Microsoft-Sicherheitsempfehlung (2269637)
Nicht sicheres Laden einer Bibliothek kann Remotecodeausführung ermöglichen
Veröffentlicht: | Aktualisiert:
Version: 18.0
Allgemeine Informationen
Kurzzusammenfassung
Microsoft ist sich bewusst, dass Forschungen veröffentlicht wurden, in denen eine Remoteangriffsmethode für eine Klasse von Sicherheitsanfälligkeiten genau beschrieben ist, welche sich darauf auswirkt, wie Anwendungen externe Bibliotheken laden.
Dieses Problem wird von bestimmten, nicht sicheren Programmierungspraktiken verursacht, die sogenannte „binary planting“- (Positionieren von Binärdateien) oder „DLL preloading“-Angriffe (vorheriges Laden von DLLs) ermöglichen. Diese Praktiken können einem Angreifer ermöglichen, von einem Remotestandort aus beliebigen Code im Kontext des Benutzers auszuführen, der die anfällige Anwendung ausführt, wenn der Benutzer eine Datei von einem nicht vertrauenswürdigen Ort öffnet.
Dieses Problem wird durch Anwendungen verursacht, die beim Laden einer externen Bibliothek einen unzureichend qualifizierten Pfad übergeben. Microsoft hat im MSDN-Artikel Sicherheit von DLLs Anleitung für Entwickler veröffentlicht, wie die verfügbaren Anwendungsprogrammierschnittstellen richtig verwendet werden, um diese Klasse von Sicherheitsanfälligkeit zu verhindern. Microsoft wendet sich durch das Programm zur Erforschung von Microsoft-Sicherheitsanfälligkeiten auch aktiv an Händler von Drittanbietersoftware, um diese über die schadensbegrenzenden Maßnahmen zu informieren, die im Betriebssystem verfügbar sind. Microsoft untersucht außerdem aktiv, welche der eigenen Anwendungen u. U. betroffen sind.
Zusätzlich zu dieser Anleitung veröffentlicht Microsoft ein Tool, mit dem Systemadministratoren das Risiko dieser neuen Angriffsmethode verringern können, indem sie das Verhalten beim Laden von Bibliotheken systemweit oder für bestimmte Anwendungen ändern. In dieser Empfehlung werden die Funktionalität dieses Tools und weiterer Aktionen beschrieben, mit denen Benutzer ihre Systeme schützen können.
Schadensbegrenzende Faktoren:
- Dieses Problem betrifft lediglich Anwendungen, die externe Bibliotheken nicht sicher laden. Microsoft hat zuvor im MSDN-Artikel Sicherheit von DLLs Richtlinien für Entwickler veröffentlicht, in denen alternative Methoden zum Laden von Bibliotheken empfohlen werden, die vor diesen Angriffen sicher sind.
- Damit ein Angriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Speicherort eines Remotedateisystems oder eine WebDAV-Freigabe besuchen und an diesem Ort ein Dokument öffnen, das dann von einer anfälligen Anwendung geladen wird.
- Oft ist das Dateifreigabeprotokoll SMB in der Umkreisfirewall deaktiviert. Dadurch werden mögliche Angriffsmethoden für diese Sicherheitsanfälligkeit eingeschränkt.
Updates bzgl. des nicht sicheren Ladens von Bibliotheken:
Update veröffentlicht am 9. November 2010
- Das Microsoft Security Bulletin MS10-087 „Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Updates wurden am 14. Dezember 2010 veröffentlicht
- Das Microsoft Security Bulletin MS10-093 „Sicherheitsanfälligkeit in Windows Movie Maker kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS10-094 „Sicherheitsanfälligkeit in Windows Media Encoder kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS10-095 „Sicherheitsanfälligkeit in Microsoft Windows kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS10-096 „Sicherheitsanfälligkeit in Windows-Adressbuch kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Microsoft Security Bulletin MS10-097 „Nicht sicheres Laden von Bibliotheken im Assistenten zum Anmelden von Internetverbindungen kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Update veröffentlicht am 11. Januar 2011
- Das Microsoft Security Bulletin MS11-001 „Sicherheitsanfälligkeit in Windows Backup Manager kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Update veröffentlicht am 8. Februar 2011
- Microsoft Security Bulletin MS11-003, „Kumulatives Sicherheitsupdate für Internet Explorer“ stellt Unterstützung für eine gefährdete Komponente von Internet Explorer bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Updates wurden am 8. März 2011 veröffentlicht
- Das Microsoft Security Bulletin MS11-015 „Sicherheitsanfälligkeiten in Windows Media können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS11-016 „Sicherheitsanfälligkeiten in Microsoft Groove können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS11-017 „Sicherheitsanfälligkeit in Remotedesktopclient kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Updates wurden am 12. April 2011 veröffentlicht
- Das Microsoft Security Bulletin MS11-023 „Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Microsoft Security Bulletin MS11-025 „Sicherheitsanfälligkeit in MFC-Bibliothek (Microsoft Foundation Class) kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente in bestimmten Anwendungen bereit, die mithilfe der MFC-Bibliothek (Microsoft Foundation Class) erstellt wurden. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Updates wurden am 12. Juli 2011 veröffentlicht
- Das Update im Microsoft Knowledge Base-Artikel 2533623 implementiert API-Verbesserungen (Anwendungsprogrammierschnittstelle) in Windows, um Entwicklern zu helfen, externe Bibliotheken richtig und sicher zu laden. Dieses Update für Windows ist für Benutzer, die das Update nicht bereits durch automatische Aktualisierung erhalten haben, in der Kategorie „Wichtige Updates“ verfügbar.
Entwickler können dazu beitragen, sicherzustellen, dass ihre Programme DLLs richtig laden. Indem die Anweisungen im Microsoft Knowledge Base-Artikel 2533623 befolgt werden, werden Angriffe durch „DLL preloading“ (vorheriges Laden von DLLs) oder „binary planting“ (Positionieren von Binärdateien) vermieden. Außerdem wird erklärt, wie die in diesem Update bereitgestellten API-Verbesserungen am besten genutzt werden.
- Das Microsoft Security Bulletin MS11-055 „Sicherheitsanfälligkeiten in Microsoft Visio können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Update veröffentlicht am 9. August 2011
- Das Microsoft Security Bulletin MS11-059 „Sicherheitsanfälligkeit in Data Access Components kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Am 13. September 2011 veröffentlichte Updates
- Das Microsoft Security Bulletin MS11-071 „Sicherheitsanfälligkeit in Windows-Komponenten kann Remotecodeausführung ermöglichen“ stellt Unterstützung für gefährdete Komponenten von Microsoft Windows bereit. Diese sind von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS11-073 „Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen“ stellt Unterstützung für gefährdete Komponenten von Microsoft Office bereit. Diese sind von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Am 11. Oktober 2011 veröffentlichte Updates
- Das Microsoft Security Bulletin MS11-075 „Sicherheitsanfälligkeit in Microsoft Active Accessibility kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS11-076 „Sicherheitsanfälligkeit in Windows Media Center kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Update veröffentlicht am 8. November 2011
- Das Microsoft Security Bulletin MS11-085 „Sicherheitsanfälligkeit in Windows Mail und Windows-Teamarbeit kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Am 13. Dezember 2011 veröffentlichte Updates
- Microsoft Security Bulletin MS11-099, „Kumulatives Sicherheitsupdate für Internet Explorer“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Windows bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS11-094 „Sicherheitsanfälligkeiten in Microsoft PowerPoint können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Am 14. Februar 2012 veröffentlichte Updates
- Das Microsoft Security Bulletin MS12-012 „Sicherheitsanfälligkeit in Farbsystemsteuerung kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
- Das Microsoft Security Bulletin MS12-014 „Sicherheitsanfälligkeit im Indeo-Codec kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Office bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Update veröffentlicht am 13. März 2012
- Das Microsoft Security Bulletin MS12-022 „Sicherheitsanfälligkeit in Expression Design kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Expression Design bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Am 12. Juni 2012 veröffentlichtes Update
- Das Microsoft Security Bulletin MS12-039 „Sicherheitsanfälligkeiten in Lync können Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft Lync bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Aktualisierung veröffentlicht am 10. Juli 2012
- Microsoft Security Bulletin MS12-046, „Sicherheitsanfälligkeit in Visual Basic für Applikationen kann Remotecodeausführung ermöglichen“, stellt Unterstützung für eine gefährdete Komponente von Microsoft Visual Basic für Applikationen bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Update veröffentlicht am 13. November 2012
- Das Microsoft Security Bulletin MS12-074 „Sicherheitsanfälligkeit in .NET Framework kann Remotecodeausführung ermöglichen“ stellt Unterstützung für eine gefährdete Komponente von Microsoft .NET Framework bereit. Diese ist von der Klasse von Sicherheitsanfälligkeiten bzgl. des nicht sicheren Ladens von Bibliotheken betroffen, die in dieser Empfehlung beschrieben wird.
Details der Empfehlung
Betroffene und nicht betroffene Software
Microsoft untersucht, ob seine eigenen Anwendungen von den Sicherheitsanfälligkeiten durch das nicht sichere Laden von Bibliotheken betroffen sind und ergreift angemessene Maßnahmen, um seine Benutzer zu schützen.
Häufig gestellte Fragen (FAQs)
Wo finden Entwickler Anleitungen zum Vermeiden dieses Problems?
Seit dem 14. Juni 2011 implementiert das Update im Microsoft Knowledge Base-Artikel 2533623 API-Verbesserungen (Anwendungsprogrammierschnittstelle) in Windows, um Entwicklern zu helfen, externe Bibliotheken richtig und sicher zu laden. Entwickler sollten die im Microsoft Knowledge Base-Artikel 2533623 bereitgestellte Anleitung befolgen, um die vom Update bereitgestellten API-Verbesserungen zu nutzen.
Microsoft hat außerdem den MSDN-Artikel Sicherheit von DLLs veröffentlicht, in dem die verschiedenen, unter Windows verfügbaren APIs (Anwendungsprogrammierschnittstellen) beschrieben sind, mit denen Entwickler externe Bibliotheken richtig und sicher laden können.
Microsoft arbeitet über das Programm zur Erforschung von Microsoft-Sicherheitsanfälligkeiten mit Entwicklern zusammen, um mit ihnen gemeinsam Informationen zum Verhindern dieser Sicherheitsanfälligkeit in ihren Produkten zu nutzen. Softwareanbieter und unabhängige Softwareanbieter, die Fragen zu den schadensbegrenzenden Maßnahmen haben, die in Windows für dieses Problem verfügbar sind, sind eingeladen, sich bezüglich zusätzlicher schadensbegrenzender Maßnahmen an msvr@microsoft.com zu wenden.
Was genau ist der Inhalt dieser Ausgabe?
Microsoft ist sich Forschungen bewusst, die von einigen Sicherheitsforschern veröffentlicht wurden, und in denen eine neue Remoteangriffsmethode für diese bekannte Klasse von Sicherheitsanfälligkeiten beschrieben wird. Anwendungen sind betroffen, wenn der Pfad einer externen Bibliothek unzureichend qualifiziert wird.
Wodurch wird diese Bedrohung verursacht?
Diese Ausnutzung kann auftreten, wenn von Anwendungen nicht direkt der vollqualifizierte Pfad zu einer Bibliothek angegeben wird, die geladen werden soll. Je nachdem, wie die Anwendung entwickelt wurde, wird Windows von der Anwendung angewiesen, an bestimmten Orten im Dateisystem nach der erforderlichen Bibliothek zu suchen und die Datei bei Auffinden zu laden.
Bei einigen APIs (Anwendungsprogrammierschnittstellen), z. B. SearchPath, wird eine Suchreihenfolge verwendet, die für Dokumente vorgesehen ist, aber nicht für Anwendungsbibliotheken. Anwendungen, die diese API verwenden, können versuchen, die Bibliothek aus dem aktuellen Arbeitsverzeichnis zu laden, das u. U. von einem Angreifer kontrolliert wird. Andere APIS können u. U. zu ähnlichem Verhalten führen, wenn sie in bestimmter Art und Weise verwendet werden. Dies ist im MSDN-Artikel Sicherheit von DLLs beschrieben.
Bei Netzwerkfreigaben wie WebDAV oder SMB kann ein Angreifer, der an diesen Speicherort schreiben kann, eine speziell gestaltete Bibliothek hochladen. In diesem Szenario versucht die Anwendung, die speziell gestaltete Bibliothek zu laden, die dann im Sicherheitskontext des angemeldeten Benutzers beliebigen Code auf dem Clientsystem ausführen kann.
Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie ein angemeldeter Benutzer erlangen. Wenn der Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.
In einigen Fällen kann ein Angreifer, der bereits Zugriff auf einen lokalen Ordner auf dem System hat, eine Sicherheitsanfälligkeit durch das vorherige Laden von DLLs in einer lokalen Anwendung verwenden, die mit erhöhten Berechtigungen ausgeführt wird, um seinen Zugriff auf das System zu erhöhen.
Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Diese Sicherheitsanfälligkeit erfordert, dass der Angreifer den Benutzer dazu verleitet, mit einem anfälligen Programm eine Datei an einem Remotenetzwerkspeicherort zu öffnen. Wenn die Anwendung eine ihrer erforderlichen oder optionalen Bibliotheken lädt, versucht die anfällige Anwendung u. U., die Bibliothek vom Remotenetzwerkspeicherort zu laden. Wenn der Angreifer an diesem Ort eine speziell gestaltete Bibliothek bereitgestellt hat, kann er u. U. beliebigen Code auf dem Computer des Benutzers ausführen.
Welches sind die Remoteangriffsmethoden für diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann über Netzwerkdateisysteme wie WebDAV und SMB (aber nicht darauf beschränkt) ausgenutzt werden. Ein Angreifer kann eine Datei zum Herunterladen über ein beliebiges Protokoll anbieten. Wenn die Anwendung, mit der diese Datei geöffnet wird, externe Bibliotheken nicht sicher lädt, kann der Benutzer, der diese Datei öffnet, dieser Sicherheitsanfälligkeit ausgesetzt sein.
Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Diese Sicherheitsanfälligkeit erfordert u. U., dass Händler von Drittanbietersoftware ein Sicherheitsupdate für ihre jeweiligen betroffenen Anwendungen veröffentlichen. Als Bestandteil dieser Sicherheitsempfehlung veröffentlicht Microsoft ein optionales Tool für schadensbegrenzende Maßnahmen. Damit können Benutzer das Risiko der Remoteangriffsmethode durch Einstellungen pro Anwendung und globale Konfigurationseinstellungen beheben.
Microsoft untersucht außerdem, ob eigene Anwendungen von den Sicherheitsanfälligkeiten durch das nicht sichere Laden von Bibliotheken betroffen sind und ergreift angemessene Maßnahmen, um seine Benutzer zu schützen.
Was ist eine DLL (Dynamic Link Library)?
Eine DLL ist eine Bibliothek, die Code und Daten enthält, die von mehr als einem Programm gleichzeitig verwendet werden können. In Windows-Betriebssystemen z. B. führt die „Comdlg32 DLL“ gängige dialogfeldbezogene Funktionen durch. Deshalb kann jedes Programm die in dieser DLL enthaltene Funktionalität verwenden, um ein Dialogfeld „Öffnen“ zu implementieren. Dadurch wird die Wiederverwendung von Code gefördert, und der Speicher wird effizient genutzt.
Mithilfe einer DLL kann ein Programm in separate Komponenten modularisiert werden. Ein Buchhaltungsprogramm kann z. B. modulweise verkauft werden. Jedes Modul kann zur Laufzeit ins Hauptprogramm geladen werden, wenn jenes Modul installiert ist. Da die Module separat sind, wird das Programm schneller geladen. Module werden nur geladen, wenn jene Funktionalität angefordert wird.
Was ist WebDAV (Web-based Distributed Authoring and Versioning)?
Mit WebDAV (Web-based Distributed Authoring and Versioning) wird das Protokoll HTTP/1.1 ausgeweitet, um Clients zu ermöglichen, Ressourcen im Web zu veröffentlichen, zu sperren und zu verwalten. Durch Integration in IIS ermöglicht WebDAV Clients Folgendes:
- Manipulieren von Ressourcen in einem WebDAV-Veröffentlichungsverzeichnis auf Ihrem Server. So können z. B. Benutzer, denen die richtigen Berechtigungen zugewiesen wurden, Dateien in ein WebDAV-Verzeichnis kopieren und verschieben.
- Ändern der Eigenschaften, die bestimmten Ressourcen zugeordnet sind. Ein Benutzer kann z. B. in eine Datei schreiben und deren Eigenschaftsinformationen abrufen.
- Sperren und Entsperren von Ressourcen, damit mehrere Benutzer gleichzeitig eine Datei lesen können.
- Durchsuchen des Inhalts und der Eigenschaften von Dateien in einem WebDAV-Verzeichnis.
Was ist das Microsoft SMB-Protokoll (Server Message Block)?
Das Microsoft SMB-Protokoll (Server Message Block) ist ein Microsoft-Protokoll zur Dateifreigabe für Netzwerke, das in Microsoft Windows verwendet wird. Weitere Informationen zu SMB finden Sie im MSDN-Artikel Microsoft SMB-Protokoll und CIFS-Protokoll – Übersicht.
Schadensbegrenzende Faktoren und empfohlene Maßnahmen
Schadensbegrenzende Faktoren
Schadensbegrenzung bezieht sich auf eine Einstellung, gängige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:
- Dieses Problem betrifft lediglich Anwendungen, die externe Bibliotheken nicht sicher laden. Microsoft hat vorher Richtlinien für Entwickler veröffentlicht, in denen alternative Methoden zum Laden von Bibliotheken empfohlen werden, die gegen diese Angriffe geschützt sind.
- Damit ein Angriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Speicherort eines Remotedateisystems oder eine WebDAV-Freigabe besuchen und an diesem Ort ein Dokument öffnen, das dann von einer anfälligen Anwendung geladen wird.
- Oft ist das Dateifreigabeprotokoll SMB in der Umkreisfirewall deaktiviert. Dadurch werden mögliche Angriffsmethoden für diese Sicherheitsanfälligkeit eingeschränkt.
Problemumgehungen
Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die das zugrunde liegende Problem nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bis ein Sicherheitsupdate zur Verfügung steht. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:
- Deaktivieren des Ladens von Bibliotheken von WebDAV und Remotenetzwerkfreigaben
Hinweis: Siehe Microsoft Knowledge Base-Artikel 2264107 zur Bereitstellung eines Problemumgehungstools, das Benutzern ermöglicht, das Laden von Bibliotheken von Remotenetzwerk- oder WebDAV-Freigaben zu deaktivieren. Dieses Tool kann so konfiguriert werden, dass das nicht sichere Laden pro Anwendung oder für das gesamte System nicht zulässig ist.
Benutzer, die von ihrem Lieferanten über eine anfällige Anwendung informiert werden, können sich mit diesem Tool gegen Versuche schützen, dieses Problem auszunutzen.
Hinweis: Siehe Microsoft Knowledge Base-Artikel 2264107 zur Verwendung der automatisierten Microsoft Fix it-Lösung, um den Registrierungsschlüssel bereitzustellen, der das Laden von Bibliotheken für SMB- und WebDAV-Freigaben blockiert. Beachten Sie, dass Sie für diese Fix it-Lösung zuerst das Problemumgehungstool installieren müssen, das auch im Microsoft Knowledge Base-Artikel 2264107 beschrieben wurde. Diese Fix it-Lösung stellt nur den Registrierungsschlüssel bereit und erfordert das Problemumgehungstool, um wirksam zu werden. Wir empfehlen Administratoren, den KB-Artikel sorgfältig zu lesen, bevor sie diese Fix it-Lösung bereitstellen.
- Deaktivieren des WebClient-Dienstes
Durch das Deaktivieren des WebClient-Dienstes werden betroffene Systeme vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen, indem die wahrscheinlichste Remoteangriffsmethode durch den Client-Dienst Web Distributed Authoring and Versioning (WebDAV) blockiert wird. Nachdem diese Problemumgehung angewendet wurde, können Remoteangreifer diese Sicherheitsanfälligkeit immer noch erfolgreich ausnutzen und bewirken, dass das System Programme ausführt, die sich auf dem Computer des Benutzers oder dem lokalen Netzwerk (LAN) befinden. Benutzer werden aber dazu aufgefordert, das willkürliche Öffnen von Programmen im Internet zu bestätigen.
Gehen Sie wie folgt vor, um den WebClient-Dienst zu deaktivieren:
- Klicken Sie auf Start, dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie anschließend auf OK.
- Klicken Sie mit der rechten Maustaste auf WebClient-Dienst und wählen Sie Eigenschaften aus.
- Ändern Sie den Starttyp in Deaktiviert. Wenn der Dienst ausgeführt wird, klicken Sie auf Beenden.
- Klicken Sie auf OK, und beenden Sie die Verwaltungsanwendung.
Auswirkung der Problemumgehung. Wenn der WebClient-Dienst deaktiviert ist, werden Web Distributed Authoring and Versioning-Anforderungen (WebDAV) nicht übertragen. Außerdem werden keine Dienste gestartet, die explizit vom WebClient-Dienst abhängen, und im Systemprotokoll wird eine Fehlermeldung verzeichnet. Zum Beispiel kann vom Clientcomputer nicht auf WebDAV-Freigaben zugegriffen werden.
So machen Sie die Problemumgehung rückgängig.
Gehen Sie wie folgt vor, um den WebClient-Dienst wieder zu deaktivieren:
- Klicken Sie auf Start, dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie anschließend auf OK.
- Klicken Sie mit der rechten Maustaste auf WebClient-Dienst und wählen Sie Eigenschaften aus.
- Ändern Sie den Starttyp in Automatisch. Wenn der Dienst nicht ausgeführt wird, klicken Sie auf Start.
- Klicken Sie auf OK, und beenden Sie die Verwaltungsanwendung.
- Blockieren der TCP-Ports 139 und 445 an der Firewall:
Diese Ports werden dazu verwendet, eine Verbindung mit der betroffenen Komponente zu initiieren. Das Blockieren der TCP-Ports 139 und 445 an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Microsoft empfiehlt das Blockieren der gesamten unerwünscht eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den Ports finden Sie im TechNet-Artikel TCP- und UDP-Portzuweisungen.
Auswirkung der Problemumgehung. Mehrere Windows-Dienste verwenden die betroffenen Ports. Durch das Blockieren der Verbindung zu den Ports funktionieren verschiedene Anwendungen oder Dienste möglicherweise nicht mehr. Einige der möglicherweise betroffenen Anwendungen und Dienste werden im Folgenden aufgeführt.
- Anwendungen, die SMB (CIFS) verwenden
- Anwendungen, die Mailslots oder Named Pipes (RPC über SMB) verwenden
- Server (Datei- und Druckerfreigabe)
- Gruppenrichtlinie
- Anmeldedienst
- Distributed File System (DFS)
- Terminal Server-Lizenzierung
- Druckwarteschlange
- Computerbrowser
- Remote Procedure Call Locator
- Faxdienst
- Indexdienst
- Leistungsprotokolle und Warnmeldungen
- Systems Management Server
- Lizenzprotokollierdienst
So machen Sie die Problemumgehung rückgängig. Aufheben der Blockierung der TCP-Ports 139 und 445 an der Firewall. Weitere Informationen zu den Ports finden Sie unter TCP- und UDP-Portzuweisungen.
Zusätzlich empfohlene Handlungen
- Installieren von Updates von Händlern von Drittanbietersoftware, mit denen das nicht sichere Laden von Bibliotheken behandelt wird
Händler von Drittanbietersoftware können Updates veröffentlichen, mit denen das nicht sichere Laden von Bibliotheken in ihre Produkte behoben wird. Microsoft empfiehlt Benutzern, sich bei jedweden Fragen an ihren Lieferanten zu wenden, gleichgültig, ob eine bestimmte Anwendung von diesem Problem betroffen ist, und auf Sicherheitsupdates zu achten, die von diesen Lieferanten veröffentlicht werden.
- Schützen Sie Ihren Computer
Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.
Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.
- Aktualisieren Sie Windows regelmäßig
Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.
Weitere Informationen:
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.
Feedback
- Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.
Support
- Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
- Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
- Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.
Haftungsausschluss
Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen
- V1.0 (23. August 2010): Die Empfehlung wurde veröffentlicht.
- V1.1 (31. August 2010): Dem Microsoft Knowledge Base-Artikel 2264107 wurde ein Link hinzugefügt, um eine automatisierte Microsoft Fix it-Lösung für die Problemumgehung „Deaktivieren des Ladens von Bibliotheken von WebDAV- und Remotenetzwerkfreigaben“ bereitzustellen.
- V2.0 (9. November 2010): Das Microsoft Security Bulletin MS10-087 „Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen“ wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt.
- V3.0 (14. Dezember 2010): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS10-093, „Sicherheitsanfälligkeit in Windows Movie Maker kann Remotecodeausführung ermöglichen“;MS10-094, „Sicherheitsanfälligkeit in Windows Media Encoder kann Remotecodeausführung ermöglichen“; MS10-095, „Sicherheitsanfälligkeit in Microsoft Windows kann Remotecodeausführung ermöglichen“; MS10-096, „Sicherheitsanfälligkeit in Windows-Adressbuch kann Remotecodeausführung ermöglichen“ und MS10-097, „Nicht sicheres Laden von Bibliotheken im Assistenten zum Anmelden von Internetverbindungen kann Remotecodeausführung ermöglichen“.
- V4.0 (11. Januar 2011): Das Microsoft Security Bulletin MS11-001, „Sicherheitsanfälligkeit in Windows Backup Manager kann Remotecodeausführung ermöglichen“, wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt.
- V5.0 (8. Februar 2011): Das Microsoft Security Bulletin MS11-003, „Kumulatives Sicherheitsupdate für Internet Explorer“, wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt.
- V6.0 (8. März 2011): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS11-015, „Sicherheitsanfälligkeit in Windows Media Encoder kann Remotecodeausführung ermöglichen“; MS11-016, „Sicherheitsanfälligkeit in Microsoft Windows kann Remotecodeausführung ermöglichen“; und MS11-017, „Sicherheitsanfälligkeit in Remotedesktopclient kann Remotecodeausführung ermöglichen“.
- V7.0 (12. April 2011): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS11-023, „Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen“, und MS11-025, „Sicherheitsanfälligkeit in MFC-Bibliothek (Microsoft Foundation Class) kann Remotecodeausführung ermöglichen“.
- V8.0 (12. Juli 2011): Das Update im Microsoft Knowledge Base-Artikel 2533623 und das Update in Microsoft Security Bulletin MS11-055, „Sicherheitsanfälligkeiten in Microsoft Visio können Remotecodeausführung ermöglichen“ wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt. Das Update im Microsoft Knowledge Base-Artikel 2533623 implementiert API-Verbesserungen (Anwendungsprogrammierschnittstelle) in Windows, um Entwicklern zu helfen, externe Bibliotheken richtig und sicher zu laden.
- V9.0 (9. August 2011): Das Microsoft Security Bulletin MS11-059, „Sicherheitsanfälligkeit in Data Access Components kann Remotecodeausführung ermöglichen“, wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt.
- V10.0 (13. September 2011): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS11-071, „Sicherheitsanfälligkeit in Windows-Komponenten kann Remotecodeausführung ermöglichen“ und MS11-073, „Sicherheitsanfälligkeiten in Microsoft Office können Remotecodeausführung ermöglichen“.
- V11.0 (11. Oktober 2011): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS11-075, „Sicherheitsanfälligkeit in Microsoft Active Accessibility kann Remotecodeausführung ermöglichen“ und MS11-076, „Sicherheitsanfälligkeit in Windows Media Center kann Remotecodeausführung ermöglichen“.
- V12.0 (8. November 2011): Folgendes Microsoft Security Bulletin wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS11-085, „Sicherheitsanfälligkeit in Windows Mail und Windows-Teamarbeit kann Remotecodeausführung ermöglichen“
- V13.0 (13. Dezember 2011): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS11-099, „Kumulatives Sicherheitsupdate für Internet Explorer“ und MS11-094, „Sicherheitsanfälligkeiten in Microsoft PowerPoint können Remotecodeausführung ermöglichen“.
- V14.0 (14. Februar 2012): Folgende Microsoft Security Bulletins wurden dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS12-012, „Sicherheitsanfälligkeit in Farbsystemsteuerung kann Remotecodeausführung ermöglichen“, und MS12-014, „Sicherheitsanfälligkeit im Indeo-Codec kann Remotecodeausführung ermöglichen“.
- V15.0 (13. März 2012): Folgendes Microsoft Security Bulletin wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS12-022, „Sicherheitsanfälligkeit in Expression Design kann Remotecodeausführung ermöglichen“
- V16.0 (12. Juni 2012): Folgendes Microsoft Security Bulletin wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS12-039, „Sicherheitsanfälligkeiten in Lync können Remotecodeausführung ermöglichen“
- V17.0 (10. Juli 2012): Folgendes Microsoft Security Bulletin wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS12-046, „Sicherheitsanfälligkeit in Visual Basic für Applikationen kann Remotecodeausführung ermöglichen“.
- V18.0 (13. November 2012): Folgendes Microsoft Security Bulletin wurde dem Abschnitt Updates bzgl. des nicht sicheren Ladens von Bibliotheken hinzugefügt: MS12-074, „Sicherheitsanfälligkeiten in .NET Framework können Remotecodeausführung ermöglichen“.