Microsoft a récemment publié une mise à jour de sécurité (MS14-068) pour Windows Server. La vulnérabilité corrigée se trouve dans le centre de distribution de clés Windows Kerberos (KDC), qui génère les tickets de session pour les identités au sein d'Active Directory lors de l'accès aux ressources du domaine. Lorsque les clients demandent l'accès à une ressource, ils contactent le service d'attribution de tickets dans le domaine de ressources cible, présentent leur TGT et demandent un ticket de session pour la ressource. Ce ticket est valable pour la durée de vie maximale du ticket de service, telle qu'elle est définie dans la politique Kerberos du domaine (la valeur par défaut est de 10 heures).
Cette vulnérabilité permet à un attaquant d'élever un compte d'utilisateur de domaine standard (non privilégié) (compte de domaine validé) au niveau des comptes 'Domain Admins' en permettant à des utilisateurs de domaine authentifiés à distance d'obtenir des privilèges d'administrateur de domaine via un ticket de session Kerberos falsifié contenant une structure PAC (Privilege Attribute Certificate) tempérée.
Cette mise à jour est considérée comme critique pour toutes les éditions prises en charge de Microsoft Windows Server 2003 2012 R2 et est fournie aux clients Windows 7 SP1 8.1 à titre préventif (pas d'impact sur la sécurité). Les contrôleurs de domaine qui sont configurés pour agir en tant que centre de distribution de clés Kerberos sont les plus à risque. La mise à jour traite la vulnérabilité en corrigeant le comportement de vérification de la signature dans les implémentations Windows de Kerberos.
La vulnérabilité a été signalée à Microsoft par l'équipe Qualcomm Information Security & Risk Management.
Cette faille de sécurité est apparue une semaine seulement après qu'une autre faille de sécurité dans le composant Active Directory (Microsoft Secure Channel Schannel) ait été signalée (MS14-066, CVE-2014-6321).
Pour obtenir plus d'informations, veuillez consulter 'Microsoft Security Bulletin MS14-068 Critical' ou 'Additional information about CVE-2014-6324′.