[Update]MS14-068: Update außer der Reihe für alle Windows-Versionen

Microsoft hat heute mit MS14-068 ein Update außerhalb des üblichen Zyklus veröffentlicht. Das Update behebt eine vertraulich an Microsoft gemeldete Schwachstelle im Microsoft Windows Kerberos KDC (Key Distribution Center). Durch Missbrauch der Lücke kann ein Angreifer ein herkömmliches Nutzerkonto unerlaubt zu einem Domain-Admin-Konto hochstufen. Anschließend kann der Angreifer jeden Rechner in der Domäne, inklusive der Domain Controller, unter seine Kontrolle bringen.

Hierzu muss der Angreifer Zugriff haben auf ein gültiges Konto. Die betroffene Komponente ist auch von außen zu erreichen für normale Domain-Nutzerkonten, es sei denn, es handelt sich um ausschließlich lokal verwendbare Konten. Zum Zeitpunkt der Veröffentlichung dieses Bulletins sind Microsoft vereinzelte, gezielte Attacken auf die jetzt geschlossene Lücke bekannt. Entsprechend dringend sollten sich IT-Profis daran machen, das Update zu testen und in ihren Umgebungen zu verteilen.

Das Bulletin wird als „kritisch“ eingestuft für alle derzeit unterstützten Versionen von Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2. Für alle übrigen Windows-Versionen (Windows Vista, Windows 7, Windows 8 und Windows 8.1) wird das Update ohne Einstufung zur Verfügung gestellt, um für zusätzliche Sicherheit (Defense in Depth) zu sorgen. Die betroffene Komponente ist jedoch nicht Teil dieser Windows-Versionen.

[Update]Weitere Details zur Schwachstelle finden sich in einem Blog-Beitrag der US-Kollegen.