Microsoft schließt außerplanmäßig kritische Kerberos-Lücke

Wer einen Windows-Server betreibt, sollte dringend von Hand nach Updates suchen: In allen unterstützten Versionen gibt es eine Lücke, durch die sich Systeme bis zum Domänencontroller übernehmen lassen. Auch für die Desktopversionen gibt es bereits Patches.

In der Nacht zum 19. November 2014 deutscher Zeit hat Microsoft ein außerplanmäßiges Windows-Update veröffentlicht, das für die Serverversionen des Betriebssystems als kritisch eingestuft wird. Der Fehler befindet sich in allen noch unterstützten Versionen ab Windows Server 2003 und auch in den Desktopausgaben ab Vista. Da Windows XP nicht mehr unterstützt wird, macht Microsoft auch keine Angaben darüber, ob der Bug auch dort vorhanden ist – im Zweifel sollte man davon ausgehen.

Durch den Fehler kann ein Angreifer über das Authentifizierungssystem Kerberos höhere Rechte erlangen, als seinem Account zustehen. Dazu ist, wie Microsoft in einem Security Bulletin schreibt, zwar ein gültiger Account nötig. Über diesen lassen sich dann aber durch die Lücke alle Server im Netzwerk angreifen. Für diese können Administratorrechte erlangt werden. Das gilt auch für den Domänencontroller. Ein ungepatchter Windows-Server ist daher eine echte Gefahr für ein Netzwerk.

Die Lücke sollte ursprünglich bereits am letzten großen Patchday geschlossen werden, warum Microsoft das Update bis jetzt zurückhielt, ist nicht bekannt. Das Unternehmen schreibt aber in seinem Bulletin, dass bereits Exploits dafür beobachtet worden seien. Wohl daher hat sich Microsoft für die seltene Maßnahme eines außerplanmäßigen Updates entschlossen. Die Lücke wurde vertraulich an den Softwarehersteller gemeldet.

Auch die Desktopversionen von Windows erhalten den Patch, sobald Windows Update danach sucht. Für diese Ausgaben stuft Microsoft die Reparatur zwar nicht als kritisch, aber immerhin noch als wichtig ein.

 

Quelle : Golem.de