Windows Update: Microsoft schließt außerplanmäßig kritische Kerberos-Lücke
In der Nacht zum 19. November 2014 deutscher Zeit hat Microsoft ein außerplanmäßiges Windows-Update veröffentlicht, das für die Serverversionen des Betriebssystems als kritisch eingestuft wird. Der Fehler befindet sich in allen noch unterstützten Versionen ab Windows Server 2003 und auch in den Desktopausgaben ab Vista. Da Windows XP nicht mehr unterstützt wird, macht Microsoft auch keine Angaben darüber, ob der Bug auch dort vorhanden ist - im Zweifel sollte man davon ausgehen.
Durch den Fehler kann ein Angreifer über das Authentifizierungssystem Kerberos(öffnet im neuen Fenster) höhere Rechte erlangen, als seinem Account zustehen. Dazu ist, wie Microsoft in einem Security Bulletin schreibt(öffnet im neuen Fenster) , zwar ein gültiger Account nötig. Über diesen lassen sich dann aber durch die Lücke alle Server im Netzwerk angreifen. Für diese können Administratorrechte erlangt werden. Das gilt auch für den Domänencontroller. Ein ungepatchter Windows-Server ist daher eine echte Gefahr für ein Netzwerk.
Die Lücke sollte ursprünglich bereits am letzten großen Patchday geschlossen werden, warum Microsoft das Update bis jetzt zurückhielt, ist nicht bekannt. Das Unternehmen schreibt aber in seinem Bulletin, dass bereits Exploits dafür beobachtet worden seien. Wohl daher hat sich Microsoft für die seltene Maßnahme eines außerplanmäßigen Updates entschlossen. Die Lücke wurde vertraulich an den Softwarehersteller gemeldet.
Auch die Desktopversionen von Windows erhalten den Patch, sobald Windows Update danach sucht. Für diese Ausgaben stuft Microsoft die Reparatur zwar nicht als kritisch, aber immerhin noch als wichtig ein.