Microsoft corrige vulnerabilidade crítica no Windows Server

A Microsoft lançou uma atualização de out-of-band, designado MS14-068, para resolver uma vulnerabilidade crítica em versões de servidor do Windows, incluindo o Server Core.

Star Trek: 50 anos do futurismo positivo e comentário social bold; Microsoft de Superfície all-in-one PC disse a manchete lançamento hardware de Outubro; Hands on com o iPhone 7, novo Apple Watch, e AirPods; Google compra Apigee para $ 625.000.000

A vulnerabilidade (CVE-2014-6324) está no Centro de distribuição de chaves do Windows Kerberos (KDC), que fornece bilhetes de sessão e chaves de sessão temporárias para usuários e computadores em um domínio do Active Directory. A vulnerabilidade pode permitir que um invasor para elevar privilégios de conta de usuário do domínio sem privilégios aos da conta de administrador de domínio. Isso permitiria que um invasor comprometesse qualquer computador ou usuário no domínio. Um intruso teria de ter credenciais de domínio válidas para explorar a vulnerabilidade.

A Microsoft também diz que é “conhecimento de ataques limitados, direcionados que tentam explorar esta vulnerabilidade.”

Todas as versões de servidor do Windows são afetados, especificamente Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. O Technical Preview do Windows Server também é afetado por esta vulnerabilidade.

A descrição vulnerabilidade diz que os Windows “implementações KDC não valida corretamente as assinaturas, o que pode permitir a certos aspectos de uma permissão de serviço Kerberos a ser forjado.” Não existem soluções alternativas e o único fator mitigar é a exigência de um logon de domínio válido.

A atualização também está sendo fornecido para versões desktop do Windows (incluindo Windows Technical Preview) para o que a Microsoft chama de “… adicional endurecimento de defesa em profundidade que não corrige qualquer vulnerabilidade conhecida.” A atualização não se aplica ao Windows RT, presumivelmente porque não tem capacidade de logon de domínio.

A vulnerabilidade foi relatada à Microsoft pela equipe Segurança & Risk Management Information Qualcomm. Microsoft nomeia especificamente Tom Maddock de reconhecimento especial.

Não há nenhuma palavra ainda sobre a alienação de MS14-075, o outro update retido na Patch Tuesday. Essa atualização irá abordar problemas não especificados no Exchange Server. A Microsoft disse que um problema com o programa de instalação foi responsável pelo atraso.

? Mercado M2M salta para trás no Brasil

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal