CVE-2024-43639: Fernausführung... Notiz

CVE-2024-43639: Fernausführung von Code in Microsoft Windows KDC-Proxy

Ein Schwachpunkt im Microsoft Windows Key Distribution Center (KDC)-Proxy wurde entdeckt, der die Ausführung von beliebigem Code im Sicherheitskontext des Ziel-Dienstes ermöglicht. Der Schwachpunkt ist auf eine fehlende Überprüfung der Länge von Kerberos-Antworten zurückzuführen, was zu einem Integer-Überlauf führen kann. Ein entfernter, nicht authentifizierter Angreifer kann den KDC-Proxy dazu bringen, eine Kerberos-Anfrage an einen Server unter seiner Kontrolle weiterzuleiten, der dann eine gefälschte Kerberos-Antwort zurücksendet. Der KDC-Proxy liest 4 Bytes aus dem Netzwerk-Socket, um die Länge der Kerberos-Antwort zu erhalten, aber validiert die Länge nicht, was zu einem Integer-Überlauf führt. Der Schwachpunkt wird ausgelöst, wenn der KDC-Proxy versucht, die vollständige Antwort zu lesen, und der Code-Fluss zwischen Funktionen des KDC-Proxy-Servers und der Microsoft ASN.1-Bibliothek wechselt. Der Schwachpunkt kann durch Senden einer gefälschten Kerberos-Antwort an den KDC-Proxy ausgenutzt werden, der dann die Antwort in eine KDC-Proxy-Nachricht einpackt und sie an den Client zurücksendet. Der Schwachpunkt wurde von Microsoft behoben, und Benutzer werden gebeten, das Patch zu installieren, um die Ausnutzung zu verhindern. Der Schwachpunkt betrifft Microsoft Windows Server-Betriebssysteme und kann remote ausgenutzt werden. Der KDC-Proxy wird verwendet, um Remote-Arbeitslasten wie RDP-Gateway und DirectAccess zu ermöglichen, und wird normalerweise auf domain-gekoppelten Maschinen ausgeführt.
CdXz5zHNQW_Zbm9zDKgFZ.jpeg