Microsoft Security Bulletin MS06-011 - Hoch

Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen (914798)

Veröffentlicht: Dienstag, 14. März 2006 | Aktualisiert: Mittwoch, 14. Juni 2006

Version: 2.1

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von Microsoft Windows

Auswirkung der Sicherheitsanfälligkeit: Erhöhung der Berechtigungen

Bewertung des maximalen Schweregrads: Hoch

Empfehlung: Benutzer sollten das Sicherheitsupdate so schnell wie möglich installieren.

Ersetzung von Sicherheitsupdates: Keine.

Vorsichtsmaßnahmen: Im Microsoft Knowledge Base-Artikel 914798 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 914798.

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

Microsoft Windows XP Service Pack 1 – Update herunterladen
Microsoft Windows Server 2003 – Update herunterladen
Microsoft Windows Server 2003 für Itanium-basierte Systeme – Update herunterladen
Nicht betroffene Software:
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)
- Microsoft Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 Service Pack 1
- Microsoft Windows Server 2003 mit Service Pack 1 für Itanium-basierte Systeme
- Microsoft Windows Server 2003 x64 Edition

Allgemeine Informationen

Kurzzusammenfassung

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	Windows 98, 98 SE, ME	Windows 2000	Windows XP Service Pack 1	Windows XP Service Pack 2	Windows Server 2003	Windows Server 2003 Service Pack 1
Uneingeschränkte Windows Services DACLs – CAN-2006-0023	Erhöhung der Berechtigungen	Keine	Keine	Hoch	Keine	Mittel	Keine

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Warum hat Microsoft dieses Bulletin am 13. Juni 2006 aktualisiert?
Microsoft hat dieses Bulletin und die zugehörigen Sicherheitsupdates aktualisiert, um aktualisierte Registrierungsschlüsselwerte für NetBT, RemoteAccess und TCPIP-Dienste darin aufzunehmen. Diese Werte wurden geändert, um sie denen in Windows XP Service Pack 2 auf Windows XP Service Pack 1 System anzupassen. Benutzern, die Windows XP Service Pack installiert haben, wird empfohlen, dieses überarbeitete Update zu installieren, um zusätzlichen Schutz vor der Erhöhung von Berechtigungen durch diese Dienste zu erhalten, wie im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Security Bulletins beschrieben wird. Windows 2003-Systeme die kein Service Pack installiert haben sind von dieser Aktualisierung nicht betroffen. Weitere Information und die aktualisierten Registrierungsschlüsselwerte finden Sie im Microsoft Knowledge Base-Artikel 914798.

Welche Änderungen umfasst das überarbeitete Sicherheitsupdate?
Das überarbeitete Sicherheitsupdate enthält keine Änderungen an den Binärdateien, die im ursprünglichen Sicherheitsupdate enthalten waren. Während der Installation aktualisiert das überarbeitete Sicherheitsupdate die Registrierungswerte für NetBT, RemoteAccess und TCPIP-Dienste gemäß der Beschreibung im Microsoft Knowledge Base-Artikel 914798.

Welches sind die bekannten Probleme, die bei der Installation dieses Sicherheitsupdates auftreten können?
Im Microsoft Knowledge Base-Artikel 914798 werden die derzeit bekannten Probleme bei der Installation dieses Sicherheitsupdates beschrieben. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 914798.

Warum wurden nach Installation dieses Updates keine aktualisierten Dateien verwendet?
Für Systeme unter Windows XP Service Pack 1 wird die Discrectionary Access Control List (DACL) bei diesem Update an die Einstellungen von Windows XP Service Pack 2 angepasst. Für Windows 2003 ohne installiertes Service Pack werden die ausgewählten Dienst-DACLs bei diesem Update an die Einstellungen von Windows 2003 Service Pack 1 angepasst. Diese Konfigurationsänderungen werden vom Installationsprogramm durchgeführt. Bei der Installation dieses Sicherheitsupdates werden keine Systemdateien aktualisiert.

Kann ich das Update entfernen?
Da durch die Installation dieses Updates keine Systemdateien geändert werden, kann das Update nicht entfernt werden. Für Systeme unter Windows 2003 ohne installiertes Service Pack und Systeme unter Windows XP SP1 werden die DACLs für den ausgewählten Dienst bei diesem Update auf die Einstellungen von Windows 2003 SP1 und Windows XP SP2 gesetzt. Diese Konfigurationsänderungen werden vom Installationsprogramm durchgeführt. Bei der Installation dieses Sicherheitsupdates werden keine Systemdateien aktualisiert. Mit den Dienstprogrammen des Systems können die Änderungen jedoch rückgängig gemacht werden. Weitere Informationen zum Entfernen und Wiederherstellen der DACL-Konfigurationsänderungen, die von diesem Update vorgenommen wurden, finden Sie im Microsoft Knowledge Base-Artikel 914798.

Enthält dieses Update sicherheitsbezogene Funktionsänderungen?
Ja. Neben den im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ des Bulletins angeführten Diensten verändert dieses Update auch die DACLs für den Dienst und die in der Tabelle aufgeführten Dienstregistrierungsschlüssel, um zusätzlichen tief greifenden Schutz zu gewährleisten. Diese zusätzlichen Dienste und Dienstregistrierungsschlüssel setzen die DACLs für die unten aufgeführten Dienste unter Windows XP Service Pack 1 auf die von Windows XP Service Pack 2 und unter Windows 2003 ohne installiertes Service Pack auf jene von Windows 2003 Service Pack 1. Weitere Informationen zu diesen und anderen in diesem Update enthaltenen Änderungen an Diensten und DACLs von Registrierungsschlüsseln finden Sie im Microsoft Knowledge Base-Artikel 914798.

Zusätzliche in diesem Update enthaltene Dienst- und Registrierungsschlüsseländerungen


Betriebssystem	Dienst	Registrierungsschlüssel
Microsoft Windows XP Service Pack 1	MSDTC
		DHCP
		NetBT
		Remotezugriff
		TCPIP
Windows Server 2003	MSDTC
	SysmonLog
		DHCP
		DnsCache
		NetBT
		Remotezugriff
		TCPIP

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von einer oder mehreren der in diesem Security Bulletin behandelten Sicherheitsanfälligkeiten betroffen?
Nein. Die in der Kurzzusammenfassung aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 1.2.1 überprüfen, ob dieses Update erforderlich ist?
Ja. MBSA 1.2.1 kann feststellen, ob dieses Update erforderlich ist. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Da dieses Update nicht deinstalliert werden kann, wenn die betroffenen DACLs geändert oder wiederhergestellt wurden, müssen Benutzer die Registrierung für MBSA bearbeiten, um herauszufinden, ob das Update erneut erforderlich ist. Informationen über die Änderung der Registrierung für MBSA 1.2.1 im Hinblick auf das manuelle Entfernen des Updates finden Sie im Microsoft Knowledge Base-Artikel 914798.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 2.0 überprüfen, ob dieses Update erforderlich ist?
Ja. MBSA 2.0 kann feststellen, ob dieses Update erforderlich ist. MBSA 2.0 erkennt erforderliche Sicherheitsupdates für von Microsoft Update unterstützte Produkte. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Da dieses Update nicht deinstalliert werden kann, wenn die betroffenen DACLs geändert oder wiederhergestellt wurden, müssen Benutzer die Registrierung für MBSA bearbeiten, um herauszufinden, ob das Update erneut erforderlich ist. Informationen über die Änderung der Registrierung für MBSA 2.0 im Hinblick auf das manuelle Entfernen des Updates finden Sie im Microsoft Knowledge Base-Artikel 914798.

Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Das Sicherheitsupdate-Inventurprogramm kann von SMS zum Auffinden von unter Windows Update angebotenen Sicherheitsupdates, die von den Software Update Services unterstützt werden, und anderen von MBSA 1.2.1 unterstützten Sicherheitsupdates verwendet werden. Weitere Informationen über das Sicherheitsupdate-Inventurprogramm finden Sie auf der folgenden Microsoft-Website. Weitere Informationen zu den Einschränkungen des Sicherheitsupdate-Inventurprogramms finden Sie im Microsoft Knowledge Base-Artikel 306460.

Das SMS 2003-Inventurprogramm für Microsoft-Updates kann von SMS zum Auffinden von unter Microsoft Update erhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Services unterstützt werden, verwendet werden. Weitere Informationen über das SMS 2003-Inventurprogramm für Microsoft Updates finden Sie auf der folgenden Microsoft-Website.

Einzelheiten zu dieser Sicherheitsanfälligkeit

Informationen zum Sicherheitsupdate

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log: Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log:Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

Andres Tarasco von der SIA Group für seine Zusammenarbeit mit Microsoft beim Identifizieren des Problems „Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

Sicherheitsupdates sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.
Updates für Kundenplattformen können Sie auf der Microsoft Update-Website abrufen.

Support:

Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.
Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.
Microsoft Software Update Services
Microsoft Windows Server Update Services
Microsoft Baseline Security Analyzer (MBSA)
Windows Update
Microsoft Update
Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.
Office Update

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Software Update Services finden Sie auf der Software Update Services-Website.

Windows Server Update Services:

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Pack und das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Pack besuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis: SMS nutzt Microsoft Baseline Security Analyzer, das Microsoft Office Detection Tool und das Enterprise Update Scanning Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates zu bieten. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Pack und im SMS 2.0 Administration Feature Pack enthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Haftungsausschluss:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

V1.0 (14. März 2006): Bulletin veröffentlicht.
V1.1 (17. März 2006): Für Windows Server 2003 wurde der Abschnitt zur Dateiüberprüfung aktualisiert, um den entsprechenden Registrierungsschlüssel für die Dateierkennung anzugeben.
V2.0 (13. Juni 2006): Dieses Update wurde überarbeitet, um aktualisierte Registrierungsschlüsselwerte für NetBT, RemoteAccess und TCPIP-Dienste darin aufzunehmen. Diese Werte wurden geändert, um identisch mit denjenigen für Windows XP Service Pack 2 auf Systemen mit Windows XP Service Pack 1 sowie Windows 2003 Service Pack 1 auf Windows 2003-Systemen ohne installiertes Service Pack zu sein. Benutzer werden aufgefordert, dieses überarbeitete Update zu installieren, um zusätzlichen Schutz vor der Erhöhung von Berechtigungen durch diese Dienste zu erhalten, wie im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dieses Security Bulletins beschrieben wird.
V2.1 (14. Juni 2006): Bulletin aktualisiert, um zu verdeutlichen, dass Windows 2003-Systeme ohne installiertes Service Pack von der Aktualisierung am 13. Juni 2006 nicht betroffen sind.

Microsoft Security Bulletin MS06-011 - Hoch

Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen (914798)

Zusammenfassung

Allgemeine Informationen

Kurzzusammenfassung

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Einzelheiten zu dieser Sicherheitsanfälligkeit

Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023

Schadensbegrenzende Faktoren für den Abschnitt „Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“

Problemumgehungen für die Sicherheitsanfälligkeit unter „Uneingeschränkte Windows Services DACLs können eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“:

Häufig gestellte Fragen (FAQs) zum Abschnitt „Uneingeschränkte Windows Services DACLs könnten eine Erhöhung von Berechtigungen ermöglichen – CAN-2006-0023“

Informationen zum Sicherheitsupdate

Windows Server 2003

Windows XP

Weitere Informationen: