Microsoft lost kritieke bug op in Windows Server

Microsoft heeft een aparte patch uitgebracht (los van Patch Tuesday) om een kritieke kwetsbaarheid op te lossen in alle versies van Windows Server, inclusief Server Core.

De kwetsbaarheid zit in het Windows Kerberos Key Distribution Center (KDC). Deze deelt sessietickets en tijdelijke sessiesleutels uit aan gebruikers en computers met een Active Directory-domein.

[related_article id=”161452″]

Door de fout kon een gebruiker zijn gewone account opwaarderen naar dat van een beheerder, met bijhorende rechten. Daardoor kon hij elke pc of gebruiker in het domein aanvallen. Om van de bug gebruik te maken moest een hacker wel de log-ins en wachtwoorden van het domein kennen. Het KDC zou in sommige gevallen certificaten verkeerd valideren, waardoor Kerberos-tickets geforceerd kunnen worden. 

Pogingen om kwetsbaarheid te gebruiken
Microsoft zegt dat er al “beperkte, doelgerichte pogingen zijn geweest om de kwetsbaarheid uit te buiten”.

Alle versies van Windows Server zijn getroffen: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 en Windows Server Technical Preview.

Ook desktopversies van Windows (inclusief Windows Technical Preview) worden van de update voorzien, volgens Microsoft vooral uit voorzorg en niet om een bug te repareren. Windows RT staat buiten het hele proces, omdat je hiermee niet op een domein kan inloggen.

Bedankt, Qualcomm
De kwetsbaarheid werd aan Microsoft gerapporteerd door het Qualcomm Information Security & Risk Management-team. Microsoft bedankt speciaal Tom Maddock.

Over patch MS14-075, een update die normaliter in Patch Tuesday had moeten zitten en die ongespecificeerde problemen in Exchange Server oplost, heeft Microsoft nog niets gemeld. Volgens het bedrijf leidde een probleem met het installatieprogramma tot de vertraging.