Microsoft Security Advisory 2269637

Unsicheres Laden der Bibliothek könnte Remotecodeausführung zulassen

Veröffentlicht: 23. August 2010 | Aktualisiert: 13. Mai 2014

Version: 19.0

Allgemeine Informationen

Kurzfassung

Microsoft ist sich bewusst, dass Forschung veröffentlicht wurde, die einen Remoteangriffsvektor für eine Klasse von Sicherheitsrisiken enthält, die sich darauf auswirken, wie Anwendungen externe Bibliotheken laden.

Dieses Problem wird durch bestimmte unsichere Programmierpraktiken verursacht, die sogenannte "Binäres Pflanzen" oder "DLL Preloading-Angriffe" zulassen. Diese Methoden könnten es einem Angreifer ermöglichen, beliebigen Code im Kontext des Benutzers auszuführen, der die anfällige Anwendung ausführt, wenn der Benutzer eine Datei von einem nicht vertrauenswürdigen Speicherort aus öffnet.

Dieses Problem wird durch Anwendungen verursacht, die beim Laden einer externen Bibliothek einen unzureichend qualifizierten Pfad übergeben. Microsoft hat Entwicklern im MSDN-Artikel "Dynamic-Link Library Security" Anleitungen zur korrekten Verwendung der verfügbaren Anwendungsprogrammierschnittstellen erteilt, um diese Sicherheitsstufe zu verhindern. Microsoft greift auch aktiv über das Microsoft Vulnerability Research Program an Drittanbieter zu, um sie über die im Betriebssystem verfügbaren Gegenmaßnahmen zu informieren. Microsoft untersucht auch aktiv, welche eigenen Anwendungen betroffen sein können.

Zusätzlich zu diesem Leitfaden veröffentlicht Microsoft ein Tool, mit dem Systemadministratoren das Risiko dieses neuen Angriffsvektors verringern können, indem das Bibliotheksladeverhalten systemweit oder für bestimmte Anwendungen geändert wird. Diese Empfehlung beschreibt die Funktionalität dieses Tools und andere Aktionen, die Kunden ergreifen können, um ihre Systeme zu schützen.

Mildernde Faktoren:

• Dieses Problem betrifft nur Anwendungen, die externe Bibliotheken nicht sicher laden. Microsoft hat zuvor Richtlinien für Entwickler im MSDN-Artikel " Dynamic-Link Library Security" veröffentlicht, die alternative Methoden zum Laden von Bibliotheken empfehlen, die gegen diese Angriffe sicher sind.
• Damit ein Angriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Remotedateisystemspeicherort oder eine WebDAV-Freigabe aufrufen und ein Dokument von diesem Speicherort öffnen, der dann von einer anfälligen Anwendung geladen wird.
• Das SMB des Dateifreigabeprotokolls ist häufig in der Umkreisfirewall deaktiviert. Dadurch werden die möglichen Angriffsvektoren für diese Sicherheitsanfälligkeit begrenzt.

Updates im Zusammenhang mit dem Laden unsicherer Bibliotheken:

Update veröffentlicht am 9. November 2010

• Microsoft Security Bulletin MS10-087, "Sicherheitsrisiken in Microsoft Office könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 14. Dezember 2010

• Microsoft Security Bulletin MS10-093, "Sicherheitsanfälligkeit in Windows Movie Maker könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS10-094, "Sicherheitsanfälligkeit in Windows Media Encoder könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS10-095, "Sicherheitsanfälligkeit in Microsoft Windows könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS10-096: "Sicherheitsanfälligkeit im Windows-Adressbuch könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS10-097: "Unsicheres Laden von Bibliotheken im Internet Verbinden ion-Anmelde-Assistent kann Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 11. Januar 2011

• Microsoft Security Bulletin MS11-001, "Sicherheitsanfälligkeit in Windows-Sicherung Manager könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 8. Februar 2011

• Microsoft Security Bulletin MS11-003, "Kumulatives Sicherheitsupdate für Internet Explorer", bietet Unterstützung für eine anfällige Komponente von Internet Explorer, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 8. März 2011

• Microsoft Security Bulletin MS11-015: "Sicherheitsrisiken in Windows Media könnten Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS11-016, "Sicherheitsanfälligkeit in Microsoft Groove Könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS11-017: "Sicherheitsanfälligkeit im Remotedesktopclient könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 12. April 2011

• Microsoft Security Bulletin MS11-023: "Sicherheitsrisiken in Microsoft Office könnten Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS11-025, "Sicherheitsanfälligkeit in Microsoft Foundation Class (MFC) Library Could Allow Remote Code Execution", bietet Unterstützung für eine anfällige Komponente in bestimmten Anwendungen, die mit der Microsoft Foundation Class (MFC)-Bibliothek erstellt wurden, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 12. Juli 2011

• Das Update im Microsoft Knowledge Base-Artikel 2533623 implementiert Verbesserungen der Anwendungsprogrammierschnittstelle (Application Programming Interface, API) in Windows, um Entwicklern zu helfen, externe Bibliotheken ordnungsgemäß und sicher zu laden. Dieses Update für Windows ist in der Kategorie "Hochprioritätsupdates" für Kunden verfügbar, die das Update noch nicht über automatische Updates erhalten haben.

  Entwickler können sicherstellen, dass ihre Programme DLLs ordnungsgemäß laden, um "DLL Preloading"- oder "Binary Planting"-Angriffe zu vermeiden, indem Sie die anleitungen im Microsoft Knowledge Base-Artikel 2533623 folgen, um die VON diesem Update bereitgestellten API-Verbesserungen zu nutzen.

• Microsoft Security Bulletin MS11-055, "Sicherheitsanfälligkeit in Microsoft Visio könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 9. August 2011

• Microsoft Security Bulletin MS11-059: "Sicherheitsanfälligkeit in Datenzugriffskomponenten kann Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 13. September 2011

• Microsoft Security Bulletin MS11-071, "Sicherheitsanfälligkeit in Windows-Komponenten könnte Remotecodeausführung zulassen", bietet Unterstützung für anfällige Komponenten von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen sind, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS11-073: "Sicherheitsanfälligkeiten in Microsoft Office könnten Remotecodeausführung zulassen", bietet Unterstützung für anfällige Komponenten von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen sind, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 11. Oktober 2011

• Microsoft Security Bulletin MS11-075, "Sicherheitsanfälligkeit in Microsoft Active Accessibility Could Allow Remote Code Execution", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS11-076: "Sicherheitsanfälligkeit in Windows Media Center könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 8. November 2011

• Microsoft Security Bulletin MS11-085, "Sicherheitsanfälligkeit in Windows Mail und Windows Meeting Space Could Allow Remote Code Execution", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 13. Dezember 2011

• Microsoft Security Bulletin MS11-099, "Kumulatives Sicherheitsupdate für Internet Explorer", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS11-094, "Sicherheitsrisiken in Microsoft PowerPoint könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Updates veröffentlicht am 14. Februar 2012

• Microsoft Security Bulletin MS12-012: "Sicherheitsanfälligkeit in Farbe Systemsteuerung Könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.
• Microsoft Security Bulletin MS12-014, "Sicherheitsanfälligkeit in Indeo Codec Could Allow Remote Code Execution", bietet Unterstützung für eine anfällige Komponente von Microsoft Windows, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 13. März 2012

• Microsoft Security Bulletin MS12-022, "Sicherheitsanfälligkeit im Ausdrucksentwurf könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente des Microsoft-Ausdrucksdesigns, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 12. Juni 2012

• Microsoft Security Bulletin MS12-039: "Sicherheitsrisiken in Lync könnten Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Lync, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 10. Juli 2012

• Microsoft Security Bulletin MS12-046, "Sicherheitsanfälligkeit in Visual Basic for Applications Could Allow Remote Code Execution", bietet Unterstützung für eine anfällige Komponente von Microsoft Visual Basic für Applikationen, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 13. November 2012

• Microsoft Security Bulletin MS12-074, "Sicherheitsanfälligkeiten in .NET Framework könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft .NET Framework, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Update veröffentlicht am 13. Mai 2014

• Microsoft Security Bulletin MS14-023, "Sicherheitsanfälligkeit in Microsoft Office könnte Remotecodeausführung zulassen", bietet Unterstützung für eine anfällige Komponente von Microsoft Office, die von der Insecure Library Loading-Klasse von Sicherheitsrisiken betroffen ist, die in dieser Empfehlung beschrieben werden.

Betroffene Software

Microsoft untersucht, ob eine ihrer eigenen Anwendungen von unsicheren Bibliotheksladerisiken betroffen ist und geeignete Maßnahmen ergreifen wird, um ihre Kunden zu schützen.

Häufig gestellte Fragen zu Beratungen

Wo finden Entwickler Anleitungen zum Vermeiden dieses Problems?
Ab dem 14. Juni 2011 implementiert das Update im Microsoft Knowledge Base-Artikel 2533623 Verbesserungen der Application Programming Interface (API) in Windows, um Entwicklern zu helfen, externe Bibliotheken ordnungsgemäß und sicher zu laden. Entwickler sollten die Anleitungen im Microsoft Knowledge Base-Artikel 2533623 befolgen, um die API-Verbesserungen zu nutzen, die vom Update bereitgestellt werden.

Microsoft hat auch den MSDN-Artikel Dynamic-Link Library Security veröffentlicht, der die verschiedenen apIs (Application Programming Interfaces) beschreibt, die entwicklern das ordnungsgemäße und sichere Laden externer Bibliotheken ermöglichen.

Microsoft arbeitet mit Entwicklern über das Microsoft Vulnerability Research Program zusammen, um Informationen darüber zu teilen, wie diese Sicherheitsanfälligkeit in ihren Produkten verhindert wird. Softwareanbieter und ISVs, die Fragen zu den in Windows für dieses Problem verfügbaren Gegenmaßnahmen haben, werden eingeladen, weitere Informationen zur Risikominderung zu erhalten.

Was ist der Umfang des Problems?
Microsoft ist sich der Forschung bewusst, die von einer Reihe von Sicherheitsforschern veröffentlicht wurde, die einen neuen Remoteangriffsvektor für diese bekannte Klasse von Sicherheitsrisiken beschreiben. Anwendungen sind betroffen, wenn sie den Pfad einer externen Bibliothek unzureichend qualifizieren.

Was verursacht diese Bedrohung?
Dieser Exploit kann auftreten, wenn Anwendungen nicht direkt den vollqualifizierten Pfad zu einer Bibliothek angeben, die geladen werden soll. Je nachdem, wie die Anwendung entwickelt wird, durchsucht Windows, von der Anwendung angewiesen, bestimmte Speicherorte im Dateisystem nach der erforderlichen Bibliothek und lädt die Datei, wenn sie gefunden wird.

Einige Anwendungsprogrammierschnittstellen (APPLICATION Programming Interfaces, API), z. B. SearchPath, verwenden eine Suchreihenfolge, die für Dokumente und nicht für Anwendungsbibliotheken vorgesehen ist. Anwendungen, die diese API verwenden, können versuchen, die Bibliothek aus dem aktuellen Arbeitsverzeichnis (Current Working Directory, CWD) zu laden, die von einem Angreifer gesteuert werden kann. Andere APIs können auch zu einem ähnlichen Verhalten führen, wenn sie auf bestimmte Weise verwendet werden, die im MSDN-Artikel beschrieben werden, Dynamic Link Library Security.

Bei Netzwerkfreigaben, z. B. WebDAV oder SMB, könnte ein Angreifer, der an diesen Speicherort schreiben kann, eine speziell gestaltete Bibliothek hochladen. In diesem Szenario versucht die Anwendung, die speziell gestaltete Bibliothek zu laden, die dann beliebigen Code im Clientsystem im Sicherheitskontext des angemeldeten Benutzers ausführen kann.

Was kann ein Angreifer mit dieser Sicherheitsanfälligkeit tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dieselben Benutzerrechte wie ein angemeldeter Benutzer erlangen. Wenn der Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

In einigen Fällen könnte ein Angreifer, der bereits Zugriff auf einen lokalen Ordner im System hat, eine DLL-Sicherheitslücke verwenden, die in einer lokalen Anwendung mit erhöhten Rechten ausgeführt wird, um seinen Zugriff auf das System zu erhöhen.

Wie kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Diese Sicherheitsanfälligkeit erfordert, dass der Angreifer den Benutzer davon überzeugen muss, eine Datei mit einem anfälligen Programm von einem Remotenetzwerkspeicherort aus zu öffnen. Wenn die Anwendung eine der erforderlichen oder optionalen Bibliotheken lädt, kann die anfällige Anwendung versuchen, die Bibliothek vom Remotenetzwerkspeicherort zu laden. Wenn der Angreifer an diesem Speicherort eine speziell gestaltete Bibliothek bereitstellt, kann es dem Angreifer gelingen, beliebigen Code auf dem Computer des Benutzers auszuführen.

Was sind die Remoteangriffsvektoren für diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann über Netzwerkdateisysteme wie (aber nicht beschränkt auf) WebDAV und SMB ausgenutzt werden. Ein Angreifer kann eine Datei zum Herunterladen über ein solches Protokoll anbieten. Wenn die Zum Öffnen dieser Datei verwendete Anwendung externe Bibliotheken nicht sicher lädt, kann der Benutzer, der diese Datei öffnet, für diese Sicherheitsanfälligkeit verfügbar gemacht werden.

Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Diese Sicherheitsanfälligkeit erfordert möglicherweise, dass Drittanbieter ein Sicherheitsupdate für ihre jeweiligen betroffenen Anwendungen ausstellen. Als Teil dieser Sicherheitsempfehlung veröffentlicht Microsoft ein optionales Entschärfungstool, mit dem Kunden das Risiko des Remoteangriffsvektors über eine Anwendungs- und globale Konfigurationseinstellung beheben können.

Microsoft untersucht außerdem, ob eine ihrer eigenen Anwendungen von DLL-Vorabladerisiken betroffen ist und geeignete Maßnahmen ergreifen wird, um ihre Kunden zu schützen.

Was ist eine Dynamic Link Library (DLL)?
Eine DLL ist eine Bibliothek, die Code und Daten enthält, die von mehreren Programmen gleichzeitig verwendet werden können. In Windows-Betriebssystemen führt die Comdlg32-DLL z. B. häufig verwandte Dialogfeldfunktionen aus. Daher kann jedes Programm die Funktionalität verwenden, die in dieser DLL enthalten ist, um ein Dialogfeld "Öffnen" zu implementieren. Dadurch wird die Wiederverwendung von Code und eine effiziente Speicherauslastung gefördert.

Mithilfe einer DLL kann ein Programm in separate Komponenten modularisiert werden. Beispielsweise kann ein Buchhaltungsprogramm nach Modul verkauft werden. Jedes Modul kann zur Laufzeit in das Standard Programm geladen werden, wenn dieses Modul installiert ist. Da die Module getrennt sind, ist die Ladezeit des Programms schneller und ein Modul wird nur geladen, wenn diese Funktionalität angefordert wird.

Was ist webbasierte verteilte Erstellung und Versionsverwaltung (WebDAV)?
Webbasierte verteilte Erstellung und Versionsverwaltung (WebDAV) erweitert das HTTP/1.1-Protokoll, um Clients das Veröffentlichen, Sperren und Verwalten von Ressourcen im Web zu ermöglichen. In IIS integriert, ermöglicht WebDAV Clients folgendes:

• Bearbeiten sie Ressourcen in einem WebDAV-Veröffentlichungsverzeichnis auf Ihrem Server. Beispielsweise können Benutzer, denen die richtigen Rechte zugewiesen wurden, Dateien in einem WebDAV-Verzeichnis kopieren und verschieben.
• Eigenschaften ändern, die bestimmten Ressourcen zugeordnet sind. Beispielsweise kann ein Benutzer in die Eigenschafteninformationen einer Datei schreiben und abrufen.
• Sperren und Entsperren von Ressourcen, damit mehrere Benutzer eine Datei gleichzeitig lesen können.
• Durchsuchen Sie den Inhalt und die Eigenschaften von Dateien in einem WebDAV-Verzeichnis.

Was ist das Microsoft Server Message Block (SMB)-Protokoll?
Das Microsoft Server Message Block (SMB)-Protokoll ist ein Microsoft-Netzwerkdateifreigabeprotokoll, das in Microsoft Windows verwendet wird. Weitere Informationen zu SMB finden Sie im MSDN-Artikel, Microsoft SMB-Protokoll und CIFS-Protokoll (Übersicht).

Vorgeschlagene Aktionen

• Anwenden des Updates für betroffene Software

  Informationen zu verfügbaren Updates finden Sie im Abschnitt "Insecure Library Loading".

• Anwenden von Problemumgehungen

  Problemumgehungen beziehen sich auf eine Einstellung oder Konfigurationsänderung, die das zugrunde liegende Problem nicht behebt, aber bekannte Angriffsvektoren blockieren würde, bevor ein Sicherheitsupdate verfügbar ist. Weitere Informationen finden Sie im nächsten Abschnitt, Problemumgehungen.

Problemumgehungen

• Deaktivieren des Ladens von Bibliotheken aus WebDAV und Remotenetzwerkfreigaben

  Hinweis: Microsoft Knowledge Base-Artikel 2264107 zum Bereitstellen eines Problemumgehungstools, mit dem Kunden das Laden von Bibliotheken aus Remotenetzwerk- oder WebDAV-Freigaben deaktivieren können. Dieses Tool kann so konfiguriert werden, dass das unsichere Laden pro Anwendung oder auf globaler Systembasis nicht zulässig ist.

  Kunden, die von ihrem Anbieter einer anwendung informiert werden, die anfällig sind, können dieses Tool verwenden, um vor Versuchen, dieses Problem auszunutzen, zu schützen.

  Hinweis: Microsoft Knowledge Base-Artikel 2264107 zur Verwendung der automatisierten Microsoft Fix it-Lösung zum Bereitstellen des Registrierungsschlüssels zum Blockieren des Ladens von Bibliotheken für SMB- und WebDAV-Freigaben. Beachten Sie, dass für diese Lösung "Fix it" erforderlich ist, dass Sie das Problemumgehungstool installieren müssen, das auch im Microsoft Knowledge Base-Artikel 2264107 zuerst beschrieben wird. Diese Lösung fix it stellt nur den Registrierungsschlüssel bereit und erfordert das Problemumgehungstool, um effektiv zu sein. Es wird empfohlen, dass Administratoren den KB-Artikel vor der Bereitstellung dieser Fix it-Lösung genau überprüfen.

  ** **

• Deaktivieren des WebClient-Diensts

  Durch Deaktivieren des WebClient-Diensts können betroffene Systeme vor Versuchen geschützt werden, diese Sicherheitsanfälligkeit auszunutzen, indem der wahrscheinlichste Remoteangriffsvektor über den Web Distributed Authoring and Versioning (WebDAV)-Clientdienst blockiert wird. Nach der Anwendung dieser Problemumgehung ist es weiterhin möglich, dass Remote-Angreifer, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, dazu führen, dass das System Programme ausführt, die sich auf dem Computer des Zielbenutzers oder im Lokalen Netzwerk (Local Area Network, LAN) befinden, aber Benutzer werden vor dem Öffnen beliebiger Programme aus dem Internet zur Bestätigung aufgefordert.

  Führen Sie die folgenden Schritte aus, um den WebClient-Dienst zu deaktivieren:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "Services.msc" ein, und klicken Sie dann auf "OK".
  2. Klicken Sie mit der rechten Maustaste auf den WebClient-Dienst, und wählen Sie "Eigenschaften" aus.
  3. Ändern Sie den Starttyp in "Deaktiviert". Wenn der Dienst ausgeführt wird, klicken Sie auf "Beenden".
  4. Klicken Sie auf "OK", und beenden Sie die Verwaltungsanwendung.

  Auswirkungen der Problemumgehung. Wenn der WebClient-Dienst deaktiviert ist, werden Web Distributed Authoring and Versioning (WebDAV)-Anforderungen nicht übertragen. Darüber hinaus werden alle Dienste, die explizit vom Webdienst abhängen, nicht gestartet, und eine Fehlermeldung wird im Systemprotokoll protokolliert. Auf WebDAV-Freigaben kann beispielsweise nicht vom Clientcomputer aus zugegriffen werden.

  So können Sie die Problemumgehung rückgängig machen.

  Führen Sie die folgenden Schritte aus, um den WebClient-Dienst erneut zu aktivieren:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "Services.msc" ein, und klicken Sie dann auf "OK".
  2. Klicken Sie mit der rechten Maustaste auf den WebClient-Dienst, und wählen Sie "Eigenschaften" aus.
  3. Ändern Sie den Starttyp in "Automatisch". Wenn der Dienst nicht ausgeführt wird, klicken Sie auf "Start".
  4. Klicken Sie auf "OK", und beenden Sie die Verwaltungsanwendung.

   

• Blockieren von TCP-Ports 139 und 445 an der Firewall

  Diese Ports werden verwendet, um eine Verbindung mit der betroffenen Komponente zu initiieren. Das Blockieren von TCP-Ports 139 und 445 in der Firewall trägt zum Schutz von Systemen bei, die sich hinter dieser Firewall befinden, vor Versuchen, diese Sicherheitsanfälligkeit auszunutzen. Microsoft empfiehlt, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu Ports finden Sie im TechNet-Artikel, TCP- und UDP-Portzuweisungen.

  Auswirkungen der Problemumgehung. Mehrere Windows-Dienste verwenden die betroffenen Ports. Das Blockieren der Konnektivität mit den Ports kann dazu führen, dass verschiedene Anwendungen oder Dienste nicht funktionieren. Einige der Anwendungen oder Dienste, die betroffen sein könnten, sind unten aufgeführt:

  • Anwendungen, die SMB (CIFS) verwenden
  • Anwendungen, die Maillots oder benannte Rohre (RPC über SMB) verwenden
  • Server (Datei- und Druckfreigabe)
  • Gruppenrichtlinien
  • Netzwerkanmeldung
  • Verteiltes Dateisystem (Distributed File System, DFS)
  • Terminalserverlizenzierung
  • Druckspooler
  • Computerbrowser
  • RPC-Locator
  • Faxdienst
  • Indexdienst
  • Leistungsprotokolle und Warnungen
  • Systems Management Server
  • Lizenzprotokollierungsdienst

  So können Sie die Problemumgehung rückgängig machen. Heben Sie die Blockierung der TCP-Ports 139 und 445 an der Firewall auf. Weitere Informationen zu Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Weitere vorgeschlagene Aktionen

• Installieren von Updates von Drittanbietern, die das Laden unsicherer Bibliotheken beheben

  Drittanbieter können Updates veröffentlichen, die unsichere Bibliotheksladevorgang in ihren Produkten beheben. Microsoft empfiehlt Kunden, sich an ihren Anbieter zu wenden, wenn sie Fragen haben, ob eine bestimmte Anwendung von diesem Problem betroffen ist, und die von diesen Anbietern veröffentlichten Sicherheitsupdates überwachen.

• Schützen Ihres PCs

  Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.

• Aktualisieren der Microsoft-Software

  Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.

Sonstige Informationen

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Feedback

• Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.

Unterstützung

• Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
• Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
• Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (23. August 2010): Empfehlung veröffentlicht.
• V1.1 (31. August 2010): Es wurde ein Link zum Microsoft Knowledge Base-Artikel 2264107 hinzugefügt, um eine automatisierte Microsoft Fix it-Lösung für die Problemumgehung bereitzustellen, das Laden von Bibliotheken aus WebDAV und Remotenetzwerkfreigaben zu deaktivieren.
• V2.0 (9. November 2010): Microsoft Security Bulletin MS10-087 hinzugefügt: "Sicherheitsrisiken in Microsoft Office könnten Remotecodeausführung zulassen", zu den Updates im Zusammenhang mit dem Abschnitt "Unsicheres Laden von Bibliotheken".
• V3.0 (14. Dezember 2010): Die folgenden Microsoft-Sicherheitsbulletins wurden dem Abschnitt "Unsichere Bibliotheksladevorgang" hinzugefügt: MS10-093: "Sicherheitsanfälligkeit in Windows Movie Maker könnte Remotecodeausführung zulassen;" MS10-094: "Sicherheitsanfälligkeit in Windows Media Encoder könnte Remotecodeausführung zulassen;" MS10-095: "Sicherheitsanfälligkeit in Microsoft Windows könnte Remotecodeausführung zulassen;" MS10-096: "Sicherheitsanfälligkeit im Windows-Adressbuch könnte Remotecodeausführung zulassen;" und MS10-097: "Unsicheres Laden von Bibliotheken im Internet Verbinden ion-Anmelde-Assistent könnte Remotecodeausführung zulassen."
• V4.0 (11. Januar 2011): Microsoft Security Bulletin MS11-001 hinzugefügt: "Sicherheitsanfälligkeit in Windows-Sicherung Manager könnte Remotecodeausführung zulassen", zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken".
• V5.0 (8. Februar 2011): Microsoft Security Bulletin MS11-003, "Kumulatives Sicherheitsupdate für Internet Explorer", zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt.
• V6.0 (8. März 2011): Die folgenden Microsoft-Sicherheitsbulletins wurden zu den Updates für den Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS11-015: "Sicherheitsanfälligkeiten in Windows Media könnten Remotecodeausführung zulassen;" MS11-016: "Sicherheitsanfälligkeit in Microsoft Groove könnte Remotecodeausführung zulassen;" und MS11-017: "Sicherheitsanfälligkeit im Remotedesktopclient könnte Remotecodeausführung zulassen."
• V7.0 (12. April 2011): Die folgenden Microsoft-Sicherheitsbulletins wurden zum Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS11-023, "Sicherheitsanfälligkeiten in Microsoft Office könnten Remotecodeausführung zulassen;" und MS11-025, "Sicherheitsanfälligkeit in microsoft Foundation Class (MFC) Library Could Allow Remote Code Execution."
• V8.0 (12. Juli 2011): Das Update wurde im Microsoft Knowledge Base-Artikel 2533623 und dem Update im Microsoft-Sicherheitsbulletin MS11-055 hinzugefügt: "Sicherheitsanfälligkeit in Microsoft Visio könnte Remotecodeausführung zulassen", zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken". Das Update im Microsoft Knowledge Base-Artikel 2533623 implementiert Verbesserungen der Anwendungsprogrammierschnittstelle (Application Programming Interface, API) in Windows, um Entwicklern zu helfen, externe Bibliotheken ordnungsgemäß und sicher zu laden.
• V9.0 (9. August 2011): Microsoft Security Bulletin MS11-059 hinzugefügt: "Sicherheitsanfälligkeit in Datenzugriffskomponenten könnte Remotecodeausführung zulassen", zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken".
• V10.0 (13. September 2011): Die folgenden Microsoft-Sicherheitsbulletins wurden zum Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS11-071, "Sicherheitsanfälligkeit in Windows-Komponenten könnte Remotecodeausführung zulassen;" und MS11-073, "Sicherheitsrisiken in Microsoft Office könnten Remotecodeausführung zulassen".
• V11.0 (11. Oktober 2011): Die folgenden Microsoft-Sicherheitsbulletins wurden zu den Updates für das Laden unsicherer Bibliotheken hinzugefügt: MS11-075, "Sicherheitsanfälligkeit in Microsoft Active Accessibility Could Allow Remote Code Execution;" und MS11-076, "Sicherheitsanfälligkeit in Windows Media Center könnte Remotecodeausführung zulassen.".
• V12.0 (8. November 2011): Das folgende Microsoft-Sicherheitsbulletin zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS11-085: "Sicherheitsanfälligkeit in Windows Mail und Windows Meeting Space könnte Remotecodeausführung zulassen".
• V13.0 (13. Dezember 2011): Die folgenden Microsoft-Sicherheitsbulletins wurden zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS11-099, "Kumulatives Sicherheitsupdate für Internet Explorer;" und MS11-094, "Sicherheitsanfälligkeiten in Microsoft PowerPoint könnte Remotecodeausführung zulassen".
• V14.0 (14. Februar 2012): Die folgenden Microsoft-Sicherheitsbulletins wurden zu den Updates für das Laden von unsicheren Bibliotheken hinzugefügt: MS12-012, "Sicherheitsanfälligkeit in Farbe Systemsteuerung Könnte Remotecodeausführung zulassen;" und MS12-014, "Sicherheitsanfälligkeit in Indeo Codec Could Allow Remote Code Execution."
• V15.0 (13. März 2012): Das folgende Microsoft-Sicherheitsbulletin zum Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS12-022: "Sicherheitsanfälligkeit im Ausdrucksentwurf könnte Remotecodeausführung zulassen."
• V16.0 (12. Juni 2012): Das folgende Microsoft-Sicherheitsbulletin zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS12-039: "Sicherheitsanfälligkeiten in Lync könnten Remotecodeausführung zulassen".
• V17.0 (10. Juli 2012): Das folgende Microsoft-Sicherheitsbulletin zu den Updates im Abschnitt "Unsicheres Laden von Bibliotheken" hinzugefügt: MS12-046, "Sicherheitsanfälligkeit in Visual Basic for Applications Could Allow Remote Code Execution."
• V18.0 (13. November 2012): Das folgende Microsoft-Sicherheitsbulletin zu den Updates für das Laden der unsicheren Bibliothek hinzugefügt: MS12-074: "Sicherheitsanfälligkeiten in .NET Framework könnten Remotecodeausführung zulassen.".
• V19.0 (13. Mai 2014): Das folgende Microsoft-Sicherheitsbulletin zu den Updates für das Laden der unsicheren Bibliothek hinzugefügt: MS14-023: "Sicherheitsanfälligkeiten in Microsoft Office könnten Remotecodeausführung zulassen".

Seite generiert 2014-05-12 18:40Z-07:00.