Microsoft Security Bulletin MS12-012 - Hoch

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

• Damit ein Angriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Speicherort eines Remotedateisystems oder eine WebDAV-Freigabe besuchen und eine gültige Datei (z. B. eine ICM- oder ICC-Datei) öffnen.
• Oft ist das Dateifreigabeprotokoll SMB (Server Message Block) in der Umkreisfirewall deaktiviert. Dadurch werden potenzielle Angriffsmethoden für diese Sicherheitsanfälligkeit eingeschränkt.
• Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt:

• Installieren von Desktopdarstellung unter Windows Server 2008 und Windows Server 2008 R2

  Systeme, auf denen die Funktion Desktopdarstellung installiert ist, sind nicht von dieser Sicherheitsanfälligkeit betroffen.

  Weitere Informationen einschließlich Anweisungen zum Installieren und Entfernen der Desktopdarstellung finden Sie im TechNet-Artikel Desktopdarstellung: Überblick.

• Deaktivieren des Ladens von Bibliotheken von WebDAV und Remotenetzwerkfreigaben

  Hinweis: Siehe Microsoft Knowledge Base-Artikel 2264107 zur Bereitstellung eines Problemumgehungstools, das Benutzern ermöglicht, das Laden von Bibliotheken von Remotenetzwerk- oder WebDAV-Freigaben zu deaktivieren. Dieses Tool kann so konfiguriert werden, dass das nicht sichere Laden pro Anwendung oder für das gesamte System nicht zulässig ist.

  Benutzer, die von ihrem Lieferanten über eine anfällige Anwendung informiert werden, können sich mit diesem Tool gegen Versuche schützen, dieses Problem auszunutzen.

  Hinweis: Siehe Microsoft Knowledge Base-Artikel 2264107 zur Verwendung der automatisierten Microsoft Fix it-Lösung, um den Registrierungsschlüssel bereitzustellen, der das Laden von Bibliotheken für SMB- und WebDAV-Freigaben blockiert. Beachten Sie, dass Sie für diese Fix it-Lösung zuerst das Problemumgehungstool installieren müssen, das auch im Microsoft Knowledge Base-Artikel 2264107 beschrieben wurde. Diese Fix it-Lösung stellt nur den Registrierungsschlüssel bereit und erfordert das Problemumgehungstool, um wirksam zu werden. Wir empfehlen Administratoren, den KB-Artikel sorgfältig zu lesen, bevor sie diese Fix it-Lösung bereitstellen.

• Deaktivieren des WebClient-Dienstes

  Durch das Deaktivieren des WebClient-Dienstes werden betroffene Systeme vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen, indem die wahrscheinlichste Remoteangriffsmethode durch den Client-Dienst Web Distributed Authoring and Versioning (WebDAV) blockiert wird. Nachdem diese Problemumgehung angewendet wurde, können Remoteangreifer diese Sicherheitsanfälligkeit immer noch erfolgreich ausnutzen und bewirken, dass das System Programme ausführt, die sich auf dem Computer des Benutzers oder dem lokalen Netzwerk (LAN) befinden. Benutzer werden aber dazu aufgefordert, das willkürliche Öffnen von Programmen im Internet zu bestätigen.

  Gehen Sie wie folgt vor, um den WebClient-Dienst zu deaktivieren:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie mit der rechten Maustaste auf WebClient-Dienst und wählen Sie Eigenschaften aus.
  3. Ändern Sie den Starttyp in Deaktiviert. Wenn der Dienst ausgeführt wird, klicken Sie auf Beenden.
  4. Klicken Sie auf OK, und beenden Sie die Verwaltungsanwendung.

  Auswirkung der Problemumgehung: Wenn der WebClient-Dienst deaktiviert ist, werden Web Distributed Authoring and Versioning-Anforderungen (WebDAV) nicht übertragen. Außerdem werden keine Dienste gestartet, die explizit vom WebClient-Dienst abhängen, und im Systemprotokoll wird eine Fehlermeldung verzeichnet. Zum Beispiel kann vom Clientcomputer nicht auf WebDAV-Freigaben zugegriffen werden.

  So machen Sie die Problemumgehung rückgängig.

  Gehen Sie wie folgt vor, um den WebClient-Dienst wieder zu deaktivieren:

  1. Klicken Sie auf Start, dann auf Ausführen, geben Sie Services.msc ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie mit der rechten Maustaste auf WebClient-Dienst und wählen Sie Eigenschaften aus.
  3. Ändern Sie den Starttyp in Automatisch. Wenn der Dienst nicht ausgeführt wird, klicken Sie auf Start.
  4. Klicken Sie auf OK, und beenden Sie die Verwaltungsanwendung.
• Blockieren der TCP-Ports 139 und 445 an der Firewall:

  Diese Ports werden dazu verwendet, eine Verbindung mit der betroffenen Komponente zu initiieren. Das Blockieren der TCP-Ports 139 und 445 an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Microsoft empfiehlt das Blockieren der gesamten unerwünscht eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den Ports finden Sie im TechNet-Artikel TCP- und UDP-Portzuweisungen.

  Auswirkung der Problemumgehung: Mehrere Windows-Dienste verwenden die betroffenen Ports. Durch das Blockieren der Verbindung zu den Ports funktionieren verschiedene Anwendungen oder Dienste möglicherweise nicht mehr. Einige der möglicherweise betroffenen Anwendungen und Dienste werden im Folgenden aufgeführt.

  • Anwendungen, die SMB (CIFS) verwenden
  • Anwendungen, die Mailslots oder Named Pipes (RPC über SMB) verwenden
  • Server (Datei- und Druckerfreigabe)
  • Gruppenrichtlinie
  • Anmeldedienst
  • Distributed File System (DFS)
  • Terminal Server-Lizenzierung
  • Druckwarteschlange
  • Computerbrowser
  • Remote Procedure Call Locator
  • Faxdienst
  • Indexdienst
  • Leistungsprotokolle und Warnmeldungen
  • Systems Management Server
  • Lizenzprotokollierdienst

  So machen Sie die Problemumgehung rückgängig. Aufheben der Blockierung der TCP-Ports 139 und 445 an der Firewall. Weitere Informationen zu den Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Worin genau besteht diese Sicherheitsanfälligkeit? 
Diese Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit? 
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass die Farbsystemsteuerung den Pfad falsch einschränkt, der beim Laden von externen Bibliotheken verwendet wird.

Was ist die Desktopdarstellung in Windows Server 2008? 
Es gibt einige Desktopfunktionen, z. B. die Farbsystemsteuerung, die nicht standardmäßig unter Windows Server 2008 installiert sind. Stattdessen können Sie diese alle zusammen installieren, indem Sie die Funktion Desktopdarstellung unter Windows Server 2008 installieren. Weitere Informationen finden Sie in dem TechNet-Artikel, Desktopdarstellung: Überblick.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann als angemeldeter Benutzer beliebigen Code ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann einen Benutzer dazu verleiten, eine gültige Datei (z. B. eine ICM- oder ICC-Datei) zu öffnen, die sich in dem gleichen Netzwerkverzeichnis befindet wie eine speziell gestaltete DLL-Datei (Dynamic Link Library). Beim Öffnen der gültigen Datei kann die betroffene Farbsystemsteuerung dann versuchen, die DLL-Datei zu laden und den darin enthaltenen Code auszuführen.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine gültige Datei (z. B. eine ICM- oder ICC-Datei) an einen Benutzer sendet und diesen dazu verleitet, die Dateianlage in einem Verzeichnis abzulegen, das eine speziell gestaltete DLL-Datei enthält, und danach die gültige Datei zu öffnen. Beim Öffnen der gültigen Datei kann die betroffene Farbsystemsteuerung dann versuchen, die DLL-Datei zu laden und den darin enthaltenen Code auszuführen.

In einem Netzwerkangriffsszenario kann ein Angreifer eine gültige Datei (z. B. eine ICM- oder ICC-Datei) und eine speziell gestaltete DLL-Datei auf einer Netzwerkfreigabe, einem UNC- oder WebDAV-Speicherort ablegen und den Benutzer anschließend dazu verleiten, die Datei zu öffnen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar? 
Server, bei denen erwartet werden kann, dass Benutzer Dateianlagen von nicht vertrauenswürdigen Netzwerkspeicherorten öffnen, sind hauptsächlich gefährdet.

Was bewirkt das Update? 
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Farbsystemsteuerung externe Bibliotheken lädt.

Steht diese Sicherheitsanfälligkeit in Zusammenhang mit der Microsoft-Sicherheitsempfehlung 2269637? 
Ja, diese Sicherheitsanfälligkeit steht in Zusammenhang mit der in der Microsoft-Sicherheitsempfehlung 2269637 beschriebenen Klasse von Sicherheitsanfälligkeiten, die sich darauf auswirken, wie Anwendungen externe Bibliotheken laden. Mit diesem Sicherheitsupdate wird eine besondere Instanz dieser Art von Sicherheitsanfälligkeit behoben.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt? 
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2010-5082 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde? 
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software. Sie finden zusätzliche Informationen im Unterabschnitt Informationen zur Bereitstellung in diesem Abschnitt.