CVE-2014-6324

Microsoft Kerberos Key Distribution Center (KDC)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

The Kerberos Key Distribution Center (KDC) in Microsoft allows remote authenticated domain users to obtain domain administrator privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (MS14-068) позволяет аутентифицированному пользователю домена с обычными правами подделать билет Kerberos (TGT), добавив в него привилегии администратора домена. Для эксплуатации злоумышленнику необходимо: 1. Иметь учетные данные (логин/пароль) любого пользователя домена. 2. Получить SID учетной записи. 3. Сгенерировать поддельный TGT с помощью специального инструмента (например, pykek). 4. Использовать этот билет для получения доступа к контроллеру домена с правами администратора.

Как исправить

Установите официальный патч от Microsoft. Требуемый пакет обновления зависит от версии ОС:

  • Windows Server 2008 R2 (x64): Установите обновление KB3011780. Команда через PowerShell: powershell wusa.exe C:\Path\To\Windows6.1-KB3011780-x64.msu /quiet /norestart
  • Windows Server 2012 R2: Установите обновление KB3011780. Команда через PowerShell: powershell wusa.exe C:\Path\To\Windows8.1-KB3011780-x64.msu /quiet /norestart
  • Windows Server 2003/2008 (x86/x64): Установите соответствующее обновление из бюллетеня MS14-068.

Проверка установки: После установки перезагрузите сервер. Убедитесь, что обновление присутствует в списке установленных (Панель управленияПрограммы и компонентыПросмотр установленных обновлений).

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Ограничьте сетевой доступ: Настройте групповые политики или брандмауэры (ACL), чтобы разрешить подключения к порту контроллера домена (TCP 88, 389, 636, 3268, 3269) только с доверенных подсетей (например, с IP-адресов других контроллеров домена и административных рабочих станций).

    • Пример правила Windows Firewall для запрета входящих подключений к порту 88 (Kerberos) с недоверенной сети: powershell New-NetFirewallRule -DisplayName "Block Kerberos from Untrusted" -Direction Inbound -Protocol TCP -LocalPort 88 -RemoteAddress 192.168.100.0/24 -Action Block

  2. Мониторинг событий: Включите аудит событий Kerberos на контроллерах домена и настройте SIEM на обнаружение аномалий:

    • Идентификатор события 4769 (Запрос билета Kerberos): Обращайте внимание на билеты с нестандартным размером (Ticket Encryption Type = 0x17), что может указывать на использование уязвимости.
    • Идентификатор события 4672 (Присвоение особых привилегий): Отслеживайте неожиданное получение пользователями прав администратора.

  3. Минимизация привилегий: Проведите аудит и убедитесь, что у рядовых пользователей нет прямого административного доступа к контроллерам домена через группы типа "Администраторы домена" или "Администраторы предприятия".

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей