Microsoft reicht zurückgehaltenes Update MS14-068 nach

BetriebssystemSicherheitSicherheitsmanagementWorkspace
Windows Logo (Bild: Microsoft)

Mit dem Update MS14-068 wird eine Sicherheitslücke im Windows Kerberos Key Distribution Center geschlossen. Davon sind vor allem die Server-Versionen des Betriebssystems betroffen. Da ein Angreifer, der die Lücke ausnutzt, dieselben Rechte wie der Administrator einer Domäne erlangen kann, soll das bereits für den November-Patchday angekündigte Sicherheitsupdate umgehend eingespielt werden.

Microsoft hat das eigentlich für den November-Patchday geplante Update MS14-068 jetzt nachgereicht. Mit ihm soll eine als kritisch eingestufte Sicherheitslücke in Windows geschlossen werden. Die Schwachstelle steckt im Windows Kerberos Key Distribution Center (KDC), das Sitzungs-Tickets und -Schlüssel für Nutzer und Computer in einer Active-Directory-Domäne zur Verfügung stellt.

Windows Logo (Bild: Microsoft)

Nutzt sie ein Angreifer erfolgreich aus, kann er dieselben Rechte erlangen wie das legitime Administrator-Konto der Domäne. Allerdings sind für einen erfolgreichen Angriff gültige Anmeldedaten eines Nutzers der Domäne erforderlich. Die könnte sich ein Angreifer jedoch per Phishing oder Social Engineering beschaffen.

Die nun geschlossene Lücke steckt in Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2 und auch in der Technical Preview von Windows Server. Microsoft sind nach eigenen Angaben “zielgerichtete Angriffe bekannt, die versuchen, die Schwachstelle auszunutzen”. Allerdinsg sei es unter Windows Server 2012 und neuer schwieriger, die Schwachstelle auszunutzen, als unter Windows Server 2008 R2 und früher.

Der Beschreibung des Updates MS14-068 zufolge überprüft die KDC-Implementierung die Gültigkeit einer Signatur nicht korrekt. Daher sei es möglich, bestimmte Aspekte eines Kerberos-Service-Tickets zu manipulieren. Microsoft stellt den Patch auch für die Desktop-Versionen seines Betriebssystems zur Verfügung, da er auch Verbesserungen für dort verwendete Sicherheitsfunktionen enthält. Windows RT erhält und braucht den Patch nicht, da es sich nicht bei einer Domäne anmelden kann.

Microsoft weist zudem auf die Möglichkeit hin, die bisher bekannten Angriffe auf die Kerberos-Lücke in der Ereignisanzeige zu erkennen. Es sei aber auch möglich, Schadcode zu schreiben, der keinen Eintrag im Ereignisprotokoll erzeuge. “Der einzige Weg, um die Kompromittierung einer Domain mit Sicherheit zu beseitigen, ist der vollständige Neuaufbau der Domäne”, schreibt Microsoft-Mitarbeiter Joe Bialek. Ein Angreifer mit Administratorrechten könne beliebige Änderungen vornehmen und damit sicherstellen, dass er auch nach Installation des Updates noch Zugriff auf die Domäne habe. Daher sei es wichtig, den Patch umgehend einzuspielen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen