Microsoft Security Bulletin MS16-017 - Wichtig

  • Artikel

Sicherheitsupdate für Remotedesktopanzeigetreiber zur Adressierung der Rechteerweiterung (3134700)

Veröffentlicht: 9. Februar 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit könnte die Rechteerweiterung ermöglichen, wenn sich ein authentifizierter Angreifer mit RDP beim Zielsystem anmeldet und speziell gestaltete Daten über die Verbindung sendet. Standardmäßig ist RDP auf keinem Windows-Betriebssystem aktiviert. Systeme, für die rdP nicht aktiviert ist, sind nicht gefährdet.

Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Windows 7, Windows Server 2012, Window 8.1, Windows Server 2012 R2 und Windows 10 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verarbeitet. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3134700.

 

Schweregradbewertungen betroffener Software und Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Februar-Bulletinzusammenfassung den Exploitability Index.

 

Betriebssystem Sicherheitsanfälligkeit in Remotedesktopprotokoll (RDP) – CVE-2016-0036 Ersetzte Updates*
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 (3126446)[1] Wichtige Rechteerweiterung 3069762 in MS15-067
Windows 7 für x64-basierte Systeme Service Pack 1 (3126446)[1] Wichtige Rechteerweiterung 3069762 in MS15-067
Windows 8.1
Windows 8.1 für 32-Bit-Systeme (3126446) Wichtige Rechteerweiterung 3035017 in MS15-030
Windows 8.1 für x64-basierte Systeme (3126446) Wichtige Rechteerweiterung 3035017 in MS15-030
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (3126446) Wichtige Rechteerweiterung 3067904 in MS15-067
Windows Server 2012 R2 (3126446) Wichtige Rechteerweiterung 3035017 in MS15-030
Windows 10
Windows 10 für 32-Bit-Systeme[2](3135174) Wichtige Rechteerweiterung 3124266
Windows 10 für x64-basierte Systeme[2](3135174) Wichtige Rechteerweiterung 3124266
Server Core-Installationsoption
Windows Server 2012 (Server Core-Installation) (3126446) Wichtige Rechteerweiterung 3067904 in MS15-067
Windows Server 2012 R2 (Server Core-Installation) (3126446) Wichtige Rechteerweiterung 3035017 in MS15-030

[1]Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Updates.

[2]Windows 10-Updates sind kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthalten sie auch alle Sicherheitsupdates für alle windows 10-betroffenen Sicherheitsrisiken, die mit der monatlichen Sicherheitsversion bereitgestellt werden. Das Update ist über den Windows Update-Katalog verfügbar.

*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").

Häufig gestellte Fragen zum Aktualisieren

Welche Editionen von Windows 7 sind betroffen?
Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Für Kunden, die RDP 8.0 auf lokalen Systemen ausführen, die die neuen serverseitigen Features in RDP 8.0 nicht benötigen, empfiehlt Microsoft ein Upgrade auf RDP 8.1 und empfiehlt, das 3126446 Update nicht anzuwenden (oder zu entfernen).

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Remotedesktopprotokoll (RDP) – CVE-2016-0036

In Remotedesktopprotokoll (RDP) ist eine Sicherheitslücke mit erhöhten Rechten vorhanden, wenn sich ein Angreifer mithilfe von RDP beim Zielsystem anmeldet und speziell gestaltete Daten über die authentifizierte Verbindung sendet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann Code mit erhöhten Berechtigungen ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zunächst mithilfe des Remotedesktopprotokolls (RDP) beim Zielsystem anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die entwickelt wurde, um die Absturzbedingung zu erstellen, die zu erhöhten Berechtigungen führt. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich offengelegt Genutzt
Remotedesktopprotokoll (RDP) – Sicherheitsrisiko bei der Erhöhung von Berechtigungen CVE-2016-0036 No No

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

  • RDP deaktivieren

    So deaktivieren Sie RDP mithilfe von Gruppenrichtlinien

    1. Öffnen der Gruppenrichtlinie

    2. Doppelklicken Sie in "Computerkonfiguration", "Administrative Vorlagen", "Windows-Komponenten", "Terminaldienste" auf die Option "Verbindungen per Remoteverbindung mithilfe der Terminaldienste"-Einstellung.

    3. Führen Sie eines der folgenden Verfahren aus:

      • Um Remotedesktop zu aktivieren, klicken Sie auf "Aktiviert".
      • Zum Deaktivieren des Remotedesktops klicken Sie auf "Deaktiviert".

      Wenn Sie Remotedesktop deaktivieren, während Benutzer mit den Zielcomputern verbunden sind, Standard ihre aktuellen Verbindungen beibehalten, aber keine neuen eingehenden Verbindungen akzeptieren.

    Wichtig , wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote beim Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können sollen, und sie dann manuell zur Gruppe "Remotedesktopbenutzer" hinzufügen. Weitere Informationen finden Sie unter Aktivieren der Remoteverbindung zwischen Benutzern und Hinzufügen von Benutzern zur Gruppe "Remotedesktopbenutzer".

    Sie sollten alle Änderungen, die Sie an den Gruppenrichtlinieneinstellungen vornehmen, gründlich testen, bevor Sie sie auf Benutzer oder Computer anwenden. Weitere Informationen zum Testen von Richtlinieneinstellungen finden Sie unter "Resultsant Set of Policy".

    Hinweis:

    • Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen. Als Best Practice für die Sicherheit sollten Sie dieses Verfahren über Ausführen als ausführen.
    • Verwenden Sie das obige Verfahren, um das lokale Gruppenrichtlinienobjekt zu konfigurieren. Um eine Richtlinie für eine Do Standard oder eine Organisationseinheit zu ändern, müssen Sie sich bei der primären Do Standard controller als Administrator anmelden. Anschließend müssen Sie die Gruppenrichtlinie mithilfe des Active Directory-Benutzer und -Computer-Snap-Ins starten.
    • Wenn die Gruppenrichtlinieneinstellung "Remoteverbindungen zulassen" für Benutzer mithilfe der Gruppenrichtlinieneinstellung "Terminaldienste " auf "Nicht konfiguriert" festgelegt ist, hat die Einstellung "Remotedesktop auf diesem Computer aktivieren" (auf der Registerkarte "Remote " des Dialogfelds "Systemeigenschaften ") auf den Zielcomputern Vorrang. Andernfalls hat die Gruppenrichtlinieneinstellung "Remoteverbindung über Terminaldienste " die Möglichkeit, eine Remoteverbindung herzustellen.
    • Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als wären sie in der Konsole sitzen. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
    • Sie sollten alle Benutzer benötigen, die Remoteverbindungen herstellen, um ein sicheres Kennwort zu verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
    • Remotedesktop ist in Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.

     So deaktivieren Sie RDP mithilfe von Systemeigenschaften

    1. Öffnen Sie das System in Systemsteuerung.
    2. Aktivieren oder deaktivieren Sie auf der Registerkarte "Remote " das Kontrollkästchen "Remotedesktop aktivieren" auf diesem Computer , und klicken Sie dann auf "OK".

    Wichtig , wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote beim Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können sollen, und sie dann manuell zur Gruppe "Remotedesktopbenutzer" hinzufügen. Weitere Informationen finden Sie unter Aktivieren der Remoteverbindung zwischen Benutzern und Hinzufügen von Benutzern zur Gruppe "Remotedesktopbenutzer".

    Hinweis:

    • Sie müssen als Mitglied der Gruppe "Administratoren" angemeldet sein, um Remotedesktop zu aktivieren oder zu deaktivieren.
    • Um ein Systemsteuerung Element zu öffnen, klicken Sie auf "Start", klicken Sie auf Systemsteuerung, und doppelklicken Sie dann auf das entsprechende Symbol.
    • Jeder Konfigurationssatz mit Gruppenrichtlinien setzt die konfiguration außer Kraft, die mithilfe von Systemeigenschaften festgelegt wird, wie in diesem Verfahren beschrieben.
    • Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als wären sie in der Konsole sitzen. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
    • Sie sollten alle Benutzer benötigen, die Remoteverbindungen herstellen, um ein sicheres Kennwort zu verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
    • Remotedesktop ist in Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.

Häufig gestellte Fragen

Ist der Remotedesktop standardmäßig aktiviert? 
Nein, RDP für die Verwaltung ist standardmäßig nicht aktiviert. Kunden, die RDP nicht aktiviert haben, werden dieses Update jedoch weiterhin angeboten, um den Schutz ihrer Systeme zu gewährleisten. Weitere Informationen zu dieser Konfigurationseinstellung finden Sie im TechNet-Artikel zum Aktivieren und Konfigurieren von Remotedesktop für die Verwaltung in Windows Server 2003. Beachten Sie, dass dieser Artikel auch für spätere Versionen von Microsoft Windows gilt.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. Februar 2016): Bulletin veröffentlicht.

Seite generiert 2016-02-03 13:33-08:00.