微软发布紧急安全更新 MS14-068,以修补 Windows Server 内一项 Windows Kerberos 的权限升级漏洞,该漏洞目前已开始出现目标式攻击案例,微软并呼吁使用者应该尽快做安全更新以修补该漏洞。
Kerberos票证交换示意图
Windows Kerberos曝权限升级漏洞
微软指出,本次修补的 CVE-2014-6324 漏洞允许骇客针对执行 Windows 网域控制器的网域从远端升级使用者权限,拥有任何网域帐密的攻击者可借此取得网域上任何帐号的权限,包括网域管理员帐号。
受影响的软体中包括 Windows Server 2008R2 以下版本的网域控制器最为严重,其次是 Windows Server 2012 以上版本。Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012及Windows Server 2012 R2,安全风险皆为重大(critical)。Server 2012以上版本的网域控制器也有风险,但相较之下攻击难度较高。
微软安全研究中心人员Joe Bialek指出, TGT (Ticket Granting Ticket, 票证所授与的票证)及Service Ticket(服务票证)包含一组“专用权属性凭证”(Privilege Attribute Certificate, PAC),其中包含使用者网域身份及使用者所属安全单位等资讯。使用者第一次从金钥发布中心(KDC)要求TGT时,KDC会将包含用户安全资讯的PAC输入TGT。KDC会验证PAC以防止被篡改。使用者要求Service Ticket时,会用他们的TGT来和KDC进行验证,此时KDC会验证PAC签章,并复制一份PAC到新开的Service Ticket中。
之后用户想进行服务身份授权时,服务就会验证PAC的签章,并以PAC内的资料为使用者制作登录权杖(logon token)。例如,如果PAC有合法签章,并指明甲为“网域管理员”安全群组的一员的话,则为甲制作的登录权杖就会是“网域管理员”群组的一员。
CVE-2014-6324修补的安全漏洞存在于Windows Kerberos验证 Kerberos授权票证中的PAC。在更新前,骇客可以假造PAC,使 Kerberos KDC通过验证,这让攻击者得以远端升级权限,从没有权限的授权使用者升级为网域管理员。
为了落实“深度防御”策略,本更新也另外针对所有版本的Windows释出修补程式,包含 Windows Vista 、Windows 7、Windows 8及Windows 8.1。
