Dringend patchen: Kritische Kerberos-Lücke gefährdet Windows-Server-Systeme

Microsoft hat pünktlich zum diesjährigen November-Patchday eine gefährliche Sicherheitslücke geschlossen, die es Angreifern ermöglicht, auf Windows-Server-Systemen aus der Ferne und ohne jegliche Nutzerinteraktion Schadcode auszuführen. Betroffen sind Windows Server 2012, 2012 R2, 2016, 2019, 2022 und auch das neue Windows Server 2025 .

Damit die Sicherheitslücke tatsächlich ausgenutzt werden kann, müssen die Systeme als MS-KKDCP-Server ( Kerberos Key Distribution Center (KDC) Proxy Protocol(öffnet im neuen Fenster) ) konfiguriert sein. Domaincontroller sind nach Angaben des Konzerns nicht betroffen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft-365-Admin werden leicht gemacht

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: NIS 2-Sicherheitsmanagement: Integration mit ISMS, ISO 27001, IT-Grundschutz: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: digitalize your business - starter course for digital transformation (e-learning in english)

zum Kurs

Die als CVE-2024-43639(öffnet im neuen Fenster) registrierte Schwachstelle ist mit einem CVSS-Wert von 9,8 als kritisch eingestuft. Microsoft bescheinigt der Lücke demnach eine geringe Angriffskomplexität. Zudem benötigt ein Angreifer vorab keinerlei Zugriffsrechte und kann die Attacke aus der Ferne über das Netzwerk ausführen.

Dustin Childs von der Zero Day Initiative(öffnet im neuen Fenster) (ZDI) von Trend Micro hält die Lücke sogar für "wormable" . Sie könnte also von Angreifern eingesetzt werden, um Schadcode von einem infiltrierten System aus automatisiert auf weitere Systeme zu übertragen und so in kürzester Zeit größere Mengen an Servern zu kompromittieren.

Protokollschwachstelle in Kerberos

Wie Microsoft erklärt(öffnet im neuen Fenster) , ist CVE-2024-43639 auf eine kryptografische Schwachstelle im Authentifizierungsprotokoll Kerberos zurückzuführen, die es nicht authentifizierten Angreifern ermöglicht, auf anfälligen Serversystemen anhand einer "speziell gestalteten Anwendung" eine Remotecodeausführung zu erreichen.

Fälle einer aktiven Ausnutzung von CVE-2024-43639 sind laut Microsoft bisher nicht bekannt. Außerdem stuft der Konzern tatsächliche Angriffe auf die Schwachstelle derzeit als "weniger wahrscheinlich" ein. Genauere Angaben dazu, wie Microsoft insbesondere im Hinblick auf die als gering eingestufte Angriffskomplexität zu dieser Einschätzung gelangt ist, macht das Unternehmen allerdings nicht.

Patches stehen seit Dienstag für alle genannten Windows-Server-Systeme bereit und sollten nach Möglichkeit zeitnah installiert werden. Enthalten sind diese etwa in den Updates KB5046697(öffnet im neuen Fenster) (Windows Server 2012), KB5046682(öffnet im neuen Fenster) (Windows Server 2012 R2), KB5046612(öffnet im neuen Fenster) (Windows Server 2016), KB5046615(öffnet im neuen Fenster) (Windows Server 2019), KB5046616(öffnet im neuen Fenster) (Windows Server 2022) sowie KB5046617(öffnet im neuen Fenster) und KB5046696(öffnet im neuen Fenster) (Windows Server 2025).

• Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon