Microsoft Security Bulletin MS15-030 – Wichtig
Sicherheitsanfälligkeit im Remotedesktopprotokoll könnte denial of Service zulassen (3039976)
Veröffentlicht: 10. März 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit könnte denial-of-Service zulassen, wenn ein Angreifer mehrere Remotedesktopprotokollsitzungen (RDP) erstellt, die objekte im Arbeitsspeicher nicht ordnungsgemäß freigeben. Standardmäßig ist RDP auf keinem Windows-Betriebssystem aktiviert. Systeme, für die rdP nicht aktiviert ist, sind nicht gefährdet.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Windows 7, Windows 8, Windows Server 2012, Window 8.1 und Windows Server 2012 R2 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verwaltet. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3039976.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Betroffene Software
| Betriebssystem | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3035017)[1] | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3036493) | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3035017)[1] | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3036493) | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | 2965788 in MS14-030 |
| Windows 8 für x64-basierte Systeme (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | 2965788 in MS14-030 |
| Windows 8.1 für 32-Bit-Systeme (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Windows 8.1 für x64-basierte Systeme (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | 2965788 in MS14-030 |
| Windows Server 2012 R2 (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
| Server Core-Installationsoption | |||
| Windows Server 2012 (Server Core-Installation) (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | 2965788 in MS14-030 |
| Windows Server 2012 R2 (Server Core-Installation) (3035017) | Dienstverweigerung (Denial of Service) | Wichtig | Keine |
[1]Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Updates.
Häufig gestellte Fragen zum Aktualisieren
Welche Editionen von Windows 7 sind betroffen?
Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Für Kunden, die RDP 8.0 auf lokalen Systemen ausführen, die die neuen serverseitigen Features in RDP 8.0 nicht benötigen, empfiehlt Microsoft, ein Upgrade auf RDP 8.1 durchzuführen und das 3035017 Update nicht anzuwenden (oder zu entfernen).
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im März.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Remotedesktopprotokoll (RDP) – CVE-2015-0079 | Bewertung des aggregierten Schweregrads |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3036493) | Wichtiger Denial of Service | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3036493) | Wichtiger Denial of Service | Wichtig |
| Windows 8 und Windows 8.1 | ||
| Windows 8 für 32-Bit-Systeme (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows 8 für x64-basierte Systeme (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||
| Windows Server 2012 (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows Server 2012 R2 (3035017) | Wichtiger Denial of Service | Wichtig |
| Server Core-Installationsoption | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3035017) | Wichtiger Denial of Service | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3035017) | Wichtiger Denial of Service | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Remotedesktopprotokoll (RDP) – CVE-2015-0079
Eine Denial-of-Service-Sicherheitsanfälligkeit ist in Remotedesktopprotokoll (RDP) vorhanden, wenn ein Angreifer mehrere RDP-Sitzungen erstellt, die objekte im Arbeitsspeicher nicht ordnungsgemäß freigeben. Beachten Sie, dass der Denial of Service einem Angreifer nicht erlauben würde, Code auszuführen oder seine Benutzerrechte zu erhöhen. Es könnte jedoch verhindern, dass sich legitime Benutzer über Remotedesktop anmelden. Ein nicht authentifizierter Angreifer könnte diese Sicherheitsanfälligkeit verwenden, um den Systemspeicher zu erschöpfen, indem mehrere RDP-Sitzungen erstellt werden. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dazu führen, dass das Zielsystem nicht mehr reagiert. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verwaltet.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
RDP deaktivieren
So deaktivieren Sie RDP mithilfe von Gruppenrichtlinien
Öffnen der Gruppenrichtlinie
Doppelklicken Sie in "Computerkonfiguration", "Administrative Vorlagen", "Windows-Komponenten", "Terminaldienste" auf die Option "Verbindungen per Remoteverbindung mithilfe der Terminaldienste"-Einstellung.
Führen Sie eines der folgenden Verfahren aus:
Um Remotedesktop zu aktivieren, klicken Sie auf "Aktiviert".
Zum Deaktivieren des Remotedesktops klicken Sie auf "Deaktiviert".
Wenn Sie Remotedesktop deaktivieren, während Benutzer mit den Zielcomputern verbunden sind, Standard ihre aktuellen Verbindungen beibehalten, aber keine neuen eingehenden Verbindungen akzeptieren.
Wichtig , wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote beim Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können sollen, und sie dann manuell zur Gruppe "Remotedesktopbenutzer" hinzufügen. Weitere Informationen finden Sie unter Aktivieren der Remoteverbindung zwischen Benutzern und Hinzufügen von Benutzern zur Gruppe "Remotedesktopbenutzer".
Sie sollten alle Änderungen, die Sie an den Gruppenrichtlinieneinstellungen vornehmen, gründlich testen, bevor Sie sie auf Benutzer oder Computer anwenden. Weitere Informationen zum Testen von Richtlinieneinstellungen finden Sie unter "Resultsant Set of Policy".
Hinweis:
- Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen. Als Best Practice für die Sicherheit sollten Sie dieses Verfahren über Ausführen als ausführen.
- Verwenden Sie das obige Verfahren, um das lokale Gruppenrichtlinienobjekt zu konfigurieren. Um eine Richtlinie für eine Do Standard oder eine Organisationseinheit zu ändern, müssen Sie sich bei der primären Do Standard controller als Administrator anmelden. Anschließend müssen Sie die Gruppenrichtlinie mithilfe des Active Directory-Benutzer und -Computer-Snap-Ins starten.
- Wenn die Gruppenrichtlinieneinstellung "Remoteverbindungen zulassen" für Benutzer mithilfe der Gruppenrichtlinieneinstellung "Terminaldienste " auf "Nicht konfiguriert" festgelegt ist, hat die Einstellung "Remotedesktop auf diesem Computer aktivieren" (auf der Registerkarte "Remote " des Dialogfelds "Systemeigenschaften ") auf den Zielcomputern Vorrang. Andernfalls hat die Gruppenrichtlinieneinstellung "Remoteverbindung über Terminaldienste " die Möglichkeit, eine Remoteverbindung herzustellen.
- Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als wären sie in der Konsole sitzen. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
- Sie sollten alle Benutzer benötigen, die Remoteverbindungen herstellen, um ein sicheres Kennwort zu verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
- Remotedesktop ist in Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.
So deaktivieren Sie RDP mithilfe von Systemeigenschaften
Öffnen Sie das System in Systemsteuerung.
Aktivieren oder deaktivieren Sie auf der Registerkarte "Remote " das Kontrollkästchen "Remotedesktop aktivieren" auf diesem Computer , und klicken Sie dann auf "OK".
Wichtig , wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote beim Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können sollen, und sie dann manuell zur Gruppe "Remotedesktopbenutzer" hinzufügen. Weitere Informationen finden Sie unter Aktivieren der Remoteverbindung zwischen Benutzern und Hinzufügen von Benutzern zur Gruppe "Remotedesktopbenutzer".
Hinweis:
- Sie müssen als Mitglied der Gruppe "Administratoren" angemeldet sein, um Remotedesktop zu aktivieren oder zu deaktivieren.
- Um ein Systemsteuerung Element zu öffnen, klicken Sie auf "Start", klicken Sie auf Systemsteuerung, und doppelklicken Sie dann auf das entsprechende Symbol.
- Jeder Konfigurationssatz mit Gruppenrichtlinien setzt die konfiguration außer Kraft, die mithilfe von Systemeigenschaften festgelegt wird, wie in diesem Verfahren beschrieben.
- Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als wären sie in der Konsole sitzen. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
- Sie sollten alle Benutzer benötigen, die Remoteverbindungen herstellen, um ein sicheres Kennwort zu verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
- Remotedesktop ist in Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.
Häufig gestellte Fragen
Ist der Remotedesktop standardmäßig aktiviert?
Nein, RDP für die Verwaltung ist standardmäßig nicht aktiviert. Kunden, die RDP nicht aktiviert haben, werden dieses Update jedoch weiterhin angeboten, um den Schutz ihrer Systeme zu gewährleisten. Weitere Informationen zu dieser Konfigurationseinstellung finden Sie im TechNet-Artikel zum Aktivieren und Konfigurieren von Remotedesktop für die Verwaltung in Windows Server 2003. Beachten Sie, dass dieser Artikel auch für spätere Versionen von Microsoft Windows gilt.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
Seite generiert 2015-03-08 9:11Z-07:00.