Бюллетень по безопасности Майкрософт MS13-066 — важно
Уязвимость в службы федерации Active Directory (AD FS) может разрешить раскрытие информации (2873872)
Опубликовано: 13 августа 2013 г. | Обновлено: 19 августа 2013 г.
Версия: 3.0
Общие сведения
Краткий обзор
Это обновление системы безопасности разрешает частную уязвимость в службы федерации Active Directory (AD FS) (AD FS). Уязвимость может выявить сведения, относящиеся к учетной записи службы, используемой AD FS. Затем злоумышленник может попытаться войти извне корпоративной сети, что приведет к блокировке учетной записи службы, используемой AD FS, если настроена политика блокировки учетных записей. Это приведет к отказу в обслуживании для всех приложений, использующих экземпляр AD FS.
Это обновление безопасности оценивается как важно для AD FS 2.0 при установке в выпусках Windows Server 2008 и Windows Server 2008 R2, отличных от Itanium; Оно также оценивается как важное значение для AD FS 2.1 при установке в Windows Server 2012. Оценка серьезности для AD FS 1.x отсутствует при установке в затронутых системах. Дополнительные сведения см. в подразделе " Затронутое и не затронутое программное обеспечение" в этом разделе.
Обновление безопасности устраняет уязвимость, гарантируя, что конечная точка не раскрывает сведения об учетной записи. Дополнительные сведения об уязвимости см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимости в следующем разделе: сведения об уязвимостях.
Рекомендация. Большинство клиентов включили автоматическое обновление и не должны предпринимать никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.
Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить это обновление вручную, корпорация Майкрософт рекомендует пользователям применять обновление при первой возможности с помощью программного обеспечения для управления обновлениями или проверка для обновлений с помощью службы центра обновления Майкрософт.
См. также раздел, средства обнаружения и развертывания и рекомендации далее в этом бюллетене.
Затронутое и не затронутое программное обеспечение
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты. Другие версии или выпуски либо прошли жизненный цикл поддержки, либо не затрагиваются. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
[1]Оценки серьезности не применяются к этому обновлению для указанного программного обеспечения, так как известные векторы атак для уязвимости, рассмотренной в этом бюллетене, блокируются в конфигурации по умолчанию. Однако в качестве подробной меры защиты корпорация Майкрософт рекомендует клиентам этого программного обеспечения применять это обновление безопасности.
[2]При повторном выпуске обновлений AD FS 2.0 для Windows Server 2008 и Windows Server 2008 R2 исправления, содержащиеся в двух исходных обновлениях (2843638 и 2843639), были консолидированы в одно обновление (2843638). После завершения установки клиенты увидят только обновление 2843638 в списке установленных обновлений. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
[3]Для Windows Server 2012 обновление 2843639 — это свертка двух обновлений (2843638 и 2843639), установленных одной за другой. Сначала устанавливается 2843639 обновления, а затем 2843638 обновления. После завершения установки клиенты увидят обновления 2843639 и 2843638 в списке установленных обновлений.
Не затронутое программное обеспечение
Операционная система
Windows XP с пакетом обновления 3 (SP3)
Windows XP Professional x64 Edition с пакетом обновления 2
Windows Server 2003 с пакетом обновления 2 (за исключением Windows Server 2003 R2 с пакетом обновления 2)
Windows Server 2003 x64 Edition с пакетом обновления 2 (за исключением Windows Server 2003 R2 x64 Edition с пакетом обновления 2)
Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium
Windows Vista с пакетом обновления 2 (SP2)
Windows Vista x64 Edition с пакетом обновления 2
Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2)
Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)
Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 for Itanium-based Systems
Windows 8 для 32-разрядных систем
Windows 8 для 64-разрядных систем
Windows RT
Установка основных серверных компонентов
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов)
Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов)
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов)
Windows Server 2012 (установка основных серверных компонентов)
Вопросы и ответы по обновлению
Почему этот бюллетеньповторился19 августа 2013 года?
Корпорация Майкрософт повторила этот бюллетень, чтобы объявить о повторном выпуске обновления 2843638 для службы федерации Active Directory (AD FS) 2.0 в Windows Server 2008 и Windows Server 2008 R2. Повторное обновление устраняет проблему в исходных предложениях, которые привели к остановке работы AD FS, если ранее выпущенный накопительный пакет QFE (обновление 2790338) не был установлен; повторное удаление этого требования. Кроме того, при создании этой повторной версии корпорация Майкрософт объединила исправления, содержащиеся в двух исходных обновлениях (2843638 и 2843639) в одном обновлении 2843638. Клиенты, которые уже установили исходные обновления, будут повторно выпущены 2843638 обновления и рекомендуется применить его при первой возможности. Обратите внимание, что после завершения установки клиенты увидят только обновление 2843638 в списке установленных обновлений.
Почему этот бюллетень был изменен 14 августа 2013 г.? Что случилось с оригиналомОбновления системы безопасности AD FS2.0?
Корпорация Майкрософт знает о проблемах с 2843638 и обновлениями 2843639, влияющими на службы федерации Active Directory (AD FS) 2.0, которые могут привести к остановке работы AD FS. Корпорация Майкрософт удалила обновления из Обновл. Windows и Центра загрузки и изучает проблемы. Корпорация Майкрософт выпустит новые пакеты после устранения проблем.
Обратите внимание, что эта проблема не влияет на обновление 2868846 для службы федерации Active Directory (AD FS) 1.x или 2843638 и 2843639 обновлений для службы федерации Active Directory (AD FS) 2.1.
Почему установкаобновления2843639 приводит к двумобновлениям (2843638и 2843639) в списке установленных обновлений?
Обновление 2843639 — это свертка двух обновлений (2843639 и 2843638), установленных одной за другой цепочкой. Сначала устанавливается 2843639 обновления, а затем 2843638 обновления. После завершения установки клиенты увидят обновления 2843639 и 2843638 в списке установленных обновлений.
Как установки основных серверных компонентов влияют на уязвимости, устраненные в этом бюллетене?
Уязвимости, устраненные этим обновлением, не влияют на поддерживаемые выпуски Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012, как указано в таблице не затронутых программ, при установке с помощью параметра установки основных серверных компонентов. Дополнительные сведения об этом варианте установки см. в статьях TechNet, управлении установкой основных серверных компонентов: обзор, обслуживание установки основных серверных компонентов, а также общие сведения об интеграции с серверным ядром и полной серверной интеграцией.
Я выполняю одну из операционных систем, перечисленных в затронутой таблице программного обеспечения. Почему я не предлагаю обновление?
Обновление будет предложено только системам, на которых установлен затронутый компонент.
Я использую старый выпуск программного обеспечения, рассмотренного в этом бюллетене по безопасности. Что делать?
Затронутое программное обеспечение, указанное в этом бюллетене, было проверено, чтобы определить, какие выпуски затронуты. Другие выпуски прошли жизненный цикл поддержки. Дополнительные сведения о жизненном цикле продукта см. на веб-сайте жизненного цикла служба поддержки Майкрософт.
Это должно быть приоритетом для клиентов, имеющих старые выпуски программного обеспечения для миграции на поддерживаемые выпуски, чтобы предотвратить потенциальное воздействие уязвимостей. Чтобы определить жизненный цикл поддержки для выпуска программного обеспечения, см. раздел "Выбор продукта для сведений о жизненном цикле". Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см . в политике поддержки жизненного цикла пакета обновления.
Клиенты, которым требуется пользовательская поддержка более старого программного обеспечения, должны обратиться к своему представителю группы учетных записей Майкрософт, менеджеру технической учетной записи или соответствующему представителю партнера Майкрософт для пользовательских вариантов поддержки. Клиенты без альянса, Premier или авторизованного контракта могут связаться со своим местным офисом продаж Майкрософт. Контактные данные см. на веб-сайте Microsoft Worldwide Information , выберите страну в списке контактных данных и нажмите кнопку " Перейти ", чтобы просмотреть список телефонных номеров. При вызове попросите поговорить с местным менеджером по продажам в службу поддержки Premier. Дополнительные сведения см. в разделе "Часто задаваемые вопросы о политике жизненного цикла служба поддержки Майкрософт".
Сведения об уязвимостях
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в августовом бюллетене. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
Затронутого программного обеспечения
Уязвимость раскрытия информации AD FS — CVE-2013-3185
Оценка серьезности агрегата
Windows Server 2003 R2
службы федерации Active Directory (AD FS) 1.x при установке в Windows Server 2003 R2 с пакетом обновления 2 (2868846)
Нет оценки серьезности[1]
Нет оценки серьезности[1]
службы федерации Active Directory (AD FS) 1.x при установке в Windows Server 2003 R2 x64 Edition с пакетом обновления 2 (2868846)
Нет оценки серьезности[1]
Нет оценки серьезности[1]
Windows Server 2008
службы федерации Active Directory (AD FS) 2.0 при установке в Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (2843638)[2]
Важное раскрытие информации
Важно!
службы федерации Active Directory (AD FS) 1.x при установке в Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (2868846)
Нет оценки серьезности[1]
Нет оценки серьезности[1]
службы федерации Active Directory (AD FS) 2.0 при установке в Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (2843638)[2]
Важное раскрытие информации
Важно!
службы федерации Active Directory (AD FS) 1.x при установке в Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (2868846)
Нет оценки серьезности[1]
Нет оценки серьезности[1]
Windows Server 2008 R2
службы федерации Active Directory (AD FS) 2.0 при установке в Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (2843638)[2]
Важное раскрытие информации
Важно!
службы федерации Active Directory (AD FS) 1.x при установке в Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (2868846)
Нет оценки серьезности[1]
Нет оценки серьезности[1]
Windows Server 2012
службы федерации Active Directory (AD FS) 2.1 при установке в Windows Server 2012 (2843638)[3]
Важное раскрытие информации
Важно!
службы федерации Active Directory (AD FS) 2.1 при установке в Windows Server 2012 (2843639)[3]
Нет оценки серьезности[1]
Нет оценки серьезности[1]
[1]Оценки серьезности не применяются к этому обновлению для указанного программного обеспечения, так как известные векторы атак для уязвимости, рассмотренной в этом бюллетене, блокируются в конфигурации по умолчанию. Однако в качестве подробной меры защиты корпорация Майкрософт рекомендует клиентам этого программного обеспечения применять это обновление безопасности.
[2]При повторном выпуске обновлений AD FS 2.0 для Windows Server 2008 и Windows Server 2008 R2 исправления, содержащиеся в двух исходных обновлениях (2843638 и 2843639), были консолидированы в одно обновление (2843638). После завершения установки клиенты увидят только обновление 2843638 в списке установленных обновлений. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
[3]Для Windows Server 2012 обновление 2843639 — это свертка двух обновлений (2843638 и 2843639), установленных одной за другой. Сначала устанавливается 2843639 обновления, а затем 2843638 обновления. После завершения установки клиенты увидят обновления 2843639 и 2843638 в списке установленных обновлений.
Уязвимость раскрытия информации AD FS — CVE-2013-3185
Уязвимость раскрытия информации существует в службы федерации Active Directory (AD FS) (AD FS), которая может разрешить непреднамеренное раскрытие сведений об учетной записи.
Сведения об этой уязвимости в качестве стандартной записи в списке распространенных уязвимостей и уязвимостей см. в разделе CVE-2013-3185.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Вопросы и ответы
Что такое область уязвимости?
Это уязвимость раскрытия информации.
Что вызывает уязвимость?
Уязвимость возникает, когда экземпляр службы федерации Active Directory (AD FS) предоставляет сведения об учетной записи через открытую конечную точку.
Что такое службы федерации Active Directory (AD FS) (AD FS)?
службы федерации Active Directory (AD FS) (AD FS) — это стандартная служба, которая позволяет безопасно обмениваться данными об удостоверениях между доверенными бизнес-партнерами (известной как федерация) в экстрасети. Когда пользователю необходимо получить доступ к веб-приложению от одного из своих партнеров федерации, собственная организация пользователя отвечает за проверку подлинности пользователя и предоставление сведений об удостоверениях в виде утверждений партнеру, на котором размещено веб-приложение. Партнер размещения использует политику доверия для сопоставления входящих утверждений с утверждениями, которые понимаются веб-приложением, которое использует утверждения для принятия решений о авторизации.
Что может сделать злоумышленник?
Уязвимость может позволить злоумышленнику выявить сведения, относящиеся к учетной записи службы, используемой AD FS.
Как злоумышленник может воспользоваться уязвимостью?
Злоумышленник, который успешно воспользовался этой уязвимостью, может выявить сведения, относящиеся к учетной записи службы, используемой AD FS. Затем злоумышленник может попытаться войти извне корпоративной сети, что приведет к блокировке учетной записи службы, используемой AD FS, если настроена политика блокировки учетных записей. Это приведет к отказу в обслуживании для всех приложений, использующих экземпляр AD FS.
Какие системы в первую очередь подвергаются риску от уязвимости?
Серверы с установленной ролью AD FS влияют на эту уязвимость.
Что делает обновление?
Обновление устраняет уязвимость, гарантируя, что конечная точка не раскрывает сведения об учетной записи.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Обновление сведений
Средства обнаружения и развертывания и рекомендации
Несколько ресурсов помогают администраторам развертывать обновления системы безопасности.
Анализатор безопасности Microsoft Base (МБ SA) позволяет администраторам проверять локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности.
Службы обновления Windows Server (WSUS), сервер управления системами (SMS) и System Center Configuration Manager (SCCM) помогают администраторам распространять обновления безопасности.
Компоненты средства оценки совместимости обновлений, включенные в состав набор средств совместимости приложений, упрощают тестирование и проверку обновлений Windows в установленных приложениях.
Для получения сведений об определенном обновлении безопасности для затронутого программного обеспечения щелкните соответствующую ссылку:
Windows Server 2003 (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
Имена файлов обновления системы безопасности
Для службы федерации Active Directory (AD FS) 1.x во всех поддерживаемых 32-разрядных выпусках Windows Server 2003 R2:\ WindowsServer2003-КБ 2868846-x86-ENU.exe
Для службы федерации Active Directory (AD FS) 1.x во всех поддерживаемых выпусках windows Server 2003 R2:\ WindowsServer2003.WindowsXP-КБ 2868846-x64-ENU.exe
Да, после применения этого обновления безопасности необходимо перезапустить систему.
Сведения об удалении
Использование элемента "Добавить или удалить программы" в панель управления или служебной программе Spuninst.exe, расположенной в папке %Windir%$NTUninstall КБ 2868846$\Spuninst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP3\КБ 2868846\Filelist
Windows Server 2008 (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
Имена файлов обновления системы безопасности
Для службы федерации Active Directory (AD FS) 1.x во всех поддерживаемых 32-разрядных выпусках Windows Server 2008:\ Windows6.0-КБ 2868846-x86.msu
Для службы федерации Active Directory (AD FS) 2.0 во всех поддерживаемых 32-разрядных выпусках Windows Server 2008:\ Windows6.0-КБ 2843638-v2-x86.msu
Для службы федерации Active Directory (AD FS) 1.x во всех поддерживаемых выпусках windows Server 2008:\ Windows6.0-КБ 286846-x64.msu
Для службы федерации Active Directory (AD FS) версии 2.0 во всех поддерживаемых выпусках на основе x64 Windows Server 2008:\ Windows6.0-КБ 2843638-v2-x64.msu
Для этого обновления не требуется перезагрузка системы. Однако служба AD FS (adfssrv) и IIS должны быть остановлены перед установкой обновления и перезапуском после завершения обновления.
Сведения об удалении
WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное WUSA, щелкните панель управления и нажмите кнопку "Безопасность". В разделе Обновл. Windows щелкните Просмотреть установленные обновления и выберите из списка обновлений.\ Примечание. При повторном выпуске обновления 2843638 для ADFS 2.0 в Windows Server 2008 исправления, содержащиеся в двух исходных обновлениях (2843638 и 2843639), были консолидированы в одно обновление (2843638). После завершения установки клиенты увидят только обновление 2843638 в списке установленных обновлений. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
Для этого обновления не требуется перезагрузка системы. Однако служба AD FS (adfssrv) и IIS должны быть остановлены перед установкой обновления и перезапуском после завершения обновления.
Сведения об удалении
Чтобы удалить обновление, установленное WUSA, используйте переключатель установки /Удалить или щелкните панель управления, щелкните "Система и безопасность", а затем в разделе Обновл. Windows щелкните "Просмотреть установленные обновления" и выберите из списка обновлений.\ Примечание\ При повторном выпуске обновления 2843638 для ADFS 2.0 в Windows Server 2008 R2 исправления, содержащиеся в двух исходных обновлениях (2843638 и 2843639), были консолидированы в одно обновление (2843638). После завершения установки клиенты увидят только обновление 2843638 в списке установленных обновлений. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
Обратите внимание , что раздел реестра не существует для проверки наличия этого обновления.
Windows Server 2012 (все выпуски)
Справочная таблица
В следующей таблице содержатся сведения об обновлении системы безопасности для этого программного обеспечения.
Имя файла обновления системы безопасности
Для службы федерации Active Directory (AD FS) 2.1 во всех поддерживаемых выпусках Windows Server 2012:\ Windows8-RT-КБ 2843638-x64.msu\ Windows8-RT-КБ 2843639-x64.msu
Для этого обновления не требуется перезагрузка системы. Однако служба AD FS (adfssrv) и IIS должны быть остановлены перед установкой обновления и перезапуском после завершения обновления.
Сведения об удалении
Чтобы удалить обновление, установленное WUSA, используйте переключатель установки /Удалить или щелкните панель управления, щелкните "Система и безопасность", щелкните Обновл. Windows, а затем в разделе "См. также", щелкните "Установленные обновления" и выберите из списка обновлений.\ Примечание. Обновление 2843639 — это свертка двух обновлений (2843639 и 2843638), установленных одной за другой цепочкой. Сначала устанавливается 2843639 обновления, а затем 2843638 обновления. После завершения установки клиенты увидят обновления 2843639 и 2843638 в списке установленных обновлений.
Обратите внимание , что раздел реестра не существует для проверки наличия этого обновления.
Другие сведения
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, перейдите на веб-сайты активных защиты, предоставляемые партнерами программы, перечисленными в программе Microsoft Active Protections Program (MAPP).
Поддержка
Получение справки и поддержки для этого обновления системы безопасности
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
Версия 1.0 (13 августа 2013 г.): бюллетень опубликован.
Версия 2.0 (14 августа 2013 г.): повторно выпущен бюллетень, чтобы удалить все обновления AD FS, так как корпорация Майкрософт работает над решением проблемы с обновлениями. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
Версия 2.1 (14 августа 2013 г.): измененный бюллетень по восстановлению ссылок на скачивание обновлений AD FS 1.x и AD FS 2.1 и уточнение того, что проблемы, сообщаемые в бюллетене версии 2.0, применяются только к AD FS 2.0.
Версия 3.0 (19 августа 2013 г.): повторное объявление о повторном выпуске обновления 2843638 для службы федерации Active Directory (AD FS) 2.0 в Windows Server 2008 и Windows Server 2008 R2. Дополнительные сведения см. в разделе "Вопросы и ответы об обновлении".
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.