Microsoft Security Bulletin MS14-076 - Wichtig
Sicherheitsanfälligkeit in Internetinformationsdienste (IIS) könnte die Umgehung von Sicherheitsfeatures zulassen (2982998)
Veröffentlicht: 11. November 2014 | Aktualisiert: 19. Dezember 2014
Version: 1.1
Kurzfassung
Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in Microsoft Internetinformationsdienste (IIS), die zu einer Umgehung des Sicherheitsfeatures "IP and do Standard" führen könnte. Eine erfolgreiche Nutzung dieser Sicherheitsanfälligkeit kann dazu führen, dass Clients eingeschränkt oder blockiert werden Standard, die Zugriff auf eingeschränkte Webressourcen haben.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Windows 8, Windows 8.1, Windows Server 2012 und Windows Server 2012 R2 RTM als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie IIS Anforderungen verarbeitet, wenn bestimmte IP-Adressen vorhanden sind Standard Einschränkungskonfigurationen vorhanden sind. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für die spezifische Sicherheitsanfälligkeit.
Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 2982998.
Betroffene Software
Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen sind entweder über ihren Supportlebenszyklus hinweg oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Windows 8 und Windows 8.1 | ||||
| Windows 8 für 32-Bit-Systeme | Microsoft-Internetinformationsdienste 8.0 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Windows 8 für x64-basierte Systeme | Microsoft-Internetinformationsdienste 8.0 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Windows 8.1 für 32-Bit-Systeme | Microsoft-Internetinformationsdienste 8.5 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Windows 8.1 für x64-basierte Systeme | Microsoft-Internetinformationsdienste 8.5 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Windows Server 2012 | Microsoft-Internetinformationsdienste 8.0 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Windows Server 2012 R2 | Microsoft-Internetinformationsdienste 8.5 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Server Core-Installationsoption | ||||
| Windows Server 2012 (Server Core-Installation) | Microsoft-Internetinformationsdienste 8.0 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft-Internetinformationsdienste 8.5 (2982998) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Bulletin-Zusammenfassung vom November den Exploitability Index.
| Betroffene Software | Sicherheitsanfälligkeit bei IIS-Sicherheitsfeatures umgehen – CVE-2014-4078 | Bewertung des aggregierten Schweregrads |
|---|---|---|
| IIS 8.0 unter Windows 8 für 32-Bit-Systeme | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.0 unter Windows 8 für x64-basierte Systeme | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.5 unter Windows 8.1 für 32-Bit-Systeme | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.5 unter Windows 8.1 für x64-basierte Systeme | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.0 unter Windows Server 2012 für x64-basierte Systeme | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.0 unter Windows Server 2012 (Server Core-Installation) | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.5 unter Windows Server 2012 R2 für x64-basierte Systeme | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
| IIS 8.5 unter Windows Server 2012 R2 (Server Core-Installation) | Wichtig \ Umgehung von Sicherheitsfeatures | Wichtig |
Sicherheitsanfälligkeit bei IIS-Sicherheitsfeatures umgehen – CVE-2014-4078
Eine Sicherheitsanfälligkeit bei der Umgehung von Sicherheitsfeatures ist in Microsoft Information Services (IIS) vorhanden, die verursacht wird, wenn eingehende Webanforderungen nicht ordnungsgemäß mit der Filterliste "IP und do Standard einschränkung" verglichen werden. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie eingehende Webanforderungen mit der Zulassungs-/Ablehnungsliste verglichen werden, Standard die von der Komponente "IP and do Standard einschränkungen" enthalten ist.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Nutzen Sie Router-/Firewallregelsätze, um eingehende Anforderungen von wilden Karte zu verweigern Standard
Weitere Informationen zum Konfigurieren der Windows-Firewall finden Sie unter "Windows Firewall with Advanced Security Overview".
Häufig gestellte Fragen
Was ist "IP und tun Standard Einschränkungen"?
Dies ist ein Feature, das in der Unterkomponente "IP-Sicherheit" von IIS bereitgestellt wird, die das Erstellen von Zulassungs-/Ablehnungslisten ermöglicht, den Zugriff auf Webressourcen zu steuern. Weitere Informationen finden Sie im Artikel IP-Sicherheit.
Gibt es Voraussetzungen für das 2982998 Update?
Ja. Kunden müssen die Unterkomponente "IP-Sicherheit" von IIS auf Windows-Clients aktivieren und/oder das Feature "IP and Do Standard Restrictions" auf Windows-Servern als Voraussetzung aktivieren, um das Sicherheitsupdate anbieten zu können.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Wenn ein IIS-Administrator eine Wild Karte do Standard Einschränkungsregel erstellt hat, kann ein Angreifer von einer verweigerten Aufgabe aus auf eine Website zugreifen Standard die ein IIS-Administrator als eingeschränkt geglaubt hat.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, benötigt ein Angreifer umfassende Kenntnisse über den Remote-IIS-Server und die entsprechende Netzwerktopologie. Ein Angreifer müsste auch die Kontrolle über ihre reversen DNS-Informationen haben oder in der Lage sein, das autoritative DNS des IIS-Servers zu vergiften, um einen do Standard Namen bereitzustellen, der in einer Weise formatiert ist, die die Sicherheitsanfälligkeit verursacht.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Windows-Systeme mit IIS, die "IP-Adresse und Do Standard einschränkungen" verwenden, und die Funktion "Do Standard Namenseinschränkungen aktivieren" sind in erster Linie gefährdet.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagung
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (11. November 2014): Bulletin veröffentlicht.
- V1.1 (19. Dezember 2014): Bulletin überarbeitet, um die Installation von Windows 2012 Server Core und Windows 2012 R2 Server Core als betroffene Software einzuschließen.
Seite generiert 2015-01-14 11:57Z-08:00.