Microsoft Security Bulletin MS09-012 - Hoch

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

  Führen Sie die folgenden Schritte durch:

  1. Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
  2. Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
  3. Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

  Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
  3. Doppelklicken Sie auf Dienste.
  4. Doppelklicken Sie auf Distributed Transaction Coordinator.
  5. Klicken Sie in der Liste Starttyp auf Deaktiviert.
  6. Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

  Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

• IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.
  1. Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
  2. Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
  3. Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

  Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

• IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.
  1. Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.
  2. Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit NetworkService-Berechtigungen ausführen. Ein Angreifer könnte dann das LocalSystem-Token von anderen anfälligen Diensten übernehmen und Programme installieren sowie Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass die Transaktionsfunktion von Microsoft Distributed Transaction Coordinator (MSDTC) es ermöglicht, dass das NetworkService-Token beim Ausführen eines RPC übernommen und verwendet werden kann.

Was ist Microsoft Distributed Transaction Coordinator?  
Microsoft Distributed Transaction Coordinator (MSDTC) ist eine Funktion für verteilte Transaktionen für Microsoft Windows-Plattformen. MSDTC nutzt bewährte Transaktionstechnologie. Es ist trotz System-, Verfahrens- und Kommunikationsfehler robust und nutzt locker gekoppelte Systeme, um skalierbare Leistung bereitzustellen. Es lässt sich einfach installieren, konfigurieren und verwalten.

Weitere Informationen zu MSDTC finden Sie im MSDN-Artikel DTC-Entwicklerhandbuch.

Was ist RPC?  
RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.

Was ist das NetworkService-Konto?  
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel NetworkService-Konto.

Was ist das LocalService-Konto?  
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?  
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?  
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

• Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
• ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?  
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Welche zusätzlichen Anwendungen können von dieser Sicherheitsanfälligkeit betroffen sein?  
Systeme, die einen Prozess mit SeImpersonatePrivilege-Berechtigung ausführen, der von Benutzern bereitgestellten Code lädt und ausführt, können für einen Angriff bezüglich der Erhöhung von Berechtigungen anfällig sein, wie er in diesem Security Bulletin beschrieben wird. Die SeImpersonatePrivilege-Einstellung ist in Microsoft Knowledge Base-Artikel 821546 beschrieben.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code im Kontext des NetworkService-Kontos ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne administrative Berechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen unterstützte Editionen von Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 ausgeführt werden, sowie alle unterstützten Versionen und Editionen von Windows Server 2003, Windows Vista und Windows Server 2008, können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit durch Verringern der Berechtigungsebene auf dem Token, der von MSDTC angefordert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2008-1436 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Trägt die Installation dieses Sicherheitsupdates zum Schutz der Benutzer vor dem veröffentlichten Code bei, mit dem versucht wird, diese Sicherheitsanfälligkeit auszunutzen?  
Ja. Durch dieses Sicherheitsupdate wird die derzeit ausgenutzte Sicherheitsanfälligkeit behoben. Der beseitigten Sicherheitsanfälligkeit wurde die Nummer für allgemeine Sicherheitsfälligkeit CVE-2008-1436 zugewiesen.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

  Führen Sie die folgenden Schritte durch:

  1. Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
  2. Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
  3. Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

  Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
  3. Doppelklicken Sie auf Dienste.
  4. Doppelklicken Sie auf Distributed Transaction Coordinator.
  5. Klicken Sie in der Liste Starttyp auf Deaktiviert.
  6. Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

  Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

• IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.
  1. Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
  2. Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
  3. Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

  Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

• IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.
  1. Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.
  2. Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit den gleichen Berechtigungen wie das LocalSystem-Konto ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass der WMI-Provider (Windows-Verwaltungsinstrumentation) Prozesse nicht richtig isoliert, die unter NetworkService- oder LocalService-Konten ausgeführt werden. Zwei separate Prozesse, die unter dem gleichen Konto ausgeführt werden, haben vollen Zugriff auf die gegenseitigen Ressourcen, wie z. B. Dateihandle, Registrierungsschlüssel, Handles und so weiter. Der WMI-Provider-Hostprozess enthält in bestimmten Szenarien SYSTEM-Tokens. Wenn ein Angreifer unter dem Kontext eines NetworkService- oder LocalService-Kontos Zugriff auf einen Computer erlangt, kann der Angreifer Code ausführen, um die WMI-Provider-Hostprozesse auf SYSTEM-Tokens zu untersuchen. Wenn ein SYSTEM-Token gefunden wird, kann der Code des Angreifers diesen verwenden, um SYSTEM-Ebenenberechtigungen zu erlangen.

Was ist die Windows-Verwaltungsinstrumentation (WMI)?  
Die Windows-Verwaltungsinstrumentation (WMI) ist die primäre Verwaltungstechnologie für Microsoft Windows-Betriebssysteme. Es ermöglicht die gleichmäßige und einheitliche Verwaltung, Steuerung und Überwachung von Systemen in Ihrem gesamten Unternehmen. WMI ermöglicht Systemadministratoren, Konfigurationseinstellungen auf Desktop- und Serversystemen, in Anwendungen, Netzwerken und anderen Unternehmenskomponenten abzufragen, zu ändern und zu überwachen. Weitere Informationen finden Sie in WMI-Scripting Primer.

Was ist das NetworkService-Konto?  
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel Network Service-Konto.

Was ist das LocalService-Konto?  
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?  
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?  
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

• Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
• ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?  
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Welche WMI-Provider sind von diesem Update betroffen?
Eine vollständige Liste der WMI-Provider, die von diesem betroffen sind, finden Sie im Microsoft Knowledge Base-Artikel 956572.

Welche zusätzlichen Anwendungen können von dieser Sicherheitsanfälligkeit betroffen sein?  
Systeme, die einen Prozess mit SeImpersonatePrivilege-Berechtigung ausführen, der von Benutzern bereitgestellten Code lädt und ausführt, können für einen Angriff bezüglich der Erhöhung von Berechtigungen anfällig sein, wie er in diesem Security Bulletin beschrieben wird. Die SeImpersonatePrivilege-Einstellung ist in Microsoft Knowledge Base-Artikel 821546 beschrieben.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code, der Zugriff auf Ressourcen in Prozessen erlangen kann, die auch als NetworkService oder LocalService ausgeführt werden, im Kontext von NetworkService- oder LocalService-Konten ausführen. Einige dieser Prozesse verfügen u. U. über die Möglichkeit, ihre Berechtigungen auf „LocalSystem“ zu erhöhen, sodass ein beliebiger NetworkService- oder LocalService-Prozess seine Berechtigungen ebenfalls auf „LocalSystem“ erhöhen kann. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zuerst einen angemeldeten Benutzer dazu verleiten, Code auf dem System auszuführen. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen unterstützte Editionen von Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 ausgeführt werden, sowie alle unterstützten Versionen und Editionen von Windows Server 2003, Windows Vista und Windows Server 2008, können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit durch ordnungsgemäße Isolierung von WMI-Providern, um sicherzustellen, dass sie auf sichere Weise aufgerufen werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2009-0078 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

  Führen Sie die folgenden Schritte durch:

  1. Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
  2. Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
  3. Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

  Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
  3. Doppelklicken Sie auf Dienste.
  4. Doppelklicken Sie auf Distributed Transaction Coordinator.
  5. Klicken Sie in der Liste Starttyp auf Deaktiviert.
  6. Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

  Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

• IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.
  1. Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
  2. Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
  3. Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

  Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

• IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.
  1. Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.
  2. Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit LocalSystem-Berechtigungen ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass der RPCSS-Dienst Prozesse, die unter NetworkService- oder LocalService-Konten ausgeführt werden, nicht richtig isoliert.

Was ist RPC?  
RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.

Was ist das NetworkService-Konto?  
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel Network Service-Konto.

Was ist das LocalService-Konto?  
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?  
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?  
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

• Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
• ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?  
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Welche zusätzlichen Anwendungen können von dieser Sicherheitsanfälligkeit betroffen sein?  
Systeme, die einen Prozess mit SeImpersonatePrivilege-Berechtigung ausführen, der von Benutzern bereitgestellten Code lädt und ausführt, können für einen Angriff bezüglich der Erhöhung von Berechtigungen anfällig sein, wie er in diesem Security Bulletin beschrieben wird. Die SeImpersonatePrivilege-Einstellung ist in Microsoft Knowledge Base-Artikel 821546 beschrieben.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code, der Zugriff auf Ressourcen in Prozessen erlangen kann, die auch als NetworkService oder LocalService ausgeführt werden, im Kontext von NetworkService- oder LocalService-Konten ausführen. Einige dieser Prozesse verfügen u. U. über die Möglichkeit, ihre Berechtigungen auf „LocalSystem“ zu erhöhen, sodass ein beliebiger NetworkService- oder LocalService-Prozess seine Berechtigungen ebenfalls auf „LocalSystem“ erhöhen kann. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 ausgeführt wird, sowie alle unterstützten Versionen und Editionen von Windows Server 2003 können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit durch ordnungsgemäßes Isolieren von Prozessen, die unter NetworkService- oder LocalService-Konten ausgeführt werden.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2009-0079 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Der Angreifer muss Code auf dem lokalen Computer ausführen können, um diese Sicherheitsanfälligkeit auszunutzen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der LocalSystem-Dienst erlangen.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• IIS 6.0: Konfigurieren Sie eine Arbeitsprozessidentität (WPI) für einen Anwendungspool in IIS, um in IIS-Manager ein erstelltes Konto zu verwenden und MSDTC zu deaktivieren.

  Führen Sie die folgenden Schritte durch:

  1. Erweitern Sie in IIS-Manager den lokalen Computer und dann Anwendungspools. Klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie Eigenschaften aus.
  2. Klicken Sie auf die Registerkarte Identität und dann auf Konfigurierbar. Geben Sie in die Felder Benutzername und Kennwort den Benutzernamen und das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
  3. Fügen Sie das ausgewählte Benutzerkonto der Gruppe IIS_WPG hinzu.

  Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz des betroffenen Systems vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um Distributed Transaction Coordinator zu deaktivieren:

  1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung. Oder klicken Sie auf Zur klassischen Ansicht wechseln, und doppelklicken Sie dann auf Verwaltung.
  3. Doppelklicken Sie auf Dienste.
  4. Doppelklicken Sie auf Distributed Transaction Coordinator.
  5. Klicken Sie in der Liste Starttyp auf Deaktiviert.
  6. Klicken Sie auf Beenden (wenn gestartet) und dann auf OK.

  Sie können den MSDTC-Dienst auch beenden und deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein. Ein Beispiel ist die Windows-Authentifizierung, siehe Microsoft Knowledge Base-Artikel 871179. Durch das Deaktivieren von MSDTC werden Anwendungen daran gehindert, verteilte Transaktionen zu verwenden. Durch das Deaktivieren von MSDTC wird IIS 5.1 an der Ausführung in Windows XP Professional Service Pack 2 und Windows XP Professional Service Pack 3 gehindert und IIS 6.0 an der Ausführung im Kompatibilitätsmodus von IIS 5.0. Durch das Deaktivieren MSDTC wird sowohl die Konfiguration als auch das Ausführen von COM+-Anwendungen verhindert.

• IIS 7.0: Geben Sie eine WPI für einen Anwendungspool in IIS-Manager an.
  1. Erweitern Sie in IIS-Manager den Serverknoten, klicken Sie auf Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool dann auf Erweiterte Einstellungen
  2. Suchen Sie nach dem Eintrag Identität und klicken Sie auf die Schaltfläche …, um das Dialogfeld Identität des Anwendungspools zu öffnen.
  3. Wählen Sie die Option Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen, um das Dialogfeld Anmeldeinformation festlegen zu öffnen. Geben Sie den ausgewählten Kontonamen und das Kennwort in die Felder „Benutzername“ und „Kennwort“ ein. Geben Sie das Kennwort im Textfeld Kennwort bestätigen erneut ein, und klicken Sie dann auf OK.

  Hinweis: Anwendungspoolidentitäten werden dynamisch der Gruppe IIS_WPG in IIS7 hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

• IIS 7.0: Geben Sie mit dem Befehlszeilenprogramm APPCMD.exe eine WPI für einen Anwendungspool an.
  1. Wechseln Sie an einer erhöhten Eingabeaufforderung in das Verzeichnis %systemroot%\system32\inetsrv.
  2. Führen Sie den Befehl APPCMD.exe unter Verwendung der folgenden Syntax aus, in der string der Name des Anwendungspools ist, userName:string der Benutzername des Kontos, das dem Anwendungspool zugewiesen wird, und password:string das Kennwort für das Konto.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Hinweis: Anwendungspoolidentitäten werden der Gruppe IIS_WPG in IIS 7.0 dynamisch hinzugefügt und müssen nicht manuell hinzugefügt werden.

  Auswirkung der Problemumgehung: Das Verwalten der zusätzlichen Benutzerkonten, die in dieser Problemumgehung erstellt wurden, führt zu erhöhtem Verwaltungsaufwand. Je nach den in diesem Anwendungspool ausgeführten Anwendungen kann die Anwendungsfunktionalität betroffen sein.

Worin genau besteht diese Sicherheitsanfälligkeit?  
Diese Sicherheitsanfälligkeit kann für eine lokale Erhöhung von Berechtigungen ausgenutzt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code mit LocalSystem-Berechtigungen ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?  
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass Windows falsche Zugriffssteuerungslisten (ACLs) auf Threads im aktuellen ThreadPool platziert.

Was ist die Windows-ThreadPool-Klasse?  
Die Windows-ThreadPool-Klasse stellt einen Pool von Threads bereit, der verwendet werden kann, um Arbeitselemente, prozessasynchrone E/A, Wartevorgänge aufgrund anderer Threads und Prozesszeitgeber zu erstellen. Viele Anwendungen erstellen Threads, die sehr viel Zeit im Standbymodus verbringen und darauf warten, dass ein Ereignis auftritt. Andere Threads können in den Standbymodus übergehen und nur regelmäßig zum Abrufen einer Änderung oder Aktualisieren von Statusinformationen aktiviert werden. Mithilfe von Threadpools können Sie Threads effizienter verwenden, indem für Ihre Anwendung ein Pool von Arbeitsthreads bereitgestellt wird, die vom System verwaltet werden. Ein Thread überwacht den Status mehrerer Wartevorgänge, die sich in der Warteschlange des Threadpools befinden. Wenn ein Wartevorgang abschlossen wird, führt ein Arbeitsthread vom Threadpool die entsprechende Rückruffunktion aus. Weitere Informationen finden Sie in dem MSDN-Artikel ThreadPool-Klasse.

Was ist eine Zugriffssteuerungsliste (ACL)?  
Eine Zugriffssteuerungsliste (ACL) ist eine Liste mit Sicherheitsschutzmaßnahmen, die auf ein Objekt angewendet werden. Ein Objekt kann eine Datei, ein Prozess, ein Ereignis oder etwas anderes mit einer Sicherheitsbeschreibung sein. Ein Eintrag in einer ACL ist ein Zugriffssteuerungseintrag (ACE). Es gibt zwei Arten von Zugriffssteuerungslisten: die freigegebene Zugriffssteuerungsliste und die Systemzugriffssteuerungsliste. Jeder ACE in einer ACL identifiziert Zugriffsrechte, die gewährt, verweigert oder für den Vertrauensnehmer überwacht werden. Weitere Informationen finden Sie in dem MSDN-Artikel Zugriffssteuerungslisten.

Was ist das NetworkService-Konto?  
Das NetworkService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer auf dem Netzwerk. Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, zeigt Remoteservern die Anmeldeinformationen des Computers an. Weitere Informationen finden Sie in dem MSDN-Artikel Network Service-Konto.

Was ist das LocalService-Konto?  
Das LocalService-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen auf dem Netzwerk an. Weitere Informationen finden Sie in dem MSDN Artikel LocalService-Konto.

Was ist das LocalSystem-Konto?  
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie ist IIS von diesem Problem betroffen?  
Systeme, die von Benutzern bereitgestellten Code in Internet Information Services (IIS) ausführen, können betroffen sein. Zum Beispiel können ISAPI-Filter und -Erweiterungen sowie ASP.NET-Code, der als voll vertrauenswürdig ausgeführt wird, von dieser Sicherheitsanfälligkeit betroffen sein.

IIS ist in den folgenden Szenarien nicht betroffen:

• Standardinstallationen von IIS 5.1, IIS 6.0 und IIS 7.0
• ASP.NET, das auf eine niedrigere Vertrauensebene als „Volles Vertrauen“ konfiguriert ist.

Wie ist SQL Server von diesem Problem betroffen?  
Systeme, die SQL Server ausführen, können betroffen sein, wenn einem Benutzer Administratorrechte zum Laden und Ausführen von Code gewährt werden. Ein Benutzer mit SQL Server-Administratorberechtigungen kann speziell gestalteten Code ausführen, um diese Angriffsmethode auszunutzen. Diese Berechtigung wird jedoch nicht standardmäßig gewährt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann speziell gestalteten Code, der Zugriff auf Ressourcen in Prozessen erlangen kann, die auch als NetworkService oder LocalService ausgeführt werden, im Kontext von NetworkService- oder LocalService-Konten ausführen. Einige dieser Prozesse verfügen u. U. über die Möglichkeit, ihre Berechtigungen auf „LocalSystem“ zu erhöhen, sodass ein beliebiger NetworkService- oder LocalService-Prozess seine Berechtigungen ebenfalls auf „LocalSystem“ erhöhen kann. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zuerst am System anmelden. Ein Angreifer kann dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise vollständige Kontrolle über ein betroffenes System übernehmen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?  
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Bei Servern ist das Risiko größer, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Alle Systeme, auf denen die unterstützten Editionen von Windows Vista und Windows Server 2008 ausgeführt werden, können gefährdet sein, wenn IIS aktiviert oder SQL Server installiert ist und in einem anfälligen Zustand bereitgestellt oder konfiguriert wird, wie er in diesem Bulletin beschrieben wird.

Außerdem sind IIS-Systeme, die Benutzern das Hochladen von Code ermöglichen, besonders gefährdet. Systeme mit SQL Server sind gefährdet, wenn nicht vertrauenswürdigen Benutzern Zugriff auf privilegierte Konten gewährt wird. Dies kann Webhostinganbieter oder ähnliche Umgebungen umfassen.

Was bewirkt das Update?  
Das Update behebt die Sicherheitsanfälligkeit durch Korrektur der ACLs auf dem Thread innerhalb des Threadpools.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?  
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2009-0080 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?  
Ja. Microsoft ist sich gezielter Angriffe bewusst, bei denen versucht wird, die Sicherheitsanfälligkeit auszunutzen.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Hinweis Für unterstützte Versionen von Windows XP Professional x64 Edition ist dieses Sicherheitsupdate identisch mit unterstützten Versionen des Sicherheitsupdates für Windows Server 2003 x64 Edition.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.