Kerberos Key Distribution Center (KDC)

Die Schwachstelle betrifft das Kerberos Key Distribution Center (KDC) in Microsoft Windows, also die zentrale Komponente, die in einer Windows-Domäne Anmeldungen über das Kerberos-Protokoll abwickelt und die dafür nötigen Tickets ausstellt. Der Fehler liegt in der Prüfung der Signatur eines solchen Tickets: Das KDC akzeptiert eine gefälschte Signatur, statt sie zu verwerfen. Ein Angreifer, der bereits als gewöhnlicher Domänenbenutzer angemeldet ist, kann diese Schwäche aus der Ferne ausnutzen. Er manipuliert ein gültiges Ticket so, dass darin höhere Rechte hinterlegt sind, und lässt es vom KDC als echt durchgehen. Auf diese Weise verschafft er sich Domänen-Administratorrechte und damit die Kontrolle über die gesamte Domäne – einschließlich aller daran angeschlossenen Konten und Systeme. Voraussetzung ist lediglich ein beliebiges, regulär angemeldetes Domänenkonto. Betroffen sind Domänencontroller unter verschiedenen Windows-Server- und Client-Versionen; die Lücke wurde bereits aktiv ausgenutzt.