Schwerwiegende Sicherheitslücke in Microsoft Windows Kerberos KDC (aktiv ausgenützt, Updates verfügbar)

19. November 2014

Beschreibung

Microsoft hat ein "Out-of-Band" Update herausgegeben, das einen Fehler im Kerberos KDC in allen Windows Server Versionen korrigiert, der bereits aktiv ausgenutzt wird.

Microsoft hat dazu ein Security Bulletin (MS14-068) und einen Blog Eintrag veröffentlicht.

Die Schwachstelle erlaubt es einem Angreifer mit gültigem Domain-Account (etwa über einen Exploit in sonstiger Software auf einem Client-Rechner) sich Rechte als Domain Admin zu verschaffen, und damit die Kontrolle über die ganze Windows Domain zu bekommen. Sollte der Angreifer nur die Kontrolle über einen lokalen Account bekommen haben, kann er diese Lücke nicht ausnutzen.

Weitere Informationen

CVE: CVE-2014-6324

Cisco Systems gibt zu diesem Problem einen CVSS2 Score von 8,5 (6,3 temporär) an: http://tools.cisco.com/security/center/viewAlert.x?alertId=36460

Auswirkungen

Der Angreifer kann nach erfolgtem Ausnutzen dieser Lücke potentiell beliebigen Code auf allen in der Windows Domain befindlichen Clients ausführen und beispielsweise auch neue Domain-Benutzer mit beliebigen Rechten anlegen. Dadurch sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Betroffen sind alle unterstützten Versionen von Microsoft Windows Server:
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 mit SP2 für Itanium-basierte Systeme
  • Windows Server 2008 für 32-bit Systeme Service Pack 2
  • Windows Server 2008 für x64-basierte Systeme Service Pack 2
  • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
  • Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008 für 32-bit Systeme Service Pack 2 (Server Core Installation)
  • Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core Installation)
  • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core Installation)
  • Windows Server 2012 (Server Core Installation)
  • Windows Server 2012 R2 (Server Core Installation)

Microsoft gibt auch an, dass für einen "Defense in Depth" Ansatz Patches für die unterstützten Client-Versionen von Microsoft Windows (Windows Vista, Windows 7, Windows 8 und Windows 8.1) zur Verfügung gestellt werden, auch wenn die Lücke auf diesen nicht direkt ausgenutzt werden kann.

Abhilfe

Installation der bereitgestellten Patches, auch auf Client-Versionen von Microsoft Windows.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Microsoft Security Bulletin MS14-068 (englisch)
https://technet.microsoft.com/library/security/MS14-068
Microsoft Security Research & Defense Blog (englisch)
http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx
Artikel bei Heise Security
http://www.heise.de/newsticker/meldung/Update-ausser-der-Reihe-fuer-Zero-Day-in-allen-Windows-Serverversionen-2460000.html