本日、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開しました。
このセキュリティ情報は、こちらのブログでもお知らせしていましたとおり、2014 年 11 月 12 日の月例セキュリティ情報公開日においては、公開が延期されていたものです。
お客様は、できるだけ早期に、セキュリティ更新プログラムを適用するようお願いします。
なお、既定の設定では自動更新が有効であるため、自動でセキュリティ更新プログラムが適用されます。
■ 概要
11 月 19 日に、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を公開しました。
このセキュリティ更新プログラムは、Microsoft Windows Kerberos KDC の非公開で報告された 1 件の脆弱性を解決します。この脆弱性により攻撃者は、特権のないドメイン ユーザー アカウントの特権からドメイン管理者アカウントに特権を昇格します。この脆弱性が悪用されるには、有効なドメイン資格情報を所有していることが攻撃者にとっての必要条件となります。
セキュリティ情報の公開時点で、この脆弱性の内容は一般には公開されていませんが、この脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。既知の攻撃は、Windows Server 2012 または、Windows Server 2012 R2 を実行するシステムには影響を及ぼしません。
■ 影響を受けるソフトウェア
Windows Server 2003
Windows Vista*
Windows Server 2008 **
Windows 7 *
Windows 8*
Windows Server 2012 **
Windows 8. 1*
* 脆弱性は存在していませんが、多層防御を提供するためにセキュリティ更新プログラムが提供されています。
** Server Core インストールは影響を受けます。
■ 推奨するアクション
できるだけ早期に、セキュリティ更新プログラムを適用することを推奨しています。
既定の設定では自動更新が有効であるため、自動でセキュリティ更新プログラムが適用されます。
セキュリティ更新プログラムを適用後、再起動が必要です。
詳細は、セキュリティ情報 MS14-068「Kerberos の脆弱性により特権が昇格される」を参照してください。