请尽快为域控服务器部署Kerberos安全更新

大家好,

我们在去年11月发布了一个OOB安全公告MS14-068,这个安全更新修复了Kerberos验证中的一个漏洞,其主要影响的系统是AD环境中负责Kerberos验证的域控服务器。我们当时也针对这个OOB更新发布了一篇简要的blog提请大家予以关注。然而在经过了差不多三个月后,我们注意到仍然有很多用户尚未在域控服务器上安装此更新,有鉴于此安全漏洞的严重性,我们再次呼吁各位企业IT管理人员尽快检查域控服务器是否已经安装了此更新程序(KB3011780),如果还没有安装的话,请尽快安排部署计划。

漏洞危害
-------------------
攻击者在获取域内一台系统的控制权后,可能可以针对此漏洞发生特制的Kerberos验证信息给域控服务器,并获得域管理员的权限,从而控制整个AD环境。

漏洞利用
-------------------
此漏洞的利用代码已经被公开,我们也已经发现了有少量利用此漏洞实施的针对性攻击。

影响产品
-------------------
此漏洞主要涉及Windows服务器产品。

部署策略
-------------------
因为可能受到攻击的主要目标是域控服务器,因此我们建议优先为所有域控服务器安装此更新程序。同时,此更新程序也适用于其他非域控Windows服务器,主要是因为当一台成员服务器被提升为域控服务器后就马上会把这个漏洞暴露出来,因此我们也建议为其他成员服务器安装此安全更新,以保证任何成员服务器在今后被提升为域控服务器后不会引发此安全问题。

此外,我们也同时在MS14-068中为Windows客户端产品提供了安全更新,以增强客户端在Kerberos验证过程中的安全性。此客户端更新并不与上述安全漏洞直接相关,属于安全增强更新而非修复客户端的安全漏洞。

微软大中华区安全团队