Microsoft Security Bulletin MS05-019

• Bei diesem Angriff ist es erforderlich, dass der Router ungültige IP-Netzwerkpakete weiterleitet. Die meisten Router leiten diese Arten ungültiger IP-Netzwerkpakete nicht weiter.
• Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen. Betroffene Systeme, die IP-Verbindungen mit dem Internet aufweisen, können ggf. für dieses Problem anfällig sein.
• Die Internetverbindungsfirewall verringert bei deren Aktivierung die Gefahr dieser Sicherheitsanfälligkeit unter Windows XP Service Pack 1. Windows XP Service Pack 2 und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

• ISA Server 2000 und ISA Server 2004 können zum Blockieren des betroffenen Verkehrs verwendet werden. Überprüfen Sie die Dokumentation von ISA Server zu den Präventivmaßnahmen, um weitere Informationen über den Einsatz von ISA Server zur Verringerung dieser Sicherheitsanfälligkeit zu erhalten.
• Verwenden Sie eine persönliche Firewall, beispielsweise die Internetverbindungsfirewall, die im Lieferumfang von Windows XP Service Pack 1 enthalten ist.

  Standardmäßig schützt die Internetverbindungsfirewall in Windows XP Service Pack 1 Ihre Internetverbindung, indem unerwünscht eingehender Datenverkehr blockiert wird. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.

  Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:

  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern. Die Komponente Internetverbindungsfirewall wird aktiviert, wenn Sie im Netzwerkinstallations-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

  Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

  1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
  2. Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
  3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Erweitert.
  5. Aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird, und klicken Sie dann auf OK.

  Hinweis: Wenn Sie die Kommunikation einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen, und wählen Sie dann die notwendigen Programme, Protokolle und Dienste aus.

Worin genau besteht diese Sicherheitsanfälligkeit?

Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er von einem Remotestandort aus die vollständige Kontrolle über ein betroffenes System erlangen. Höchstwahrscheinlich würde das Ausnutzen dieser Sicherheitsanfälligkeit jedoch zu einem Denial-of-Service führen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System nicht mehr reagiert und automatisch neu startet. Während dieses Zeitraums können betroffene Systeme nicht auf Anfragen reagieren.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die betroffenen Betriebssysteme führen eine unvollständige Überprüfung der IP-Netzwerkpakete durch.

Was ist IP?
Das Internetprotokoll (IP) ist Bestandteil der TCP/IP-Protokollfamilie. Bei TCP/IP handelt es sich um eine Reihe von Netzwerkprotokollen, deren Verwendung im Internet weit verbreitet ist. TCP/IP ermöglicht die Kommunikation zwischen miteinander verbundenen Computernetzen, die über unterschiedliche Hardwarearchitekturen verfügen und in denen verschiedene Betriebssysteme ausgeführt werden. TCP/IP umfasst Standards für die Computerkommunikation sowie Konventionen zum Verbinden von Netzwerken und Weiterleiten des Netzwerkverkehrs. Weitere Informationen über TCP/IP finden Sie auf der Microsoft-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen. Höchstwahrscheinlich jedoch führt eine Ausnutzung dieser Sicherheitsanfälligkeit dazu, dass das betroffene System nicht mehr reagiert und dann automatisch neu gestartet wird.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Diese Nachricht könnte daraufhin bewirken, dass das betroffene System Code ausführt oder nicht mehr reagiert.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Windows 2000 und Windows XP Service Pack 1 sind durch diese Sicherheitsanfälligkeit hauptsächlich betroffen. Windows XP Service Pack 2 und Windows Server 2003 beinhalten eine zusätzliche Überprüfung, durch die diese Sicherheitsanfälligkeit behoben wird.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Bei diesem Angriff ist es jedoch erforderlich, dass der Router ungültige IP-Netzwerkpakete weiterleitet. Die meisten Router leiten diese Arten ungültiger IP-Netzwerkpakete nicht weiter.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Methode zur Überprüfung von IP-Anforderungen auf den betroffenen Betriebssystemen geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

• Mit Hilfe bewährter Methoden für die Firewall und Firewall- oder Routerkonfigurationen, die sämtlichen ICMP-Verkehr blockieren, können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.
• Damit ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, muss er zunächst die IP-Adresse und Portinformationen vom Ausgangs- und Zielort der bestehenden TCP-Netzwerkverbindung voraussagen bzw. in Erfahrung bringen.
• Dieser Angriff müsste auf allen TCP-Verbindungen ausgeführt werden, die für eine Zurücksetzung bestimmt waren. Viele Anwendungen stellen zurückgesetzte Verbindungen automatisch wieder her.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

• Blockieren sämtlicher ICMP-Netzwerkpakete an der Firewall oder am Router:

  ICMP-Netzwerkpakete werden dazu verwendet, eine Verbindung mit den betroffenen Komponenten zu initiieren. Durch das Blockieren der Pakete an der Firewall oder am Router werden hinter Firewall oder Router liegende Systeme vor dieser Sicherheitsanfälligkeit geschützt. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. ISA Server 2000 und ISA Server 2004 können zum Blockieren des betroffenen Verkehrs verwendet werden.

  Auswirkung der Problemumgehung: Diese Problemumgehung kann sich auch negativ auf die Leistung auswirken, indem TCP an der Optimierung der Netzwerkkommunikation gehindert wird. ICMP-Netzwerkpakete können die Fragmentierung von Paketen bei Routern unterbinden, die Netzwerke mit unterschiedlichen MTUs verbinden. Fragmentierung führt zu reduziertem TCP-Durchsatz und verstärkter Netzwerkauslastung.

• Blockieren des ICMP-Verkehrs durch Einsatz von IPSec auf den betroffenen Systemen.

  Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und Microsoft Knowledge Base-Artikel 813878.

  Auswirkung der Problemumgehung: Diese Problemumgehung kann sich auch negativ auf die Leistung auswirken, indem TCP an der Optimierung der Netzwerkkommunikation gehindert wird. ICMP-Netzwerkpakete können die Fragmentierung von Paketen bei Routern unterbinden, die Netzwerke mit unterschiedlichen MTUs verbinden. Fragmentierung führt zu reduziertem TCP-Durchsatz und verstärkter Netzwerkauslastung.

Worin genau besteht diese Sicherheitsanfälligkeit?

Bei der Sicherheitsanfälligkeit des Typs Denial-of-Service kann ein Angreifer eine speziell gestaltete ICMP-Nachricht an ein betroffenes System senden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System bestehende TCP-Verbindungen zurücksetzt. Damit die Kommunikation normal fortgesetzt werden kann, müssten diese Verbindungen neu hergestellt werden. Beachten Sie, dass diese Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Berechtigungen ermöglicht.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die betroffenen Nachrichten werden in bestimmten Fällen, in denen zugelassen wird, dass ein Angreifer ein ungültiges Paket sendet, nicht ignoriert und können so zum Zurücksetzen einer bestehenden Verbindung führen.

Was ist TCP/IP?
Unter TCP/IP versteht man Netzwerkprotokolle, deren Verwendung im Internet weit verbreitet ist. TCP/IP ermöglicht die Kommunikation zwischen miteinander verbundenen Computernetzen, die über unterschiedliche Hardwarearchitekturen verfügen und in denen verschiedene Betriebssysteme ausgeführt werden. TCP/IP umfasst Standards für die Computerkommunikation sowie Konventionen zum Verbinden von Netzwerken und Weiterleiten des Netzwerkverkehrs. Weitere Informationen über TCP/IP finden Sie auf der Microsoft-Website.

Was ist ICMP?
Internet Control Message Protocol (ICMP) ist ein erforderlicher TCP/IP-Standard, der in RFC 792, „Internet Control Message Protocol (ICMP)“ festgelegt ist. Hosts und Router, die auf IP-Kommunikation zurückgreifen, können mit Hilfe von ICMP Fehler aufzeichnen und eingeschränkte Steuer- und Statusinformationen austauschen.

ICMP-Nachrichten werden in der Regel in den folgenden Situationen automatisch gesendet:

• Ein IP-Datagramm kann sein Ziel nicht erreichen.
• Ein IP-Router (Gateway) kann Datagramme nicht in der aktuellen Übertragungsrate weiterleiten.
• Ein IP-Router leitet den Sendehost auf eine bessere Route zum Ziel um.

Mit dem Befehl Ping können Sie ICMP-Echoanforderungsnachrichten senden und den Eingang der ICMP-Echoantworten aufzeichnen. Mit Hilfe dieser Nachrichten können Sie Netzwerk- oder Hostkommunikationsfehler erkennen und allgemeine Probleme bei TCP/IP-Verbindungen beheben. Weitere Informationen über ICMP finden Sie auf dieser Microsoft-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System TCP-Verbindungen zurücksetzt.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Diese Nachricht kann dann bewirken, dass das betroffene System Netzwerkverbindungen zurücksetzt.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit stellt für alle betroffenen Betriebssysteme ein Risiko dar. Hauptsächlich sind jedoch Server durch diese Sicherheitsanfälligkeit gefährdet, da sie Verbindungen mit Clients aufrecht erhalten, die für das Zurücksetzen der Verbindung anfällig sein können.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Standardmäßig lässt die Microsoft Internet Connection Firewall (ICF) diese Art der unsicheren Netzwerkpakete und kann nicht zu deren Filterung verwendet werden.

Was bewirkt das Update?
Mit dem Update wird die Sicherheitsanfälligkeit beseitigt, indem die Art der Überprüfung der ICMP-Anforderungen auf den betroffenen Betriebssystemen geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2004-0790 zugewiesen. Es gibt eine Variante dieses Problems, der die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2004-0791 zugewiesen wurde. Das Microsoft-Sicherheitsupdate für CAN-2004-0790 beseitigt ebenfalls die Sicherheitsanfälligkeit CAN-2004-0791.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

• Mit Hilfe bewährter Methoden für die Firewall und Firewall- oder Routerkonfigurationen, die sämtlichen ICMP-Verkehr blockieren, können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.
• Damit ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, muss er zunächst die IP-Adressinformationen der Quelle und des Ziels der bestehenden TCP-Netzwerkverbindung voraussagen bzw. in Erfahrung bringen.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

• Deaktivieren der Pfad-MTU-Ermittlung.
  Durch Deaktivieren der Pfad-MTU-Ermittlung wird verhindert, dass ein Angreifer einen geringen MTU-Wert angibt, durch den die Netzwerkleistung herabgesetzt werden könnte. Führen Sie dazu die folgende Schritte aus:

  Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema Ändern von Schlüsseln und Werten im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen über das Hinzufügen und das Löschen von Informationen in der Registrierung und im Hilfethema Bearbeiten der Registrierungsdaten in Regedt32.exe.

  Hinweis: Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie diese bearbeiten.

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie „regedt32“ ein (ohne die Anführungszeichen), und klicken Sie dann auf OK.
  2. Suchen Sie im Registrierungs-Editor folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Fügen Sie folgenden DWORD-Wert hinzu: EnablePMTUDiscovery. Stellen Sie den Wert auf 0 ein. Mit diesem Wert wird die Pfad-MTU-Ermittlung deaktiviert. Standardmäßig ist dieser Schlüssel nicht vorhanden.
  4. Sie müssen Ihr System neu starten, damit diese Änderung wirksam wird.

  Auswirkung der Problemumgehung: Diese Änderungen tragen zur Vermeidung von Angriffen bei, indem Angreifer daran gehindert werden, einen geringen Pfad-MTU-Wert einzustellen. Die Einstellung kann sich auch negativ auf die Leistung auswirken, indem TCP an der Optimierung der Netzwerkkommunikation gehindert wird. Diese Optimierung kann die Fragmentierung von Paketen bei Routern unterbinden, die Netzwerke mit unterschiedlichen MTUs verbinden. Fragmentierung führt zu reduziertem TCP-Durchsatz und verstärkter Netzwerkauslastung. Weitere Informationen zu EnablePMTUDiscovery finden Sie auf der folgenden Website.

• Blockieren sämtlicher ICMP-Netzwerkpakete an der Firewall oder am Router:

  ICMP-Netzwerkpakete werden dazu verwendet, eine Verbindung mit den betroffenen Komponenten zu initiieren. Durch das Blockieren der Pakete an der Firewall oder am Router werden hinter Firewall oder Router liegende Systeme vor dieser Sicherheitsanfälligkeit geschützt. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. ISA Server 2000 und ISA Server 2004 können zum Blockieren des betroffenen Verkehrs verwendet werden.

  Auswirkung der Problemumgehung: Diese Problemumgehung kann sich auch negativ auf die Leistung auswirken, indem TCP an der Optimierung der Netzwerkkommunikation gehindert wird. ICMP-Netzwerkpakete können die Fragmentierung von Paketen bei Routern unterbinden, die Netzwerke mit unterschiedlichen MTUs verbinden. Fragmentierung führt zu reduziertem TCP-Durchsatz und verstärkter Netzwerkauslastung.

• Blockieren des ICMP-Verkehrs durch Einsatz von IPSec auf den betroffenen Systemen.

  Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und Microsoft Knowledge Base-Artikel 813878.

  Auswirkung der Problemumgehung: Diese Problemumgehung kann sich auch negativ auf die Leistung auswirken, indem TCP an der Optimierung der Netzwerkkommunikation gehindert wird. ICMP-Netzwerkpakete können die Fragmentierung von Paketen bei Routern unterbinden, die Netzwerke mit unterschiedlichen MTUs verbinden. Fragmentierung führt zu reduziertem TCP-Durchsatz und verstärkter Netzwerkauslastung.

Worin genau besteht diese Sicherheitsanfälligkeit?

Es liegt eine Sicherheitsanfälligkeit des Typs Denial-of-Service vor, bei der ein Angreifer eine speziell gestaltete Internet Control Message Protocol (ICMP)-Nachricht an ein betroffenes System senden kann, die zu einer Beeinträchtigung der Netzwerkleistung führen könnte und möglicherweise bewirkt, dass das betroffene System nicht mehr auf Anforderungen reagiert. Beachten Sie, dass diese Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Berechtigungen ermöglicht.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der ICMP-Prozess für die Pfad-MTU-Ermittlung ermöglicht es einem Angreifer, einen Pfad-MTU-Wert anzugeben, der die Netzwerkleistung herabsetzen kann.

Was ist TCP/IP?
Unter TCP/IP versteht man Netzwerkprotokolle, deren Verwendung im Internet weit verbreitet ist. TCP/IP ermöglicht die Kommunikation zwischen miteinander verbundenen Computernetzen, die über unterschiedliche Hardwarearchitekturen verfügen und in denen verschiedene Betriebssysteme ausgeführt werden. TCP/IP umfasst Standards für die Computerkommunikation sowie Konventionen zum Verbinden von Netzwerken und Weiterleiten des Netzwerkverkehrs. Weitere Informationen über TCP/IP finden Sie auf der Microsoft-Website.

Was ist ICMP?
Internet Control Message Protocol (ICMP) ist ein erforderlicher TCP/IP-Standard, der in RFC 792, „Internet Control Message Protocol (ICMP)“ festgelegt ist. Hosts und Router, die auf IP-Kommunikation zurückgreifen, können mit Hilfe von ICMP Fehler aufzeichnen und eingeschränkte Steuer- und Statusinformationen austauschen.

ICMP-Nachrichten werden in der Regel in den folgenden Situationen automatisch gesendet:

• Ein IP-Datagramm kann sein Ziel nicht erreichen.
• Ein IP-Router (Gateway) kann Datagramme nicht in der aktuellen Übertragungsrate weiterleiten.
• Ein IP-Router leitet den Sendehost auf eine bessere Route zum Ziel um.

Mit dem Befehl Ping können Sie ICMP-Echoanforderungsnachrichten senden und den Eingang der ICMP-Echoantworten aufzeichnen. Mit Hilfe dieser Nachrichten können Sie Netzwerk- oder Hostkommunikationsfehler erkennen und allgemeine Probleme bei TCP/IP-Verbindungen beheben. Weitere Informationen über ICMP finden Sie auf dieser Microsoft-Website.

Was ist Pfad-MTU-Ermittlung?
Die Ermittlung der maximalen Pfadübertragungseinheit (Path maximum transmission unit, PMTU) ist der Prozess, bei dem die maximale Größe von Paketen ermittelt wird, die ohne Fragmentierung zwischen zwei Hosts über das Netzwerk gesendet werden können (das heißt, ohne dass das Paket während der Übertragung in mehrere Teile zerlegt wird). Dieser Prozess wird in RFC 1191 beschrieben. Weitere Informationen finden Sie in RFC 1191. Zusätzliche Informationen finden Sie auf der MSDN-Website.

Wo liegt das Problem beim Prozess zur Ermittlung der Pfad-MTU?
Die Ermittlung der maximalen Pfadübertragungseinheit (PMTU) ermöglicht einem Angreifer die Angabe eines Wertes, der die Netzwerkleistung für andere Verbindungen herabsetzen kann. Wenn die PMTU-Ermittlung auf nicht abgesicherten Netzwerken zugelassen wird, besteht das Risiko, dass ein Angreifer die MTU auf einen extrem geringen Wert einstellt und so eine Überlastung des lokalen TCP/IP-Stacks bewirkt. Normalerweise wäre dieses Verhalten auf die einzelne Verbindung beschränkt, die von einem Angreifer hergestellt werden könnte. Durch diese Sicherheitsanfälligkeit wird einem Angreifer jedoch ermöglicht, den MTU-Wert neben seiner eigenen Verbindung zu dem betroffenen System auch für andere Verbindungen zu verändern.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte eine Verschlechterung der Netzwerkleistung auf dem betroffenen System bewirken.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Diese Nachricht kann dann bewirken, dass das betroffene System die Netzwerkleistung herabsetzt.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit stellt für alle betroffenen Betriebssysteme ein Risiko dar. Hauptsächlich sind jedoch Server durch diese Sicherheitsanfälligkeit gefährdet, da sie Verbindungen mit Clients aufrecht erhalten, die für Leistungseinbußen anfällig sein können.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Standardmäßig lässt die Microsoft Internet Connection Firewall (ICF) diese Art der unsicheren Netzwerkpakete und kann nicht zu deren Filterung verwendet werden.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem der minimale MTU-Wert auf 576 Byte beschränkt wird. Darüber hinaus verändert dieses Update die Methode zur Überprüfung von ICMP-Anforderungen durch die betroffenen Betriebssysteme.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2004-1060 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

• Damit ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, muss er zunächst die IP-Adresse und Portinformationen vom Ausgangs- und Zielort der bestehenden TCP-Netzwerkverbindung voraussagen bzw. in Erfahrung bringen. Er muss auch schwer herauszufindende Einzelheiten zum TCP-Netzwerkpaket voraussagen oder in Erfahrung bringen. Protokolle oder Programme, die lange Sitzungen unterhalten und vorhersehbare TCP/IP-Informationen aufweisen, sind hinsichtlich dieses Problems besonders gefährdet.
• Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen. Betroffene Systeme, die TCP-Verbindungen mit dem Internet zulassen, können ggf. für dieses Problem anfällig sein.
• Dieser Angriff müsste auf allen TCP-Verbindungen ausgeführt werden, die für eine Zurücksetzung bestimmt waren. Viele Anwendungen stellen zurückgesetzte Verbindungen automatisch wieder her.

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Worin genau besteht diese Sicherheitsanfälligkeit?

Bei der Sicherheitsanfälligkeit des Typs Denial-of-Service kann ein Angreifer eine speziell gestaltete TCP-Nachricht an ein betroffenes System senden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System bestehende TCP-Verbindungen zurücksetzt. Damit die Kommunikation fortgesetzt werden kann, müssten diese Verbindungen neu hergestellt werden. Beachten Sie, dass diese Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Berechtigungen ermöglicht.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
In bestimmten Fällen, in denen zugelassen wird, dass ein Angreifer ein ungültiges TCP-Paket senden kann, werden die betroffenen Nachrichten nicht ignoriert und können so zum Zurücksetzen einer bestehenden Verbindung führen.

Was ist TCP/IP?
Unter TCP/IP versteht man Netzwerkprotokolle, deren Verwendung im Internet weit verbreitet ist. TCP/IP ermöglicht die Kommunikation zwischen miteinander verbundenen Computernetzen, die über unterschiedliche Hardwarearchitekturen verfügen und in denen verschiedene Betriebssysteme ausgeführt werden. TCP/IP umfasst Standards für die Computerkommunikation sowie Konventionen zum Verbinden von Netzwerken und Weiterleiten des Netzwerkverkehrs. Weitere Informationen über TCP/IP finden Sie auf der Microsoft-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System TCP-Verbindungen zurücksetzt.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln und die erforderlichen TCP-Angaben vorhersagen oder in Erfahrung bringen kann, könnte diese Sicherheitsanfälligkeit ausnutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Diese Nachricht kann dann bewirken, dass das betroffene System TCP-Verbindungen zurücksetzt.

Damit ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, muss er zunächst die IP-Adresse und Portinformationen vom Ausgangs- und Zielort der bestehenden TCP-Netzwerkverbindung voraussagen bzw. in Erfahrung bringen. Er muss auch schwer herauszufindende Einzelheiten zum TCP-Netzwerkpaket voraussagen oder in Erfahrung bringen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Diese Sicherheitsanfälligkeit stellt für alle betroffenen Betriebssysteme ein Risiko dar. Hauptsächlich sind jedoch Server durch diese Sicherheitsanfälligkeit gefährdet, da sie Verbindungen mit Clients aufrecht erhalten, die für das Zurücksetzen der Verbindung anfällig sein können. Protokolle oder Programme, die lange Sitzungen unterhalten und vorhersehbare TCP/IP-Informationen aufweisen, sind hinsichtlich dieses Problems besonders gefährdet.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen.

Was bewirkt das Update?
Mit dem Update wird die Sicherheitsanfälligkeit beseitigt, indem die Art der Überprüfung der TCP-Anforderungen auf den betroffenen Betriebssystemen geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2004-0230 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.

Werden die Benutzer durch die Installation dieses Sicherheitsupdates vor dem veröffentlichten Code geschützt, mit dem diese Sicherheitsanfälligkeit ausgenutzt wird?
Ja. Dieses Sicherheitsupdate richtet sich an die Codebeispiele für ein Angriffskonzept, die veröffentlicht wurden. Der beseitigten Sicherheitsanfälligkeit wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2004-0230 zugewiesen.

• Im Anschluss an die Verarbeitung der manipulierten Pakete würde das System normal funktionieren.
• Bei diesem Angriff ist es erforderlich, dass der Router ungültige TCP/IP-Netzwerkpakete weiterleitet. Die meisten Router leiten diese Arten ungültiger TCP/IP-Netzwerkpakete nicht weiter.
• Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen. Betroffene Systeme, die IP-Verbindungen mit dem Internet aufweisen, können ggf. für dieses Problem anfällig sein.
• Windows Server 2003-Systeme, auf denen der Registrierungswert SynAttackProtect aktiviert ist, sind für dieses Problem nicht anfällig. Im Abschnitt „Problemumgehungen“ zu dieser Sicherheitsanfälligkeit finden Sie Informationen dazu, wie Sie diesen Wert aktivieren können. Die anderen betroffenen Betriebssysteme sind durch diesen Registrierungswert nicht geschützt.

• ISA Server 2000 und ISA Server 2004 können zum Blockieren des betroffenen Verkehrs verwendet werden. Überprüfen Sie die Dokumentation von ISA Server zu den Präventivmaßnahmen, um weitere Informationen über den Einsatz von ISA Server zur Verringerung dieser Sicherheitsanfälligkeit zu erhalten.
• Durch Aktivieren des Registrierungswerts SynAttackProtect unter Windows Server 2003 wird diese Sicherheitsanfälligkeit verringert. Windows Server 2003-Systeme, auf denen dieser Registrierungswert aktiviert ist, sind für dieses Problem nicht anfällig. Microsoft empfiehlt Benutzern die Aktivierung dieses Registrierungswerts. Weitere Informationen zur Aktivierung dieses Registrierungswerts finden Sie auf der folgenden Microsoft-Website. Die anderen betroffenen Betriebssysteme sind durch diesen Registrierungswert nicht geschützt.

Worin genau besteht diese Sicherheitsanfälligkeit?

Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass das betroffene System für eine bestimmte Zeit nicht mehr reagiert. Während dieses Zeitraums können betroffene Systeme nicht auf Anfragen reagieren. Beachten Sie, dass diese Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Benutzerberechtigungen ermöglicht, sondern dazu führt, dass das betroffene System keine Anforderungen mehr annimmt.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die betroffenen Betriebssysteme führen eine unvollständige Überprüfung der TCP/IP-Netzwerkpakete durch. Diese Sicherheitsanfälligkeit tritt auf, wenn ein TCP-SYN-Paket mit einer gefälschten Quell-IP-Adresse und -Portnummer empfangen wird, die mit der Ziel-IP-Adresse und -Portnummer identisch sind. Dadurch hat es den Anschein, als hätte der Hostcomputer sich selbst ein Paket gesendet. Wenn dieser Angriff erfolgreich ist, wird eine Schleife erstellt und zusätzliche Prozessorleistung beansprucht.

Was ist TCP/IP?
Unter TCP/IP versteht man Netzwerkprotokolle, deren Verwendung im Internet weit verbreitet ist. TCP/IP ermöglicht die Kommunikation zwischen miteinander verbundenen Computernetzen, die über unterschiedliche Hardwarearchitekturen verfügen und in denen verschiedene Betriebssysteme ausgeführt werden. TCP/IP umfasst Standards für die Computerkommunikation sowie Konventionen zum Verbinden von Netzwerken und Weiterleiten des Netzwerkverkehrs. Weitere Informationen über TCP/IP finden Sie auf der Microsoft-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, könnte bewirken, dass das betroffene System nicht mehr reagiert.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Die Nachricht könnte bewirken, dass das betroffene System nicht mehr reagiert.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Windows XP Service Pack 2 und Windows Server 2003 sind besonders von dieser Sicherheitsanfälligkeit betroffen. Frühere Betriebssystemversionen sind nicht für dieses Problem anfällig.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Bei diesem Angriff ist es jedoch erforderlich, dass der Router ungültige TCP/IP-Netzwerkpakete weiterleitet. Die meisten Router leiten diese Arten ungültiger TCP/IP-Netzwerkpakete nicht weiter.

Was bewirkt das Update?
Mit dem Update wird die Sicherheitsanfälligkeit beseitigt, indem die Art der Überprüfung der TCP/IP-Anforderungen auf den betroffenen Systemen geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CAN-2005-0688 zugewiesen. Sie wurde von der größeren Sicherheits-Community auch als „Land Attack“ bezeichnet.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.

Werden die Benutzer durch die Installation dieses Sicherheitsupdates vor dem veröffentlichten Code geschützt, mit dem diese Sicherheitsanfälligkeit ausgenutzt wird?
Ja. Durch dieses Sicherheitsupdate wird die Sicherheitsanfälligkeit behoben, die durch die veröffentlichten Codebeispiele für ein Angriffskonzept demonstriert wurde.