Datum der Offenlegung: 12. November 2024
Datum der Aufnahme in die KAG KEV: N/A
CVE-2024-43639 ist eine kritische Sicherheitslücke im Windows Kerberos-Authentifizierungsprotokoll, die es nicht authentifizierten Angreifern ermöglicht, Remotecode auf betroffenen Systemen auszuführen. Durch Ausnutzung dieses Fehlers können Angreifer speziell gestaltete Anfragen an ein anfälliges System senden und eine kryptografische Protokollschwachstelle in Windows Kerberos ausnutzen, um unbefugten Zugriff zu erhalten und beliebigen Code auszuführen.
Diese Sicherheitsanfälligkeit wurde mit einem CVSS-Schweregrad von 9,8 eingestuft. Diese Sicherheitsanfälligkeit betrifft nur Windows Server, die als Kerberos Key Distribution Center (KDC) Proxy Protocol Server konfiguriert sind. Domänencontroller sind nicht betroffen.
KDC-Protokollserver ermöglichen Clients die Kommunikation mit KDC-Servern über HTTPS. Kerberos verwendet normalerweise UDP (Standard) oder TCP für die Kommunikation zwischen dem Client und dem KDC-Server über diese Ports:
- UDP/TCP 88: Wird für den Austausch von Kerberos-Authentifizierungsdienst und Ticket Grating Service verwendet.
- TCP 464: Wird für Kerberos-Passwortänderungen verwendet.
Diese Protokolle setzen einen direkten, zuverlässigen Zugriff auf den KDC-Server voraus, der sich in der Regel im selben lokalen Netzwerk oder in einem angeschlossenen VPN befindet. KDC Proxy kapselt Kerberos-Protokollnachrichten in HTTPS-Anfragen ein und leitet den Kerberos-Datenverkehr zwischen dem Client und dem gesicherten KDC-Server weiter.
Ursprünglich für Dienste wie Remote Desktop Gateway und DirectAccess entwickelt, kann der KDC-Proxy-Dienst auf einem domänenverbundenen Server mit einer öffentlichen Schnittstelle und einem vertrauenswürdigen Zertifikat konfiguriert werden. Clients können so eingerichtet werden, dass sie diesen Proxy über Gruppenrichtlinien oder Registrierungsänderungen verwenden, was eine sichere Kerberos-Authentifizierung über das Internet ermöglicht.
KDC Proxy URLs are typically structured as https://<server>/KdcProxy. To identify KDC Proxy servers in your environment, you can scan for HTTPS endpoints matching this URI.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-43639 - CVSS 9.8 (Kritisch) zugewiesen von Microsoft |
| Schwachstelle Beschreibung |
Ein nicht authentifizierter Angreifer könnte eine speziell gestaltete Anwendung verwenden, um eine kryptografische Protokollschwachstelle in Windows Kerberos auszunutzen und Remotecodeausführung auf dem Ziel durchzuführen. |
| Datum der Offenlegung |
12. November 2024 |
| Betroffene Vermögenswerte |
Windows Server-Produkte sind betroffen, wenn sie als KDC-Proxy-Protokollserver konfiguriert sind. |
| Anfällige Software-Versionen |
Die folgenden Windows Server-Produkte sind betroffen, wenn sie als KDC-Proxy-Protokollserver konfiguriert sind:
- Windows Server 2012 (Server Core-Installation) [vor Build-Nummer 6.2.9200.25165]
- Windows Server 2012 [vor Build-Nummer 6.2.9200.25165]
- Windows Server 2016 (Server Core-Installation) [vor Build-Nummer 10.0.14393.7515]
- Windows Server 2016 [vor Build-Nummer 10.0.14393.7515]
- Windows Server 2022, 23H2 Edition (Server Core-Installation) [vor Build-Nummer 10.0.25398.1251]
- Windows Server 2012 R2 (Server Core-Installation) [vor Build-Nummer 6.3.9600.22267]
- Windows Server 2012 R2 [vor Build-Nummer 6.3.9600.22267]
- Windows Server 2022 (Server Core-Installation) [vor Build-Nummer 10.0.20348.2849]
- Windows Server 2022 (Server Core-Installation) [vor Build-Nummer 10.0.20348.2849]
- Windows Server 2022 [vor Build-Nummer 10.0.20348.2849]
- Windows Server 2022 [vor Build-Nummer 10.0.20348.2849]
- Windows Server 2019 (Server Core-Installation) [vor Build-Nummer 10.0.17763.6532]
- Windows Server 2019 [vor Build-Nummer 10.0.17763.6532]
- Windows Server 2025 (Server Core-Installation) [vor Build-Nummer 10.0.26100.2314]
- Windows Server 2025 (Server Core-Installation) [vor Build-Nummer 10.0.26100.2240]
- Windows Server 2025 [vor Build-Nummer 10.0.26100.2314]
- Windows Server 2025 [vor Build-Nummer 10.0.26100.2240]
|
| PoC verfügbar? |
Zum Zeitpunkt der Erstellung dieses Dokuments ist noch kein PoC verfügbar. |
| Verwertungsstatus |
Zum Zeitpunkt der Erstellung dieses Artikels ist dieses CVE weder in der CISA-Liste der bekannten Sicherheitslücken noch in GreyNoise aufgeführt. |
| Patch-Status |
Diese Leitfaden für Sicherheitsupdates enthält eine Tabelle mit Informationen darüber, wie betroffene Produkte gepatcht werden können. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys über 2 Millionen exponierte Windows Server-Instanzen online: 2.274.340 um genau zu sein, wobei Honeypots herausgefiltert wurden. Beachten Sie, dass nicht alle davon anfällig sind; Nur Server, die mit dem Kerberos-KDC-Proxy konfiguriert sind, sind angreifbar, aber wir erkennen nicht die /KdcProxy URI durch unsere passive Sammlung. Davon abgesehen, 1,211,834 dieser Geräte (mehr als die Hälfte) wurden mit offenem TCP/443 (HTTPS) beobachtet, dem Standardport für KDC-Proxy-Protokollserver. Administratoren sollten das Vorhandensein dieses Protokolls auf ihren Systemen überprüfen.
Ein großer Teil davon (34%) ist in den Vereinigten Staaten angesiedelt. Censys beobachtete etwa 11% der aufgedeckten Instanzen mit Armstrong Enterprise Communications (ASN 46622), einem Anbieter von Lösungen und verwalteten IT-Systemen, in Verbindung gebracht werden.
Karte der exponierten Windows Server-Instanzen:
Beachten Sie, dass die angezeigten Geräte nur anfällig sind, wenn sie als Kerberos KDC Proxy Protocol Server konfiguriert sind.
Censys Search Abfrage:
services.software: (vendor="Microsoft" and (product="Windows Server 2012 R2" or product="Windows Server 2012" or product="Windows Server 2019" or product="Windows Server 2016" or product="Windows Server 2022")) and not labels: {tarpit, honeypot, truncated}
Censys ASM-Abfrage:
host.services.software.vendor="Microsoft" and (host.services.software.product="Windows Server 2012 R2" or host.services.software.product="Windows Server 2012" or host.services.software.product="Windows Server 2019" or host.services.software.product="Windows Server 2016" or host.services.software.product="Windows Server 2022") and not host.labels: {tarpit, honeypot, truncated}
Referenzen
