image

Microsoft noodpatch voor kritiek Windows Server-lek

dinsdag 18 november 2014, 15:29 door Redactie, 7 reacties

Microsoft zal vanavond een noodpatch voor een kritiek lek in Windows Server 2003, 2008 en 2012 uitbrengen. De update verschijnt echter ook voor andere ondersteunde Windowsversies, maar fungeert daar als extra beveiligingslaag, aangezien deze versies van het besturingssysteem niet kwetsbaar zijn.

Het gaat hier om Security Bulletin MS14-068, één van de twee updates die oorspronkelijk afgelopen dinsdag zouden verschijnen maar door de softwaregigant werden uitgesteld. Opmerkelijk aan het lek is dat Microsoft het als "kritiek" bestempelt, terwijl een aanvaller via de kwetsbaarheid alleen zijn rechten op het systeem kan verhogen als hij hier al toegang toe heeft. De beoordeling "kritiek" reserveert Microsoft normaliter alleen voor lekken waardoor een aanvaller willekeurige code op het systeem kan uitvoeren zonder interactie van de gebruiker.

Noodpatches worden daarnaast alleen uitgebracht voor zeer ernstige beveiligingsproblemen die vaak ook actief worden aangevallen. Of dit ook met deze kwetsbaarheid het geval is laat Microsoft niet in de aankondiging weten. Gebruikers krijgen het advies om de update meteen te installeren zodra die beschikbaar is. De update is vanaf 19:00 uur Nederlandse tijd via Windows Update te downloaden.

Reacties (7)
18-11-2014, 16:43 door Anoniem
Heel erg knullig of onhandig als er wordt verwezen naar een link, die niet is gevuld.
Ook bij microsoft tot op heden geen extra info kunnen ontdekken
18-11-2014, 20:24 door Anoniem
Het betreft een kritiek lek in kerberos. De update heeft een herstart nodig. Het gaat niet alleen om server OS-en maar ook de client OS-en en RT. Van 2003 tot en met 10 Preview. Het advies is patch now. Volgens mij is er info genoeg?
18-11-2014, 21:36 door Spiff has left the building
Door Anoniem, 16:43 uur:
Heel erg knullig of onhandig als er wordt verwezen naar een link, die niet is gevuld.
Zoals je kunt zien biedt de betreffende Microsoft pagina nu inmiddels wél informatie.
Toch wel handig dat de redactie, vooruitlopend op het door Microsoft invullen van die pagina, alvast ook naar die pagina verwees. Beslist niks knulligs aan die handelwijze van de redactie.
18-11-2014, 22:21 door Anoniem
De details van de vulnerability worden hier uit de doeken gedaan.

http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx
18-11-2014, 22:46 door Erik van Straten - Bijgewerkt: 19-11-2014, 00:08
Door Redactie: Opmerkelijk aan het lek is dat Microsoft het als "kritiek" bestempelt, terwijl een aanvaller via de kwetsbaarheid alleen zijn rechten op het systeem kan verhogen als hij hier al toegang toe heeft. De beoordeling "kritiek" reserveert Microsoft normaliter alleen voor lekken waardoor een aanvaller willekeurige code op het systeem kan uitvoeren zonder interactie van de gebruiker.
Dat vond ik ook vreemd, meestal lopen alleen terminal servers risico's bij privilege escalations (d.w.z. desktop sessies op zo'n server).

Maar nu https://technet.microsoft.com/en-us/library/security/ms14-068.aspx#ID0EGIAE lezend ("Kerberos Checksum Vulnerability - CVE-2014-6324") begrijp ik het volledig, uit de FAQ in die pagina:
What might an attacker use the vulnerability to do?
An attacker could use this vulnerability to elevate an unprivileged domain user account to a domain administrator account. An attacker that successfully exploited this vulnerability could impersonate any user on the domain, including domain administrators, and join any group. By impersonating the domain administrator, the attacker could install programs; view, change or delete data; or create new accounts on any domain-joined system.
Oops.

Aanvulling: credits voor het vinden van dit lek gaan naar "The Qualcomm Information Security & Risk Management team, with special recognition for Tom Maddock" (bron: https://technet.microsoft.com/library/security/dn820091.aspx). Ik ken Qualcomm niet als een bedrijf dat snel na de beschikbaarheid van patches, PoCs of exploits publiceert, maar je weet maar nooit.

Aanvulling 2014-11-19 00:08, met dank aan Anoniem:
2014-11-18 22:21 door Anoniem: De details van de vulnerability worden hier uit de doeken gedaan.
http://blogs.technet.com/b/srd/archive/2014/11/18/additional-information-about-cve-2014-6324.aspx
Uit die pagina:
18 Nov 2014 10:17 AM door swiat: Today Microsoft released update MS14-068 to address CVE-2014-6324, a Windows Kerberos implementation elevation of privilege vulnerability that is being exploited in-the-wild in limited, targeted attacks.

Uit https://isc.sans.edu/diary/Microsoft+November+out-of-cycle+patch+MS14-068/18967:
2014-11-18 21:43:49 UTC door Jim Clausing: Note: MS14-066 was also updated today to fix some of the issues previously discussed with the introduction of the additional TLS cipher suites. Folks running Server 2008 R2 and Server 2012 are urged to reinstall

In de comments in https://isc.sans.edu/forums/diary/Microsoft+November+out-of-cycle+patch+MS14-068/18967 zie ik dat meerdere mensen problemen rapporteren met de patches op Server 2003. Nog even uitkijken dus!
18-11-2014, 22:55 door Erik van Straten
Terzijde, support.microsoft.com pagina's zijn de laatste tijd, en zeker vandaag, zeer slecht bereikbaar. Vaak blijft Firefox leeg met een draaiend cirkeltje, of er verschijnt: HTTP Error 503. The service is unavailable. Dit lijkt al te spelen sinds eind september (zie https://www.security.nl/posting/403185/support_microsoft_com+bugje%3F), zien anderen dit ook?

Na het drukken van F5 krijg ik wel content (nog steeds mixed, https+http) te zien in https://support.microsoft.com/kb/3011780. In die pagina is nog niets te vinden over potentiële risico's/problemen m.b.t. deze patch. Ik zie ook nergens waarom deze patch een week werd uitgesteld.

Duidelijk is dat de reorganisatie van Microsoft, waaronder het opheffen van de "Trustworthy Computing Group" (zie https://www.security.nl/posting/402729/Microsoft+heft+Trustworthy+Computing+Group+op) het patchproces er niet betrouwbaarder op gemaakt heeft.

Ook vanuit interne Microsoft gelederen klinkt kritiek hierop van o.a. Dustin Childs. Dat is geen onbekende, voer zijn naam maar eens in in het zoekveld op security.nl (of Google naar: site:security.nl dustin childs voor nog meer hits). O.a. in https://twitter.com/dustin_childs/status/532241691630002176 is de kritiek op zijn werkgever niet mals (Dustin werkt er nog wel, maar op een andere plek):
2014-11-11, door Dustin Childs: 14 bulletins instead of 16-they didn't even renumber. No deployment priority. No overview video. No webcast. I guess things change.

Ook interessant, momenteel te zien als 2 tweets in https://twitter.com/dustin_childs:
2014-11-12, door Dustin Childs: Wait. You have to manually update EMET before IE is automatically updated? I only had IE on my system, so I had to disable EMET 5, Then use a vulnerable IE version to browse to a non-HTTPS website. Think I'll be loading up Chrome today too.
Dat is geen 100% tevreden werknemer...
19-11-2014, 10:49 door Anoniem
Door Erik van Straten: Terzijde, support.microsoft.com pagina's zijn de laatste tijd, en zeker vandaag, zeer slecht bereikbaar. Vaak blijft Firefox leeg met een draaiend cirkeltje, of er verschijnt: HTTP Error 503. The service is unavailable. Dit lijkt al te spelen sinds eind september (zie https://www.security.nl/posting/403185/support_microsoft_com+bugje%3F), zien anderen dit ook?

Ik heb er nu niet specifiek op gelet maar ik heb al wel heel vaak geconstateerd dat als Microsoft pagina's traag laden in
Firefox of Seamonkey, dezelfde pagina's gewoon snel laden in Internet Explorer.
Dat dateert al van veel langer terug dan september. Ik kijk rond patchdinsdag altijd in dat overzicht van uitgegeven
patches, en daar is dit fenomeen heel sterk zichtbaar. Ik heb ook wel eens gedacht dat de boel gewoon down of overbelast
was tot ik per ongeluk een keer met IE keek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.