+49 6074 728 42 36 info@bsk-consulting.de

(please find below the English version of the blog post)

Wir informieren Sie hiermit über eine kritische Zero-Day-Lücke im Kerberos Dienst aller Microsoft Windows Server Versionen.

Schwachstelle

Die als CVE-2014-6324 bekannt gewordene Schwachstelle im Kerberos Dienst aller Windows Versionen ermöglicht es einem Angreifer mit einem umprivilegierten Domänen-Konto seine Rechte auf ein beliebiges anderes Konto in der Domäne zu erhöhen. Er kann seine Rechte auch zu einem Domänen-Administrator eskalieren. Die Schwachstelle kann in allen Servern ausgenutzt werden, die als Kerberos Key Distribution Center (KDC) fungieren. (Nähere Informationen finden sich im TechNet Artikel [1])
Exploitcode ist im Internet bereits verfügbar.
Dieser Exploitcode adressiert die Schwachstelle in Windows Versionen 2008 R2 und niedriger. Für die Windows 2012 Versionen ist derzeit noch kein Exploitcode verfügbar.

Betroffene Programme

Grundsätzlich sind alle Windows Versionen von der Schwachstelle betroffen.

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • All Windows Server Core versions

Die Schwachstelle lässt sich bei allen Servern ausnutzen, die als Kerberos Key Distribution Center (KDC) agieren. Sie gefährdet also Active Directory Domain Controller.

Erkennung von Angriffen

Angriffe auf den Dienst können in einem SIEM System sichtbar gemacht werden. Im TechNet Artikel [1] finden Sie Details zur Erkennung.

Empfehlungen und mögliche Gegenmaßnahmen

Wir empfehlen, vor alle Windows Server Systeme, die als Active Directory Domain Controller fungieren, umgehend zu patchen.
Der relevante Patch KB3011780 kann über den unten angegebenen Link [3] bezogen werden.
Der Hotfix war nicht im Patch Set des November Patch Day enthalten. Es handelt sich um einen kritischen Patch, der außerhalb des Zyklus verteilt wird.

Quellen / Weiterführende Links

[1] Technet Blog
http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx

[2] Heise Security Artikel (Deutsch)
http://www.heise.de/security/meldung/Update-ausser-der-Reihe-fuer-Zero-Day-in-allen-Windows-Serverversionen-2460000.html

[3] Advisory MS14-068 (Englisch)
https://technet.microsoft.com/en-us/library/security/MS14-068

 


 

We hereby informs you about a critical zero-day vulnerability in the Kerberos service of all Microsoft Windows server products.

Vulnerability

The vulnerability listed as CVE-2014-6324 allows remote elevation of privilege in domains running Windows domain controllers. An attacker with the credentials of any domain user can elevate their privileges to that of any other account on the domain (including domain administrator accounts).
The vulnerability can be exploited in all systems that serve as Kerberos Key Distribution Center (KDC). (Please find further information on the details in the TechNet article listed below [1])
Exploit codes are already available.
The available exploit codes target the vulnerability in Windows version 2008 R2 and lower. Currently there are no exploit codes circulating for Windows versions of 2012.

Affected Software

Basically all Microsoft Windows versions are affected by this vulnerability.

  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • All Windows Server Core versions

The vulnerability can be exploited on systems that serve as Kerberos Key Distribution Center (KDC). That means that Active Directory Domain Controllers of all versions are affected by this vulnerability.

Detection of Exploitation Attempts

Exploitation attempts can be detected via a suitable SIEM system. Please visit the TechNet article [1] for more details.

Recommendations and Counter Measures

We recommend patching all Windows server systems that serve as Active Directory Domain Controllers immediately.
The relevant security hot fix KB3011780 is available via the the link [3] at the end of this email.
The patch was not included in the November patch day set. This is a critical out-of-band patch.

Sources / Links

[1] Technet Blog (English)
http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx

[2] Heise Security Artikel (German)
http://www.heise.de/security/meldung/Update-ausser-der-Reihe-fuer-Zero-Day-in-allen-Windows-Serverversionen-2460000.html

[3] Advisory MS14-068 (English)
https://technet.microsoft.com/en-us/library/security/MS14-068