S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 novembre 2014
N° CERTFR-2014-ALE-011
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité de l'implémentation Kerberos dans Microsoft Windows

Gestion du document

Référence CERTFR-2014-ALE-011
Titre Vulnérabilité de l'implémentation Kerberos dans Microsoft Windows
Date de la première version18 novembre 2014
Date de la dernière version30 janvier 2015
Source(s) Bulletin de sécurité Microsoft MS14-068 du 18 novembre 2014
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • Windows 7
  • Windows 8 et Windows 8.1
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Vista

Résumé

Une vulnérabilité a été découverte dans l'implémentation du KDC Kerberos de Microsoft Windows. Elle permet à un attaquant d'altérer certaines propriétés d'un ticket de service sans que ces modifications soient détectées. L'attaquant peut ainsi éléver ses privilèges au niveau administrateur de domaine. Microsoft a indiqué avoir connaissance d'attaques limitées et ciblées exploitant cette vulnérabilité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 novembre 2014
    version initiale ;
    le 30 janvier 2015
    fermeture de l'alerte.