Abo
  • IT-Karriere:

Windows Update: Microsoft schließt außerplanmäßig kritische Kerberos-Lücke

Wer einen Windows-Server betreibt, sollte dringend von Hand nach Updates suchen: In allen unterstützten Versionen gibt es eine Lücke, durch die sich Systeme bis zum Domänencontroller übernehmen lassen. Auch für die Desktopversionen gibt es bereits Patches.

Artikel veröffentlicht am ,
Ein Desktop-Windows stuft die Lücke nur als wichtig ein.
Ein Desktop-Windows stuft die Lücke nur als wichtig ein. (Bild: Screenshot Golem.de)

In der Nacht zum 19. November 2014 deutscher Zeit hat Microsoft ein außerplanmäßiges Windows-Update veröffentlicht, das für die Serverversionen des Betriebssystems als kritisch eingestuft wird. Der Fehler befindet sich in allen noch unterstützten Versionen ab Windows Server 2003 und auch in den Desktopausgaben ab Vista. Da Windows XP nicht mehr unterstützt wird, macht Microsoft auch keine Angaben darüber, ob der Bug auch dort vorhanden ist - im Zweifel sollte man davon ausgehen.

Stellenmarkt
  1. nova-Institut für politische und ökologische Innovation GmbH, Hürth
  2. Triaz GmbH, Freiburg, Berlin, Hamburg (Home-Office)

Durch den Fehler kann ein Angreifer über das Authentifizierungssystem Kerberos höhere Rechte erlangen, als seinem Account zustehen. Dazu ist, wie Microsoft in einem Security Bulletin schreibt, zwar ein gültiger Account nötig. Über diesen lassen sich dann aber durch die Lücke alle Server im Netzwerk angreifen. Für diese können Administratorrechte erlangt werden. Das gilt auch für den Domänencontroller. Ein ungepatchter Windows-Server ist daher eine echte Gefahr für ein Netzwerk.

Die Lücke sollte ursprünglich bereits am letzten großen Patchday geschlossen werden, warum Microsoft das Update bis jetzt zurückhielt, ist nicht bekannt. Das Unternehmen schreibt aber in seinem Bulletin, dass bereits Exploits dafür beobachtet worden seien. Wohl daher hat sich Microsoft für die seltene Maßnahme eines außerplanmäßigen Updates entschlossen. Die Lücke wurde vertraulich an den Softwarehersteller gemeldet.

Auch die Desktopversionen von Windows erhalten den Patch, sobald Windows Update danach sucht. Für diese Ausgaben stuft Microsoft die Reparatur zwar nicht als kritisch, aber immerhin noch als wichtig ein.



Anzeige
Spiele-Angebote
  1. 7,99€
  2. 4,99€
  3. 2,99€
  4. 2,99€

Sarkastius 20. Nov 2014

Bist du echt so naiv? Der wurde von NSA und Co einfach mal seit Einführung ausgenutzt...

redmord 19. Nov 2014

Windows ist auch kein Rolling Release.


Folgen Sie uns
       


Pixel 3a und 3a XL - Test

Das Pixel 3a und das PIxel 3a XL sind Googles neue Mittelklasse-Smartphones. Beide haben die gleiche Kamera wie das Pixel 3.

Pixel 3a und 3a XL - Test Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Projektmanagement: An der falschen Stelle automatisiert
    Projektmanagement
    An der falschen Stelle automatisiert

    Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
    Ein Erfahrungsbericht von Marvin Engel


      IT-Forensikerin: Beweise sichern im Faradayschen Käfig
      IT-Forensikerin
      Beweise sichern im Faradayschen Käfig

      IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
      Eine Reportage von Maja Hoock

      1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
      2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
      3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

        •  /