Microsoft Security Bulletin MS15-025 – Wichtig
Sicherheitsrisiken im Windows-Kernel könnten die Rechteerweiterung (3038680) zulassen.
Veröffentlicht: 10. März 2015 | Aktualisiert: 16. März 2015
Version: 2.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows. Die schwerwiegendsten Sicherheitsrisiken können rechteerweiterungen zulassen, wenn sich ein Angreifer bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code im Sicherheitskontext des Kontos eines anderen Benutzers ausführen, der am betroffenen System angemeldet ist. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder neue Konten mit vollständigen Benutzerrechten erstellen.
Dieses Sicherheitsupdate ist für alle unterstützten Versionen von Microsoft Windows als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie die Windows-Registrierungsvirtualisierung den virtuellen Speicher anderer Benutzer verarbeitet und wie Windows Identitätswechselebenen überprüft. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3038680.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3033395-v2) | Angriffe durch Rechteerweiterung | Wichtig | 2859537 in MS13-063 |
| Windows Server 2003 x64 Edition Service Pack 2 (3033395-v2) | Angriffe durch Rechteerweiterung | Wichtig | 2813170 in MS13-031 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3033395-v2) | Angriffe durch Rechteerweiterung | Wichtig | 2813170 in MS13-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows Vista x64 Edition Service Pack 2 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3035131)[1] | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3035131)[1] | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3035131)[1] | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3035131)[1] | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows 8 für x64-basierte Systeme (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows 8.1 für 32-Bit-Systeme (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3031432 in MS15-015 |
| Windows 8.1 für x64-basierte Systeme (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3031432 in MS15-015 |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows Server 2012 R2 (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3031432 in MS15-015 |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[2](3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows RT 8.1[2](3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3031432 in MS15-015 |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3035131) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3035131)[1] | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows Server 2012 (Server Core-Installation) (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3023562 in MS15-010 |
| Windows Server 2012 R2 (Server Core-Installation) (3035131) | Angriffe durch Rechteerweiterung | Wichtig | 3031432 in MS15-015 |
[1]Das 3035131 Update für Windows 7 und Windows Server 2008 R2 hat die Binärdateien gemeinsam mit dem Update, das gleichzeitig über die Sicherheitsempfehlung 3033929 veröffentlicht wird, betroffen. Informationen dazu, wie sich dies auf Kunden auswirken könnte, die Updates manuell herunterladen und installieren, finden Sie im Eintrag "Häufig gestellte Fragen" in diesem Bulletin.
[2]Dieses Update ist nur über Windows Update verfügbar.
Häufig gestellte Fragen zum Aktualisieren
Wie bezieht sich das 3035131 Update auf sicherheitsbezogene 3033929?
Für Windows 7 und Windows Server 2008 R2 teilt das in diesem Bulletin erläuterte 3035131 Update die binärdateien mit dem Gleichzeitigen Release über Sicherheitsempfehlung 3033929. Diese Überlappung in betroffenen Binärdateien erfordert, dass ein Update das andere ersetzt und in diesem Fall ein Empfehlungsupdate 3033929, das Update 3035131 ersetzt. Kunden mit aktivierter automatischer Aktualisierung sollten kein ungewöhnliches Installationsverhalten aufweisen; Beide Updates sollten automatisch installiert werden, und beide sollten in der Liste der installierten Updates angezeigt werden. Für Kunden, die Updates manuell herunterladen und installieren, bestimmt die Reihenfolge, in der die Updates installiert werden, das beobachtete Verhalten wie folgt:
Szenario 1 (bevorzugt): Der Kunde installiert zuerst update 3035131 und installiert dann das Empfehlungsupdate 3033929. Ergebnis: Beide Updates sollten normal installiert werden, und beide Updates sollten in der Liste der installierten Updates angezeigt werden.
Szenario 2: Der Kunde installiert zuerst das Empfehlungsupdate 3033929 und versucht dann, update 3035131 zu installieren. Ergebnis: Das Installationsprogramm benachrichtigt den Benutzer, dass das 3035131 Update bereits auf dem System installiert ist; und das 3035131 Update wird NICHT zur Liste der installierten Updates hinzugefügt.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im März.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | |||
|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in der Registrierungsvirtualisierungserweiterung – CVE-2015-0073 | Sicherheitsanfälligkeit auf Identitätswechselebene – CVE-2015-0075 | Bewertung des aggregierten Schweregrads |
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3033395-v2) | Nicht zutreffend | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2003 x64 Edition Service Pack 2 (3033395-v2) | Nicht zutreffend | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3033395-v2) | Nicht zutreffend | Wichtige Rechteerweiterung | Wichtig |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Vista x64 Edition Service Pack 2 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows 8 für x64-basierte Systeme (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows Server 2012 R2 (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows RT und Windows RT 8.1 | |||
| Windows RT (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows RT 8.1 (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3035131) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3035131) | Wichtige Rechteerweiterung | Nicht zutreffend | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in der Registrierungsvirtualisierungserweiterung – CVE-2015-0073
Eine Erhöhung der Berechtigungslücke besteht in der Weise, wie Windows Registry Virtualization es einem Benutzer nicht ordnungsgemäß ermöglicht, den virtuellen Speicher eines anderen Benutzers zu ändern. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code im Sicherheitskontext des Kontos eines anderen Benutzers ausführen, der am betroffenen System angemeldet ist. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder neue Konten mit vollständigen Benutzerrechten erstellen.
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst beim System anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzen und die Kontrolle über das Konto eines anderen Benutzers übernimmt, der am betroffenen System angemeldet ist. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows-Registrierungsvirtualisierung den virtuellen Speicher anderer Benutzer behandelt.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Nur Prozesse, die die Registrierungsvirtualisierung verwenden, sind von dieser Sicherheitsanfälligkeit betroffen.
Die Registrierungsvirtualisierung ist nur für Folgendes aktiviert:
Interaktive 32-Bit-Prozesse
Schlüssel in HKEY_LOCAL_MACHINE\Software
Schlüssel, in die ein Administrator schreiben kann.
(Wenn ein Administrator nicht in einen Schlüssel schreiben kann, wäre die Anwendung in früheren Versionen von Windows fehlgeschlagen, auch wenn sie von einem Administrator ausgeführt wurde.)
Die Registrierungsvirtualisierung ist für Folgendes deaktiviert:
- 64-Bit-Prozesse, die nicht interaktiv sind, z. B. Dienste.
Hinweis: Die Verwendung der Registrierung als Inter-Process Communication (IPC)-Mechanismus zwischen einem Dienst (oder einem anderen Prozess, der keine Virtualisierung aktiviert hat) und eine Anwendung funktioniert nicht ordnungsgemäß, wenn der Schlüssel virtualisiert ist. Wenn beispielsweise ein Antivirendienst seine Signaturdateien basierend auf einem von einer Anwendung festgelegten Wert aktualisiert, aktualisiert der Dienst seine Signaturdateien nie, da der Dienst aus dem globalen Speicher liest, die Anwendung jedoch in den virtuellen Speicher schreibt. Prozesse, die einen Benutzer imitieren. Wenn ein Prozess beim Identitätswechsel eines Benutzers versucht, wird dieser Vorgang nicht virtualisiert. Kernelmodusprozesse wie Treiber. - Prozesse, die in ihren Manifesten angegeben wurden, habenExecutionLevel angefordert.
- Schlüssel und Unterschlüssel von HKEY_LOCAL_MACHINE\Software\Classes, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT.
Weitere Informationen finden Sie unter Registry Virtualization .
- 64-Bit-Prozesse, die nicht interaktiv sind, z. B. Dienste.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
- Deaktivieren der Registrierungsvirtualisierung
Verwenden von Gruppenrichtlinien:
Die Benutzerkontensteuerung: Virtualisieren von Datei- und Registrierungsschreibfehlern an Richtlinieneinstellung für benutzerspezifische Speicherorte steuert, ob Fehler beim Schreiben von Anwendungen an definierte Registrierungs- und Dateisystemspeicherorte umgeleitet werden. Mit dieser Richtlinieneinstellung werden Anwendungen, die mit Administratorrechten ausgeführt werden und die Laufzeitanwendungsdaten schreiben, zum folgenden Verzeichnis migriert: %Programme%, %Windir%, %Windir%\system32 oder HKLM\Software.
Die Optionen sind:
- Aktiviert. (Standard) Fehler beim Schreiben von Anwendungen werden zur Laufzeit an definierte Benutzerspeicherorte für das Dateisystem und die Registrierung umgeleitet.
- Deaktiviert. Anwendungen, die Daten an geschützte Speicherorte schreiben, schlagen fehl.
Verwenden von Registrierungseinstellungen:
Legen Sie im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System den DWORD-Wert "EnableVirtualization" auf 0 fest, um die Datei- und Registrierungsvirtualisierung zu deaktivieren, oder 1 zum Aktivieren (dies ist die Standardeinstellung).
Weitere Informationen finden Sie unter Benutzerkontensteuerung: Virtualisieren von Datei- und Registrierungsschreibfehlern an benutzerspezifische Speicherorte.
Auswirkungen der Problemumgehung. Software, die davon abhängt, dass geschützte Registrierungs- und Dateisystemspeicherorte geschrieben werden können, funktionieren möglicherweise nicht ordnungsgemäß.
Sicherheitsanfälligkeit auf Identitätswechselebene – CVE-2015-0075
Eine Erhöhung der Berechtigungslücke ist vorhanden, wenn Windows die Identitätswechselstufen nicht ordnungsgemäß überprüft und erzwingt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann Benutzerkontenüberprüfungen umgehen, um erhöhte Berechtigungen zu erhalten.
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst beim System anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die zum Erhöhen von Berechtigungen entwickelt wurde. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows Identitätswechselstufen überprüft.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
- V2.0 (16. März 2015): Um ein Paketproblem für Kunden zu beheben, die wiederholt ein Sicherheitsupdate 3033395, wenn auf Systemen mit unterstützten Editionen von Windows Server 2003 installiert wird, hat Microsoft Update 3033395-v2 für alle unterstützten Editionen von Windows Server 2003 veröffentlicht. Kunden, die das 3033395 Update noch nicht installiert haben, sollten Update 3033395-v2 installieren, um vollständig vor dieser Sicherheitsanfälligkeit geschützt zu sein. Um zukünftige Erkennungslogikprobleme zu vermeiden, empfiehlt Microsoft Kunden mit Windows Server 2003, die das 3033395 Update bereits erfolgreich installiert haben, auch Update 3033395-v2 anzuwenden, obwohl sie bereits vor dieser Sicherheitsanfälligkeit geschützt sind. Kunden, die andere Microsoft-Betriebssysteme ausführen, sind von dieser Erneutversion nicht betroffen und müssen keine Maßnahmen ergreifen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3033395 .
Seite generiert 2015-03-16 14:59Z-07:00.