版本 -------- - V1.0(2016 年 6 月 14 日):公告已发布。 *页面生成时间:2016-06-07 12:43-07:00。*