Microsoft Windows bis Vista Kerberos KDC EsikmoRoll erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.9$0-$5k0.00

In Microsoft Windows bis Vista (Operating System) wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es ein unbekannter Ablauf der Komponente Kerberos KDC. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (EsikmoRoll) ausgenutzt werden. CWE definiert das Problem als CWE-264. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 19.11.2014 als MS14-068 in Form eines bestätigten Bulletins (Technet) öffentlich gemacht. Das Advisory findet sich auf technet.microsoft.com. Die Veröffentlichung passierte hierbei in Koordination mit Microsoft. Die Verwundbarkeit wird seit dem 11.09.2014 als CVE-2014-6324 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 25.02.2022). Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1068 bezeichnet. Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr.

Ein öffentlicher Exploit wurde in Python programmiert. Er wird als hoch funktional gehandelt. Der Download des Exploits kann von securityfocus.com geschehen. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k. Für den Vulnerability Scanner Nessus wurde am 18.11.2014 ein Plugin mit der ID 79311 (MS14-068: Vulnerability in Kerberos Could Allow Elevation of Privilege (3011780)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet.

Die Schwachstelle lässt sich durch das Einspielen des Patches MS14-068 lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Microsoft hat damit unmittelbar gehandelt. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 17187 erkannt werden.

Mitunter wird der Fehler auch in den Datenbanken von X-Force (98380), SecurityTracker (ID 1031237), Vulnerability Center (SBV-48804) und Tenable (79311) dokumentiert. Zusätzliche Informationen finden sich unter krebsonsecurity.com.

Nicht betroffen

  • Microsoft Windows Server 2012

Produktinfo

Typ

Hersteller

Name

Lizenz

  • commercial

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 7.9

VulDB Base Score: 8.8
VulDB Temp Score: 7.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Name: EsikmoRoll
Klasse: Erweiterte Rechte / EsikmoRoll
CWE: CWE-264
ATT&CK: T1068

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 79311
Nessus Name: MS14-068: Vulnerability in Kerberos Could Allow Elevation of Privilege (3011780)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

MetaSploit ID: ms14_068_kerberos_checksum.rb
MetaSploit Name: ZyXEL GS1510-16 Password Extractor
MetaSploit Datei: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Patch: MS14-068
Suricata ID: 2019897
Suricata Klasse: 🔍
Suricata Message: 🔍

TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

Fortigate IPS: 🔍

Timelineinfo

11.09.2014 🔍
11.11.2014 +61 Tage 🔍
18.11.2014 +7 Tage 🔍
18.11.2014 +0 Tage 🔍
19.11.2014 +1 Tage 🔍
19.11.2014 +0 Tage 🔍
19.11.2014 +0 Tage 🔍
19.11.2014 +0 Tage 🔍
05.12.2014 +16 Tage 🔍
25.02.2015 +82 Tage 🔍
25.02.2022 +2557 Tage 🔍

Quelleninfo

Hersteller: microsoft.com
Produkt: microsoft.com

Advisory: MS14-068
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2014-6324 (🔍)
OVAL: 🔍

X-Force: 98380 - Microsoft Windows Kerberos privilege escalation, High Risk
SecurityTracker: 1031237 - Microsoft Windows Kerberos KDC Signature Validation Flaw Lets Remote Authenticated Users
Vulnerability Center: 48804 - [MS14-068] Microsoft Windows Remote Privileges Escalation due to a Flow in Kerberos Key Distribution Center, High
SecurityFocus: 70958 - Microsoft Windows Kerberos Checksum CVE-2014-6324 Remote Privilege Escalation Vulnerability
Secunia: 62556

scip Labs: https://www.scip.ch/?labs.20140213
Diverses: 🔍

Eintraginfo

Erstellt: 19.11.2014 11:31
Aktualisierung: 25.02.2022 03:45
Anpassungen: 19.11.2014 11:31 (91), 15.04.2017 19:28 (10), 25.02.2022 03:38 (3), 25.02.2022 03:45 (1)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!