Microsoft-Sicherheitsempfehlung (974926)

Zweck dieser Sicherheitsempfehlung: Erklärung der Maßnahmen, die Microsoft ergriffen hat, um den Schutz und die Verarbeitung von Anmeldeinformationen zu verbessern, wenn die Integrierte Windows-Authentifizierung (IWA) verwendet wird.

Status der Empfehlung: Die Empfehlung wurde veröffentlicht.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Diese Empfehlung betrifft die folgende Software.

*Windows 7 und Windows Server 2008 R2 stellen erweiterten Authentifizierungsschutz als Funktion der Security Support Provider-Schnittstelle (SSPI) bereit. Auf diesen Plattformen ausgeführte Anwendungen sind u. U. immer noch der Übertragung von Anmeldeinformationen ausgesetzt, wenn entweder das Betriebssystem oder die Anwendung nicht zur Unterstützung dieser Funktion konfiguriert sind. Erweiterter Authentifizierungsschutz ist nicht standardmäßig aktiviert.

Was genau umfasst diese Empfehlung? 
Diese Sicherheitsempfehlung bietet eine umfassende Ansicht der von Microsoft angewandten Strategie zum Schutz vor der Übertragung von Anmeldeinformation. Sie bietet einen Überblick über die derzeit verfügbaren Updates zur umfassenden Behebung dieses Problems.

Wodurch wird diese Bedrohung verursacht? 
Diese Empfehlung behebt das Potenzial zur Übertragung von Authentifizierungsinformationen. Diese Angriffe finden statt, wenn es einem Angreifer gelingt, sich Anmeldeinformationen für die Authentifizierung zu verschaffen, z. B. durch einen Man-in-the-Middle-Angriff, oder indem der einen Benutzer dazu verleitet, auf einen Link zu klicken. Dieser Link kann bewirken, dass der Client auf einen vom Angreifer kontrollierten Dienst zugreift, der den Benutzer auffordert, sich mit IWA zu authentifizieren.

Dies sind die Formen der Übertragung von Anmeldeinformationen, auf die in dieser Empfehlung verwiesen wird:

• Weiterleiten von Anmeldeinformationen: Mit Anmeldeinformationen für die Domäne, die sich ein Angreifer verschafft, kann dieser sich bei anderen Diensten anmelden, von denen bekannt ist, dass das Opfer Zugriff darauf hat. Der Angreifer kann dann Berechtigungen erlangen, die mit denen des Opfers auf dem Zieldienst identisch sind.
• Reflektion von Anmeldeinformationen: Mit Anmeldeinformationen für die Domäne, die sich ein Angreifer verschafft, kann dieser sich wieder beim Computer des Opfers anmelden. Der Angreifer erhält dann Berechtigungen auf jenem Computer, die mit denen des Opfers identisch sind.

Damit diese Angriffe erfolgreich sind, muss ein Angreifer bewirken, dass ein Benutzer eine Verbindung zum Server des Angreifers herstellt. Dies kann durch Angriffe erreicht werden, bei denen der Angreifer im lokalen Netzwerk anwesend ist, z. B. ARP-Cache-Poisoning (Address Resolution Protocol).

Die Auswirkungen dieser Angriffe nehmen zu, wenn ein Angreifer einen Benutzer dazu verleitet, eine Verbindung zu einem Server außerhalb der Grenze der Organisation herzustellen. Dies sind bestimmte Szenarien, unter denen solches stattfinden kann:

• DNS-Devolution: Eine Windows DNS-Client Funktion, mit der Windows DNS-Clients DNS-Abfragen für unqualifizierte Hostnamen mit einzelner Bezeichnung auflösen. Ein unbefugter Benutzer kann einen bestimmten Hostnamen außerhalb der Grenze der Organisation registrieren, der unabsichtlich von Clients kontaktiert werden kann, wenn diese falsch konfiguriert sind und bei dem Versuch, auf jenen Hostnamen zuzugreifen, die Devolution außerhalb der Grenze der Organisation durchführen.
• DNS-Spoofing: Ein Angreifer, der die Sicherheitsanfälligkeiten im Windows DNS (Domain Name System) ausnutzt, die Spoofing ermöglichen können. Diese Angriffe können einem Remoteangreifer ermöglichen, für Internet bestimmten Netzwerkverkehr auf sein eigenes System umzuleiten.
• Spoofing des NetBios-Namendiensts (NSBS): Der Benutzer wird dazu verleitet, ein speziell gestaltetes Active Code-Applet (z. B. Java oder Flash) auszuführen, das eine Abfrage für einen lokalen Hostnamen initiiert und daraufhin mit einer Remote-IP-Adresse gefälschte NBNS-Antworten an den Client übermittelt. Wird eine Verbindung zu diesem Hostnamen hergestellt, betrachtet der Client diesen als lokalen Computer und versucht, IWA-Anmeldeinformationen zu übermitteln, wodurch diese dem Remoteangreifer offen gelegt werden.

Microsoft hat mehrere Updates veröffentlicht, um diese Szenarien zu beheben. Diese Empfehlung bietet eine Zusammenfassung für Benutzer, um die Risiken und Probleme in ihrem bestimmten Bereitstellungsszenario zu bewerten.

Was ist die Integrierte Windows-Authentifizierung (IWA)?  
Bei der Integrierten Windows-Authentifizierung (ehemals NTLM, auch bekannt als Windows NT Abfrage/Rückmeldung-Authentifizierung) werden der Benutzername und das Kennwort (Anmeldeinformationen) mit Hash versehen, bevor sie über das Netzwerk gesendet werden. Wenn Sie die Integrierte Windows-Authentifizierung aktivieren, beweist der Client seine Kenntnis vom Kennwort durch einen mit Hash versehenen kryptografischen Austausch mit Ihrem Webserver. Die Integrierte Windows-Authentifizierung beinhaltet die Authentifizierungsmethoden Verhandeln, Kerberos und NTLM.

Was ist ein Man-in-the-Middle-Angriff?  
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Der Angreifer kann den Datenverkehr überwachen und lesen, bevor er ihn an den gewünschten Empfänger sendet. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem und wähnt die ganze Zeit, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Welche Maßnahmen hat Microsoft ergriffen, um Spoofing-Angriffe in DNS zu beheben?  
Microsoft hat folgende Security Bulletins veröffentlicht, um Spoofing-Angriffe in DNS zu beheben:

• MS08-037 beseitigt zwei Sicherheitsanfälligkeiten, die einem Angreifer ermöglichen, DNS-Datensätze zu fälschen und diese in den DNS-Servercache einzufügen.
• MS09-008 beseitigt zwei Sicherheitsanfälligkeiten, die einem Angreifer ermöglichen, DNS-Datensätze zu fälschen und diese in den DNS-Servercache einzufügen, außerdem zwei Sicherheitsanfälligkeiten, die einem Angreifer ermöglichen, auf die Netzwerkinfrastruktur bezogene Hostnamen (WPAD und ISATAP) zu registrieren, mit denen weitere Angriffe durchgeführt werden können.

Welche Maßnahmen hat Microsoft ergriffen, um Spoofing-Angriffe in NBNS zu beheben?  
Microsoft hat mit den Händlern von Drittanbietersoftware zusammengearbeitet, die von dieser Sicherheitsanfälligkeit betroffen sind, und hat schadensbegrenzende Maßnahmen gegen diese Angriffsmethode implementiert. Dieses Problem in Adobe Flash Player wurde im Adobe Security Bulletin APSB08-11 und in der Sun Java Runtime Environment in dem Sun Alert 103079 behoben.

Was ist ARP-Cache-Poisoning (Address Resolution Protocol)?  
Angriffe bzgl. ARP-Cache-Poisoning bestehen darin, dass der Computer eines Angreifers, der sich in dem gleichen Subnetz befindet wie das Opfer, gefälschte oder überflüssige ARP-Antworten sendet. Diese versuchen in der Regel, Clients zu verwirren und davon zu überzeugen, dass der Angreifer das Standardgateway im Netzwerk ist. Dadurch sendet der betroffene Computer Informationen an den Angreifer und nicht an das Gateway. Mit solchen Angriffen kann ein Man-in-the-Middle-Angriff eingerichtet werden.

Was ist TLS (Transport Layer Security)? 
Das TLS-Handshake-Protokoll (Transport Layer Security) ist für die Authentifizierung und den Schlüsselaustausch verantwortlich, die zum Einrichten oder Wiederaufnehmen sicherer Sitzungen erforderlich sind. Beim Einrichten einer sicheren Sitzung verwaltet das Handshake-Protokoll Folgendes:

• Verhandlung mit der Verschlüsselungssammlung
• Authentifizierung beim Server und optional beim Client
• Austausch bzgl. der Sitzungsschlüsselinformationen

Weitere Informationen finden Sie im TechNet-Artikel Funktionsweise von TLS/SSL.

Für welche Versionen von Windows gilt diese Empfehlung? 
Die Weiterleitung und Reflektion von Anmeldeinformation betrifft alle Plattformen, die die Integrierte Windows-Authentifizierung durchführen können. Der erweiterte Authentifizierungsschutz ist in Windows 7 und Windows Server 2008 R2 enthalten und wurde für Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 in einem nicht sicherheitsrelevanten Update zur Verfügung gestellt, das als Sicherheitsempfehlung 973881 veröffentlicht wurde. Um die Anmeldeinformationen für die Authentifizierung vollständig zu schützen, müssen bestimmte Anwendungen auf diesen Plattformen immer noch den Mechanismus auswählen. Der erweiterte Authentifizierungsschutz ist nicht für die Microsoft Windows 2000-Plattform verfügbar.

Welche Maßnahmen hat Microsoft ergriffen, um Angriffe durch die Reflektion von Anmeldeinformationen zu beheben?  
Anwendungen sind gegen Angriffe durch die Reflektion von Anmeldeinformationen geschützt, wenn der SPN (Service Principal Name) richtig verwendet wird, um sich bei einem Dienst zu authentifizieren.

Vor Veröffentlichung dieser Sicherheitsempfehlung hatte Microsoft die folgenden Sicherheitsupdates veröffentlicht, um sicherzustellen, dass Windows-Komponenten und Microsoft-Anwendungen diesen Mechanismus richtig auswählen, um Schutz gegen Angriffe durch die Reflektion von Anmeldeinformationen bereitzustellen:

• Microsoft Security Bulletin MS08-068 hat die Reflektion der Anmeldeinformationen behoben, wenn eine Verbindung zum SMB-Server eines Angreifers hergestellt wird.
• Microsoft Security Bulletin MS08-076 hat die Reflektion der Anmeldeinformationen behoben, wenn eine Verbindung zum Windows Media-Server eines Angreifers hergestellt wird.
• Microsoft Security Bulletin MS09-013 hat Reflektion der Anmeldeinformationen behoben, wenn über die WinHTTP-Anwendungsprogrammierschnittstelle eine Verbindung zum Webserver eines Angreifers hergestellt wird.
• Microsoft Security Bulletin MS09-014 hat Reflektion der Anmeldeinformationen behoben, wenn über die WinINET-Anwendungsprogrammierschnittstelle eine Verbindung zum Webserver eines Angreifers hergestellt wird.
• Microsoft Security Bulletin MS09-042 hat die Reflektion der Anmeldeinformationen behoben, wenn eine Verbindung zum Telnet-Server eines Angreifers hergestellt wird.

Welche Maßnahmen hat Microsoft ergriffen, um Angriffe durch das Weiterleiten von Anmeldeinformationen zu beheben?  
Die Windows Security Support Provider-Schnittstelle (SSPI) schütz teilweise vor dem Weiterleiten von Anmeldeinformationen. Diese Schnittstelle wurde in Windows 7 und Windows Server 2008 R2 implementiert und als nicht sicherheitsrelevantes Update für Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 zur Verfügung gestellt.

Um geschützt zu sein, müssen weitere nicht sicherheitsrelevante Updates bereitgestellt werden, die den gleichen Schutz für bestimmte Client- und Serverkomponenten und Anwendungen bereitstellen. Diese Funktion ändert sowohl die Authentifizierung auf dem Client als auch auf dem Server und sollte mit Bedacht bereitgestellt werden. Weitere Informationen zum erweitertem Authentifizierungsschutz und den nicht sicherheitsrelevanten Updates, die zur Implementierung dieses Mechanismus veröffentlicht wurden, finden Sie in der Microsoft-Sicherheitsempfehlung 973811.

Wie geht dieses Update gegen Angriffe durch das Weiterleiten von Anmeldeinformationen vor?  
Das nicht sicherheitsrelevante SSPI-Update (Microsoft-Sicherheitsempfehlung 973811) ändert die SSPI, um den aktuellen IWA-Mechanismus (Integrierte Windows-Authentifizierung) dahingehend zu erweitern, dass Authentifizierungsanforderungen sowohl an den SPN des Servers gebunden werden können, mit dem der Client eine Verbindung herzustellen versucht, als auch an den äußeren TLS-Kanal (Transport Layer Security), über den die IWA-Authentifizierung stattfindet. Dies ist ein grundlegendes Update, bei dem keine Sicherheitsanfälligkeit an sich behoben wird. Es stellt aber eine optionale Funktion bereit, die von Anwendungsanbietern konfiguriert werden kann.

Die anwendungsspezifischen, nicht sicherheitsrelevanten Updates ändern einzelne Systemkomponenten, die IWA-Authentifizierung durchführen, damit diese die Schutzmechanismen wählen können, die von Layer 1 des nicht sicherheitsrelevanten Updates implementiert werden. Weitere Informationen zum Aktivieren des erweiterten Authentifizierungsschutzes finden Sie in der Microsoft-Sicherheitsempfehlung 973999 und dem entsprechenden Microsoft Knowledge Base-Artikel 973999.

Welche Maßnahmen hat Microsoft ergriffen, um die Probleme bei der DNS-Devolution zu beheben?  
DNS-Devolution kann als Angriffsmethode verwendet werden, um diese Sicherheitsanfälligkeit außerhalb eines Unternehmensnetzwerks auszunutzen. Devolution ist eine Windows DNS-Client-Funktion, mit der Windows DNS-Clients DNS-Abfragen für unqualifizierte Hostnamen mit einzelner Bezeichnung auflösen. Abfragen werden erstellt, indem das primäre DNS-Suffix (PDS) an den Hostnamen angefügt wird. Die Abfrage wird wiederholt, indem systematisch die Bezeichnung ganz links im PDS entfernt wird, bis der Hostname und das verbleibende PDS aufgelöst werden oder nur noch zwei Bezeichnungen im freigelegten PDS übrig sind. Windows-Clients z. B., die in der Domäne „western.corp.contoso.co.us“ nach „Single-label“ (einzelne Bezeichnung) suchen, fragen nacheinander „Single-label.western.corp.contoso.co.us“, „Single-label.corp.contoso.co.us“, „Single-label.contoso.co.us“ und dann „Single-label.co.us“ ab, bis ein System gefunden wird, das aufgelöst werden kann. Dieser Prozess wird als Devolution bezeichnet.

Ein Angreifer kann ein System mit einer einzelnen Bezeichnung außerhalb der Grenze einer Organisation hosten und aufgrund der DNS-Devolution einen Windows DNS-Client erfolgreich dazu veranlassen, eine Verbindung zu dem anderen System herzustellen, als ob er sich innerhalb der Grenze der Organisation befindet. Wenn das DNS-Suffix eines Unternehmens z. B. „corp.contoso.co.us“ lautet und ein Versuch unternommen wird, einen unqualifizierten Hostnamen von „Single-Label“ aufzulösen, versucht die DNS-Auflösung es mit „Single-Label.corp.contoso.co.us“. Wird diese nicht gefunden, wird über DNS-Devolution versucht, „Single-label.contoso.co.us“ aufzulösen. Wird dies nicht gefunden, wird versucht, „Single-label.co.us“ aufzulösen, das sich außerhalb der Domäne „contoso.co.us“ befindet. Dieser Prozess wird als Devolution bezeichnet.

Wenn dieser Hostname z. B. WPAD lautet, kann ein Angreifer, der WPAD.co.us einrichtet, eine schädliche Web Proxy Auto-Discovery-Datei bereitstellen, um die Clientproxyeinstellungen zu konfigurieren.

Microsoft hat die Sicherheitsempfehlung 971888 und ein zugehöriges Update veröffentlicht, um Organisationen eine bessere Kontrolle darüber zu bieten, wie Windows-Clients DNS-Devolution durchführen. Dieses Update ermöglicht einer Organisation, Clients daran zu hindern, die Devolution außerhalb der Grenze der Organisation durchzuführen.

Was können Drittentwickler tun, um die Übertragung von Anmeldeinformationen zu beheben?  
Drittentwickler sollten erwägen, den erweiterten Authentifizierungsschutz zu implementieren, indem sie diesen neuen Schutzmechanismus wählen, der in der Microsoft-Sicherheitsempfehlung 973811 beschrieben ist.

Weitere Informationen für Entwickler zum Auswählen dieses Mechanismus finden Sie im MSDN-Artikel Integrierte Windows-Authentifizierung mit erweitertem Schutz.

Was ist ein SPN (Service Principal Name)? 
Ein SPN (Service Principal Name) ist der Name, anhand dessen ein Client eine Instanz eines Diensts eindeutig identifiziert. Wenn Sie mehrere Instanzen eines Dienstes auf Computern in einem Netzwerk installieren, muss jede Instanz ihren eigenen SPN haben. Eine bestimmte Dienstinstanz kann mehrere SPNs haben, wenn es mehrere Namen gibt, die Clients zur Authentifizierung verwenden können. Ein SPN enthält z. B. immer den Namen des Hostcomputers, auf dem die Dienstinstanz ausgeführt wird. Deshalb kann eine Dienstinstanz einen SPN für jeden Namen oder Alias ihres Hosts registrieren.

• Lesen Sie bitte die Microsoft-Sicherheitsempfehlung 973811 („Erweiterter Schutz für Windows-Authentifizierung“) und implementieren Sie die zugehörigen Updates 
  In dieser Sicherheitsempfehlung wird die Veröffentlichung nicht sicherheitsrelevanter Updates angekündigt, die erweiterten Authentifizierungsschutz implementieren. Diese Funktion trägt zum Schutz von Authentifizierungsversuchen gegen Übertragungsangriffe bei.
• Lesen Sie bitte die Microsoft-Sicherheitsempfehlung 971888 („Update für die DNS-Devolution“) 
  In dieser Sicherheitsempfehlung wird die Veröffentlichung eines optionalen, nicht sicherheitsrelevanten Updates angekündigt, das Systemadministratoren ermöglicht, DNS-Devolution mit größerer Spezifität zu konfigurieren.
• Lesen Sie den Microsoft Knowledge Base-Artikel zu dieser Empfehlung 
  Endbenutzer, die mehr über diese Funktion erfahren möchten, sollten den folgenden Artikel lesen: Microsoft Knowledge Base-Artikel 974926.
• Schützen Sie Ihren PC 
  Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirensoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.
• Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.
• Aktualisieren Sie Windows regelmäßig 
  Alle Windows-Endbenutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.