Microsoft выпустила патч для критической уязвимости Windows Server

На прошлой неделе Microsoft выпустила 14 бюллетеней безопасности в рамках ноябрьского «вторника обновлений». 4 патча оценивались как критические, в том числе уязвимость, которая влияет на пакет безопасности Secure Channel в Windows Server. Но что интересно, два обновления, которые первоначально планировались на прошлый вторник, были отозваны.
Вчера, несмотря на дату вне запланированного периода обновлений, Microsoft выпустила бюллетень безопасности за номером MS14-068. Маркированный как критический, патч устраняет уязвимость в Windows Kerberos, которая позволяет атакующему повысить привилегии ограниченной учетной записи пользователя домена до учетной записи администратора домена.
Microsoft заявила, что уязвимость уже была использована в ограниченном количестве направленных атак.
Злоумышленник, успешно эксплуатирующий данную брешь, может выдавать себя за любого пользователя в домене, в том числе представляться администратором домена, и присоединяться к любой группе, как объяснили в Microsoft. «Выдавая себя за администратора домена, злоумышленник сможет устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи в любом домене системы».
О наличии уязвимости сообщили в частном порядке неназванные источники. Надо заметить, что для действенного проникновения злоумышленник должен был владеть действительными учетными данными домена. Под угрозой оказались привилегии удаленных пользователей со стандартными учетными записями, однако пользователи с локальными учетными данными не были затронуты.
Microsoft говорит, что это обновление является критическим для всех поддерживаемых выпусков Windows Server 2003, 2008, 2008 R2, 2012 и 2012 R2. Кроме того, предоставлена обновленная информация по методам «углубленной защиты» для всех поддерживаемых выпусков потребительских ОС Windows Vista, 7, 8 и 8.1.
Так почему Microsoft придержала патч на прошлой неделе? Ответом может быть целый ряд причин.
Тайлер Регьюли (Tyler Reguly), менеджер по исследованию безопасности в TripWire, сказал в интервью изданию SecurityWeek, что «Совсем не редкость обнаружить плохой патч в процессе контроля качества». Регьюли также предположил, что Microsoft пересмотрела дату релиза обновлений из-за Дня ветеранов в США и Дня памяти в содружестве наций, чтобы убедиться, что ответственные за ИТ/ИС команды доступны на рабочем месте и полностью укомплектованы.
Росс Барретт (Ross Barrett), старший менеджер безопасности в Rapid7, сказал SecurityWeek, что «MS14-068 был первоначально запланирован к выходу в прошлый вторник, и был отозван, видимо, из-за потенциально отрицательного побочного эффекта не протестированного патча. Очевидно, Microsoft было известно о «некоторых целевых атаках», поэтому они были достаточно мотивированы, чтобы доработать исправление так быстро, как только это возможно, а не ждать до декабря».
Независимо от причин, однозначно необходимо установить обновление безопасности MS14-068. Барретт добавил, что смягчающим фактором является то, что злоумышленник уже должен быть аутентифицирован в качестве действительного пользователя домена, чтобы воспользоваться этой уязвимостью.