Microsoft-beveiligingsbulletin MS11-039 - Kritiek

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
• Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus beperkt dit beveiligingslek alleen op Windows Server 2008 en Windows Server 2008 R2 en alleen in het geval van een aanval via het web. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker of ASP.NET-account. Gebruikers of accounts waarvoor minder bevoegdheden op het systeem zijn ingesteld, lopen minder risico dan gebruikers of accounts die met beheerdersbevoegdheden werken.
• In geval van webhosting moet een aanvaller de rechten hebben om willekeurige ASP.NET-pagina's te uploaden naar een website, en op die webserver moet ASP.NET zijn geïnstalleerd. In een standaardconfiguratie kan een anonieme gebruiker geen Microsoft .NET-code uploaden en uitvoeren op een Internet Information Server (IIS).

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

• Gedeeltelijk vertrouwde Microsoft .NET-toepassingen uitschakelen

  Om alle gedeeltelijk vertrouwde Microsoft .NET-toepassingen uit te schakelen, inclusief XAML-browsertoepassingen (XBAPs) en Microsoft .NET-toepassingen op het netwerk, voert u de volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

  caspol –pp off
caspol –m –resetlockdown
caspol –pp on

  Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing in te stellen.

  Gevolgen van de tijdelijke oplossing. Microsoft .NET-toepassingen kunnen niet worden uitgevoerd.

  De tijdelijke oplossing ongedaan maken.

  Om de standaardinstellingen voor het beveiligingsbeleid voor Microsoft .NET te herstellen, voert u volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden:

  caspol –pp off
caspol –m –reset
caspol –pp on

  Opmerking U moet als beheerder zijn aangemeld of beheerdersrechten hebben om deze tijdelijke oplossing ongedaan te maken.

• XAML-browsertoepassingen uitschakelen in Internet Explorer

  U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door bepaalde instellingen te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat XAML-browsertoepassingen (XBAP's) worden uitgevoerd of door XBAP's uit te schakelen in de beveiligingszones Internet en Lokaal intranet.

  1. Klik in Internet Explorer op het menu Extra en selecteer Internetopties.
  2. Klik op het tabblad Beveiliging, klik op Internet en vervolgens op Standaardniveau. Klik onder Instellingen bij Losse XAML op Vragen of Uitschakelen en klik dan op OK.
  3. Klik op het tabblad Beveiliging, klik op Internet en vervolgens op Standaardniveau. Klik onder Instellingen bij XAML-browsertoepassingen op Vragen of Uitschakelen en klik dan op OK.
  4. Klik op het tabblad Beveiliging, klik op Internet en vervolgens op Standaardniveau. Klik onder Instellingen bij XPS-documenten op Vragen of Uitschakelen en klik dan op OK.
  5. Klik op het tabblad Beveiliging op Aangepast niveau. Stel onder Van .NET Framework afhankelijke onderdelen de optie Onderdelen uitvoeren die niet zijn ondertekend met Authenticode in op Vragen of Uitschakelen en klik dan op OK. Herhaal deze stap voor Onderdelen uitvoeren die zijn ondertekend met Authenticode en klik vervolgens op OK.
  6. Klik op Lokaal intranet en klik op Aangepast niveau. Herhaal de stappen 3 en 4. Klik op Ja als u wordt gevraagd of u de gewijzigde instellingen wilt bevestigen. Klik OK om terug te gaan naar Internet Explorer.

  Gevolgen van de tijdelijke oplossing. Microsoft .NET-code wordt niet uitgevoerd in Internet Explorer of wordt niet uitgevoerd zonder een waarschuwing. Als u Microsoft .NET-toepassingen en -componenten uitschakelt in de beveiligingszones Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

  De tijdelijke oplossing ongedaan maken. Voer de volgende stappen uit:

  1. Klik in Internet Explorer op het menu Extra en selecteer Internetopties.
  2. Klik op het tabblad Beveiliging, klik op Alle zones op het standaardniveau instellen en klik vervolgens op OK.
• De uitvoering van het ActiveX-besturingselement van Microsoft Silverlight in Internet Explorer tijdelijk voorkomen (methode 1)

  U kunt zorgen voor extra bescherming tegen misbruik van dit beveiligingslek door pogingen om het ActiveX-besturingselement voor Silverlight in Internet Explorer te starten, tijdelijk te verhinderen door de kill-bit voor het besturingselement in te stellen.

  Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

  Het wordt aangeraden een back-up van het register te maken voor u het register gaat bewerken.

  Gebruik de volgende tekst om een REG-bestand te maken waarmee u pogingen om het ActiveX-besturingselement van Silverlight in Internet Explorer te starten, tijdelijk belemmert. U kunt de volgende tekst in een teksteditor zoals Notepad plakken en het vervolgens in een bestand met de extensie .reg opslaan. Voer het REG-bestand uit op de client waarvoor dit probleem geldt.

  Windows Registry-editor versie 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]
"Compatibility Flags"=dword:00000400

  Sluit en open Internet Explorer om de wijzigingen door te voeren.

  Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat het ActiveX-besturingselement van Silverlight in Internet Explorer wordt uitgevoerd.

  Gevolgen van de tijdelijke oplossing. Toepassingen en websites waarvoor het ActiveX-besturingselement van Microsoft Silverlight een vereiste is, werken mogelijk niet langer correct. Als u deze tijdelijke oplossing implementeert, wordt het ActiveX-besturingselement van Silverlight beïnvloed dat u op uw systeem hebt geïnstalleerd.

  De tijdelijke oplossing ongedaan maken. Verwijder de registersleutels die u hebt toegevoegd om pogingen om het Silverlight ActiveX-besturingselement in Internet Explorer te starten, tijdelijk belemmeren.

• De uitvoering van het ActiveX-besturingselement van Microsoft Silverlight in Firefox of Chrome tijdelijk voorkomen

  Ga als volgt te werk om de registersleutel te wijzigen om Microsoft Silverlight uit te schakelen:

  Opmerking Onjuist gebruik van de Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortkomen uit een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

  • De interactieve methode gebruiken
    1. Klik achtereenvolgens op Start en Uitvoeren, typ Regedit in het vak Openen en klik op OK.
    2. Zoek de volgende subsleutel in het register op en klik erop:
       
       HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0
    3. Klik met de rechtermuisknop op @Microsoft.com/NpCtrl,version=1.0 en selecteer Exporteren. Sla het bestand op schijf op.
    4. Verwijder de volledige sleutel @Microsoft.com/NpCtrl,version=1.0.
    5. Sluit de Register-editor.
  • Een registerbestand gebruiken
    1. Maak een back-up van de registersleutels. U kunt een back-up maken via een script voor beheerde implementatie met de volgende opdracht:
       
       Regedit.exe /e SL_backup.reg HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0
    2. Sla de volgende gegevens op in een bestand met de extensie .REG, bijvoorbeeld Disable_Silverlight.reg:
       
       Windows Registry-editor versie 5.00
       [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0]
    3. Voer het registerscript dat u in stap 2 hebt gemaakt uit op het doelsysteem met de volgende opdracht:
       Regedit /s Disable_Silverlight.reg

  De tijdelijke oplossing ongedaan maken.

  • De interactieve methode gebruiken
    1. Klik achtereenvolgens op Start en Uitvoeren, typ Regedit in het vak Openen en klik op OK.
    2. Klik in het menu Bestand op Importeren.
    3. Selecteer in Zoeken in het station, de map of de netwerkcomputer waar het bestand zich bevindt dat u eerder hebt geëxporteerd.
    4. Selecteer de juiste bestandsnaam en klik dan op Openen.
  • Een script voor beheerde implementatie gebruiken

    Herstel het bestand waarvan u een back-up hebt gemaakt in stap 1 van Een registerbestand gebruiken hierboven met de volgende opdracht:
    
    Regedit /s SL_backup.reg

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Waardoor wordt het beveiligingslek veroorzaakt? 
Het beveiligingslek wordt veroorzaakt wanneer .NET Framework en Microsoft Silverlight argumenten die worden doorgegeven aan ingebouwde netwerkfuncties onjuist valideren.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
In een scenario met webbrowsing kan een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, dezelfde rechten over het systeem krijgen als de momenteel aangemelde gebruiker. Als er een gebruiker met beheerdersrechten is aangemeld, kan een aanvaller volledige controle krijgen over het systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In een scenario met webhosting kan een aanvaller die misbruik weet te maken van dit beveiligingslek dezelfde rechten krijgen als de serviceaccount die is gekoppeld aan de identiteit van de toepassingsgroep waaronder een Microsoft .NET-toepassing wordt uitgevoerd. Afhankelijk van de wijze waarop de toepassingsgroep is geïsoleerd en de aan het serviceaccount toegewezen rechten, kan een aanvaller andere toepassingsgroepen op de webserver of zelfs het gehele getroffen systeem overnemen. Zie het TechNet-artikel Configure Application Pool Identity voor meer informatie over identiteiten van toepassingsgroepen en configuratie.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Er zijn drie scenario's mogelijk voor misbruik van dit beveiligingslek: Een scenario met webbrowsing, een scenario met webhosting en een scenario waarbij de CAS-beperkingen van een Windows .NET-toepassing worden omzeild. Deze scenario's zijn als volgt beschreven:

• Scenario met webbrowsing
  Een aanvaller kan beschikken over een speciaal vervaardigde website met daarop een speciaal vervaardigde XBAP (XAML-browsertoepassing) waarmee misbruik kan worden gemaakt van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.
• Scenario met webhosting
  Als gebruikers in een webhosting-omgeving aangepaste ASP.NET-toepassingen kunnen uploaden, kan een aanvaller een schadelijke ASP.NET-toepassing uploaden die zich via misbruik van dit beveiligingslek kan losmaken van de afgeschermde omgeving waarmee wordt voorkomen dat ASP.NET-code schadelijke handelingen kan verrichten op het serversysteem.
• Windows .NET-toepassingen
  Dit beveiligingslek zou ook door Windows .NET-toepassingen kunnen worden gebruikt om CAS-beperkingen (Code Access Security) te omzeilen.

Wat is een XAML-browsertoepassing (XBAP)? 
Een XAML-browsertoepassing (XBAP) combineert functies van zowel een webtoepassing als een rich-client-toepassing. Net als webtoepassingen kunnen XBAP's worden gepubliceerd op een webserver en worden gestart via Internet Explorer. Net als rich-client-toepassingen kunnen XBAP's gebruik maken van de mogelijkheden van Windows Presentation Foundation (WPF). Zie het MSDN-artikel Windows Presentation Foundation XAML Browser Applications Overview voor meer informatie over XBAP's.

Wat zijn .NET Framework CAS-beperkingen (Code Access Security)? 
Het .NET Framework beschikt over een beveiligingsmechanisme met de naam Code Access Security (CAS) dat computersystemen beter beschermt tegen schadelijke mobiele code, waarmee code van onbekende oorsprongen wordt uitgevoerd met beveiliging en dat voorkomt dat vertrouwde code opzettelijk of per ongeluk de beveiliging in gevaar brengt. Met Code Access Security (CAS) kan code in verschillende maten worden vertrouwd, afhankelijk van waar de code vandaan komt en van andere aspecten van de identiteit van de code. Code Access Security (CAS) dwingt ook de verschillende vertrouwensniveaus voor code af, zodat de hoeveelheid code wordt geminimaliseerd die volledig vertrouwd moet zijn opdat de code kan worden uitgevoerd. Het gebruik van Code Access Security (CAS) vermindert de waarschijnlijkheid dat uw code wordt misbruikt door schadelijke of foutieve code. Zie het MSDN-artikel Code Access Security voor meer informatie over CAS.

Wat is Microsoft Silverlight? 
Microsoft Silverlight cross-over browserinvoegtoepassing van het Microsoft .NET Framework voor het weergeven van media en interactieve toepassingen voor het web. Zie de officiële website van Microsoft Silverlight voor meer informatie.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Dit beveiligingslek vormt een risico voor drie soorten systemen. Deze worden als volgt beschreven: systemen met het webbrowsing scenario, systemen met het webhosting scenario en systemen met het Windows .NET-toepassingsscenario.

• Scenario met webbrowsing
  Voor een geslaagd misbruik van dit beveiligingslek moet een gebruiker zich hebben aangemeld en websites bezoeken met een webbrowser waarmee XBAP's kunnen worden gestart. Daarom is het risico het grootst voor computers waarop een webbrowser regelmatig wordt gebruikt, zoals werkstations en terminalservers. Servers lopen meer risico als beheerders gebruikers toestaan op de servers te bladeren en e-mail te lezen. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.
• Scenario met webhosting
  Hostingsites waarop gebruikers eigen ASP.NET-toepassingen kunen uploaden, lopen een groter risico.
• Windows .NET-toepassingen
  Ook werkstations en servers die niet-vertrouwde Windows .NET-toepassingen uitvoeren, zijn kwetsbaar voor dit beveiligingslek.

Ik heb Internet Explorer voor Windows Server 2008 of Windows Server 2008 R2. Betekent dit dat het beveiligingslek minder problemen oplevert? 
Ja. Standaard wordt Internet Explorer op Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd.

Wat doet de update? 
De update lost het beveiligingslek op doordat de manier wordt verbeterd waarop .NET Framework waarden die worden doorgegeven aan vertrouwde API's valideert.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Opmerking Voor ondersteunde versies van Windows XP Professional x64 Edition is deze beveiligingsupdate dezelfde als die voor ondersteunde versies van Windows Server 2003 x64 Edition.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.