Sharon Vardi

Vor kurzem hat Microsoft ein Sicherheitsupdate (MS14-068) für Windows Server veröffentlicht. Die gepatchte Sicherheitslücke befindet sich im Windows Kerberos Key Distribution Center (KDC), das die Sitzungstickets für Identitäten innerhalb von Active Directory beim Zugriff auf die Ressourcen der Domäne generiert. Wenn Clients den Zugriff auf eine Ressource anfordern, wenden sie sich an den Ticket-gewährenden Dienst in der Zieldomäne der Ressource, legen ihr TGT vor und bitten um ein Sitzungsticket für die Ressource. Dieses Ticket ist für den Zeitraum gültig, der in der Kerberos-Richtlinie der Domäne unter 'Maximale Lebensdauer des Service-Tickets' festgelegt ist (Standard ist 10 Stunden).

Die Sicherheitslücke ermöglicht es dem Angreifer, ein standardmäßiges (nicht privilegiertes) Domänenbenutzerkonto (validiertes Domänenkonto) auf die Ebene von 'Domänenadministrator'-Konten zu erheben, indem er entfernten authentifizierten Domänenbenutzern erlaubt, über ein gefälschtes Kerberos-Sitzungsticket, das eine temperierte PAC-Struktur (Privilege Attribute Certificate) enthält, Domänenadministratorrechte zu erhalten.

Dieses Update wird für alle unterstützten Editionen von Microsoft Windows Server 2003 2012 R2 als kritisch eingestuft und wird für Windows Clients 7 SP1 8.1 als vorbeugende Maßnahme bereitgestellt (keine Sicherheitsauswirkungen). Domänencontroller, die so konfiguriert sind, dass sie als Kerberos Key Distribution Center fungieren, sind in erster Linie gefährdet. Das Update behebt die Sicherheitslücke, indem es das Verhalten der Signaturüberprüfung in Windows-Implementierungen von Kerberos korrigiert.
Die Sicherheitslücke wurde Microsoft vom Qualcomm Information Security & Risk Management Team gemeldet.

Diese Sicherheitslücke tritt nur eine Woche nach der Meldung einer anderen Sicherheitslücke in der Active Directory-Komponente (Microsoft Secure Channel Schannel) auf (MS14-066, CVE-2014-6321).

Um weitere Informationen zu erhalten, besuchen Sie bitte 'Microsoft Security Bulletin MS14-068 Critical' oder 'Zusätzliche Informationen zu CVE-2014-6324′.