Vor kurzem hat Microsoft ein Sicherheitsupdate (MS14-068) für Windows Server veröffentlicht. Die behobene Sicherheitslücke betrifft das Windows Kerberos Key Distribution Center (KDC), das beim Zugriff auf die Ressourcen der Domäne Sitzungstickets für Identitäten innerhalb von Active Directory generiert. Wenn Clients Zugriff auf eine Ressource anfordern, kontaktieren sie den Ticket-Granting-Service in der Zielressourcendomäne, legen ihr TGT vor und fordern ein Session-Ticket für die Ressource an. Dieses Ticket ist für den Zeitraum gültig, der in der Einstellung „Maximale Lebensdauer für Service-Ticket“ policy der policy Domäne festgelegt ist (Standardwert ist 10 Stunden).
Die Sicherheitslücke ermöglicht es dem Angreifer, ein standardmäßiges (nicht privilegiertes) Domänenbenutzerkonto (validiertes Domänenkonto) auf die Ebene von 'Domänenadministrator'-Konten zu erheben, indem er entfernten authentifizierten Domänenbenutzern erlaubt, über ein gefälschtes Kerberos-Sitzungsticket, das eine temperierte PAC-Struktur (Privilege Attribute Certificate) enthält, Domänenadministratorrechte zu erhalten.
Dieses Update wird für alle unterstützten Editionen von Microsoft Windows Server 2003 2012 R2 als kritisch eingestuft und wird für Windows Clients 7 SP1 8.1 als vorbeugende Maßnahme bereitgestellt (keine Sicherheitsauswirkungen). Domänencontroller, die so konfiguriert sind, dass sie als Kerberos Key Distribution Center fungieren, sind in erster Linie gefährdet. Das Update behebt die Sicherheitslücke, indem es das Verhalten der Signaturüberprüfung in Windows-Implementierungen von Kerberos korrigiert.
Die Sicherheitslücke wurde Microsoft vom Qualcomm Information Security & Risk Management Team gemeldet.
Diese Sicherheitslücke tritt nur eine Woche nach der Meldung einer anderen Sicherheitslücke in der Active Directory-Komponente (Microsoft Secure Channel Schannel) auf (MS14-066, CVE-2014-6321).
Um weitere Informationen zu erhalten, besuchen Sie bitte 'Microsoft Security Bulletin MS14-068 Critical' oder 'Zusätzliche Informationen zu CVE-2014-6324′.
