Microsoft-beveiligingsbulletin MS11-085 - Belangrijk

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• Een aanval lukt alleen als een gebruiker een niet-vertrouwde externe bestandssysteemlocatie of WebDAV-locatie bezoekt en vanaf die locatie een legitiem bestand (zoals een .eml- of .wcinv-bestand) opent dat vervolgens door een kwetsbare toepassing wordt geladen.
• Het SMB-protocol (Server Message Block) voor bestandsdeling wordt dikwijls uitgeschakeld bij de omgevingsfirewall. Dit beperkt de mogelijke aanvalsvectoren voor dit beveiligingslek.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
• Op Windows Server 2008 zijn Windows Mail en Windows Meeting Space niet standaard geïnstalleerd. Windows Mail wordt alleen geïnstalleerd wanneer de Bureaubladbelevenis wordt geïnstalleerd.
• Hoewel de kwetsbare code aanwezig is in Windows 7 en Windows Server 2008 R2, is Microsoft niet op de hoogte van aanvalsvectoren waarmee het beveiligingslek kan worden misbruikt op deze besturingssystemen.

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

• Het laden van bibliotheken vanaf WebDAV en externe netwerkshares uitschakelen

  Opmerking Zie Microsoft Knowledge Base-artikel 2264107 voor het gebruik van een tijdelijke oplossing waarmee klanten het laden van bibliotheken vanaf externe netwerk- of WebDAV-shares kunnen uitschakelen. Dit hulpprogramma kan zo worden geconfigureerd dat het op onveilige wijze laden per toepassing of in het hele systeem niet is toegestaan.

  Klanten die via hun leverancier hebben vernomen dat een toepassing kwetsbaar is, kunnen zich met dit hulpprogramma beschermen tegen misbruik van dit probleem.

  Opmerking Zie Microsoft Knowledge Base-artikel 2264107 voor gebruik van de automatische Microsoft Fix it-oplossing om de registersleutel te gebruiken om het laden van bibliotheken van SMB- en WebDAV-shares uit te schakelen. Voor deze Fix it-oplossing moet u ook eerst de tijdelijke oplossing installeren die wordt beschreven in Microsoft Knowledge Base-artikel 2264107. Deze Fix it-oplossing implementeert alleen de registersleutel en werkt pas in combinatie met de tijdelijke oplossing. Wij raden beheerders aan het KB-artikel nauwkeurig door te lezen voordat ze deze Fix it-oplossing toepassen.

• De
• WebClient
• -service uitschakelen

  Het uitschakelen van de WebClient-service helpt getroffen systemen te beschermen tegen pogingen tot misbruik van dit beveiligingslek door de meest waarschijnlijke aanvalsvector via de WebDAV-clientservice (Web Distributed Authoring and Versioning) te blokkeren. Nadat u deze tijdelijke oplossing hebt toegepast, kunnen externe aanvallers die misbruik weten te maken van dit beveiligingslek nog steeds zorgen dat het systeem programma's uitvoert die zich bevinden op de computer of het LAN van de aangevallen gebruiker, maar de gebruiker wordt gevraagd zijn keuze te bevestigen voordat willekeurige programma's van internet worden geopend.

  Als u de WebClient-service wilt uitschakelen, gaat u als volgt te werk:

  1. Klik op Start en Uitvoeren, typ Services.msc in en klik vervolgens op OK.
  2. Klik met de rechtermuisknop op WebClient-service en selecteer Eigenschappen.
  3. Wijzig het opstarttype in Uitgeschakeld. Klik als de service wordt uitgevoerd op Stoppen.
  4. Klik op OK en sluit de beheertoepassing.

  Gevolgen van de tijdelijke oplossing. Als de WebClient-service is uitgeschakeld, worden WebDAV-verzoeken (Web Distributed Authoring and Versioning) niet meer doorgegeven. Daarnaast worden services die afhankelijk zijn van de WebClient-service niet gestart en wordt er een foutbericht geregistreerd in het systeemlogboek. Gedeelde WebDAV-bestanden zijn bijvoorbeeld niet toegankelijk met de clientcomputer.

  De tijdelijke oplossing ongedaan maken.

  Als u de WebClient-service wilt uitschakelen, gaat u als volgt te werk:

  1. Klik op Start en Uitvoeren, typ Services.msc in en klik vervolgens op OK.
  2. Klik met de rechtermuisknop op WebClient-service en selecteer Eigenschappen.
  3. Wijzig het opstarttype in Automatisch. Als de service niet wordt uitgevoerd, klikt u op Start.
  4. Klik op OK en sluit de beheertoepassing.
• Blokkeer TCP-poorten 139 en 445 bij de firewall

  Deze poorten worden gebruikt om een verbinding tot stand te brengen met het onderdeel waarin dit probleem optreedt. Door TCP-poort 139 en 445 op de firewall te blokkeren zorgt u ervoor dat op systemen achter deze firewall geen aanvallen kunnen worden uitgevoerd. U wordt aanbevolen alle ongewenste inkomende communicatie via internet te blokkeren om aanvallen te voorkomen waarvoor andere poorten worden gebruikt. Zie het TechNet-artikel TCP and UDP Port Assignments voor meer informatie over poorten.

  Gevolgen van de tijdelijke oplossing. Verscheidene Windows-services maken gebruik van de poorten waarvoor dit probleem geldt. Het blokkeren van de verbinding met de poorten kan ertoe leiden dat verschillende toepassingen of services niet werken. Hieronder worden enkele toepassingen of services genoemd die zijn getroffen:

  • Toepassingen die SMB (CIFS) gebruiken
  • Toepassingen die mailslots of named pipes (RPC over SMB) gebruiken
  • Servers (het delen van bestanden en printers)
  • Groepsbeleid
  • Net Logon
  • Distributed File System (DFS)
  • Terminal Server Licensing
  • Print Spooler
  • Computer Browser
  • Remote Procedure Call Locator
  • Fax Service
  • Indexing-service
  • Prestatielogboeken en signalen
  • Systems Management Server
  • License Logging-service

  De tijdelijke oplossing ongedaan maken. Hef de blokkering van TCP-poorten 139 en 445 bij de firewall op. Ga naar TCP and UDP Port Assignments voor meer informatie over poorten.

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Waardoor wordt het beveiligingslek veroorzaakt? 
Het beveiligingslek wordt veroorzaakt doordat Windows Mail en Windows Meeting Space het pad dat wordt gebruikt bij het laden van externe bibliotheken, niet goed beperken.

Wat is Windows Mail? 
Windows Mail (voorheen Outlook Express) is een on line communicatieprogramma voor gebruik in combinatie met Windows.

Wat is Windows Meeting Space? 
Met Windows Meeting Space kunt u documenten, programma's of uw bureaublad delen met mensen die Windows Vista gebruiken op hun computer. Windows Meeting Space maakt gebruik van peer-to-peertechnologie en stelt automatisch een ad-hocnetwerk in als er geen bestaand netwerk wordt gevonden. Raadpleeg de Windows Meeting Space FAQ voor meer informatie.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die misbruik weet te maken van dit beveiligingslek kan zich voordoen als de aangemelde gebruiker en zo willekeurige programmacode uitvoeren. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Als er een gebruiker met beheerdersrechten is aangemeld, kan een aanvaller volledige controle krijgen over het systeem waarin dit probleem optreedt. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Een aanvaller kan een gebruiker overhalen om een legitiem bestand (zoals een .eml- of .wcinv-bestand) te openen dat zich bevindt in dezelfde netwerkmap als een speciaal vervaardigd DLL-bestand (Dynamic Link Library). Wanneer het legitieme bestand wordt geopend, kan Windows Mail of Windows Meeting Space proberen het DLL-bestand te laden en code in dat bestand uit te voeren.

In een aanval per e-mail kan een aanvaller misbruik maken van het beveiligingslek door een legitiem bestand (zoals een .eml- of .wcinv-bestand) naar een gebruiker te sturen en de gebruiker ertoe over te halen de bijlage in een directory met een speciaal vervaardigd DLL-bestand te plaatsen en het legitieme bestand te openen. Wanneer het legitieme bestand wordt geopend, kan Windows Mail of Windows Meeting Space proberen het DLL-bestand te laden en code in dat bestand uit te voeren.

In een aanval via het netwerk kan een aanvaller een legitiem bestand (zoals een .eml- of .wcinv-bestand) en een speciaal vervaardigd DLL-bestand in een netwerkshare plaatsen, bijvoorbeeld een UNC- of WebDAV-locatie, en de gebruiker overhalen om het bestand te openen.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Dit beveiligingslek vormt het grootste risico voor systemen waarop Windows Mail of Windows Meeting Space worden gebruikt, zoals werkstations en terminalservers. Servers zouden eventueel meer gevaar kunnen lopen als beheerders toestaan dat gebruikers zich op servers kunnen aanmelden en programma's kunnen uitvoeren. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Wat doet de update? 
De update lost dit beveiligingslek op doordat de manier wordt verbeterd waarop Windows Mail en Windows Meeting Space externe bibliotheken laden.

Bestaat er een verband tussen dit beveiligingslek en Microsoft-beveiligingsadvies 2269637? 
Ja, dit beveiligingslek heeft betrekking op de klasse van beveiligingslekken, beschreven in Microsoft-beveiligingsadvies 2269637, die beïnvloeden hoe toepassingen externe bibliotheken laden. Deze beveiligingsupdate lost een bijzonder geval van dit soort beveiligingslek op.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.