Recientemente, Microsoft ha publicado una actualización de seguridad (MS14-068) para Windows Server. La vulnerabilidad parcheada se encuentra en el Centro de Distribución de Claves Kerberos (KDC) de Windows, que genera los tickets de sesión para las identidades dentro de Active Directory al acceder a los recursos del dominio. Cuando los clientes solicitan acceso a un recurso, se ponen en contacto con el servicio de concesión de vales en el dominio del recurso de destino, presentan su TGT y solicitan un vale de sesión para el recurso. Este vale es válido durante el período de "Vida útil máxima para el vale de servicio" definido en la política Kerberos del dominio (el valor predeterminado es 10 horas).
La vulnerabilidad permite al atacante elevar una cuenta de usuario de dominio estándar (sin privilegios) (cuenta de dominio validada) al nivel de cuentas de "Administradores de dominio" permitiendo a usuarios de dominio autenticados remotos obtener privilegios de administrador de dominio a través de un ticket de sesión Kerberos falsificado que contenga una estructura PAC (Privilege Attribute Certificate) templada.
Esta actualización está calificada como Crítica para todas las ediciones soportadas de Microsoft Windows Server 2003 2012 R2 y se entrega a los Clientes Windows 7 SP1 8.1 como medida preventiva (sin impacto en la seguridad). Los controladores de dominio que están configurados para actuar como centro de distribución de claves Kerberos son los que están principalmente en riesgo. La actualización soluciona la vulnerabilidad corrigiendo el comportamiento de la verificación de firmas en las implementaciones de Kerberos en Windows.
El equipo de gestión de riesgos y seguridad de la información de Qualcomm notificó la vulnerabilidad a Microsoft.
Esta vulnerabilidad de seguridad aparece justo una semana después de que se informara de otra vulnerabilidad de seguridad en el componente Active Directory (Microsoft Secure Channel Schannel) (MS14-066, CVE-2014-6321).
Para obtener más información, visite 'Microsoft Security Bulletin MS14-068 Critical' o 'Additional information about CVE-2014-6324′.
