Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2846338

Sicherheitsanfälligkeit im Microsoft-Modul zum Schutz vor schädlicher Software kann Remotecodeausführung ermöglichen

Veröffentlicht: Dienstag, 14. Mai 2013

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft veröffentlicht diese Sicherheitsempfehlung, um sicherzustellen, dass Benutzer wissen, dass ein Update für das Microsoft-Modul zum Schutz vor schädlicher Software auch eine Sicherheitsanfälligkeit behebt, die Microsoft gemeldet wurde. Das Update behebt eine Sicherheitsanfälligkeit, die Remotecodeausführung ermöglichen kann, wenn mit dem Microsoft-Modul zum Schutz vor schädlicher Software eine speziell gestaltete Datei gescannt wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Sicherheitskontext des LocalSystem-Kontos beliebigen Code ausführen und die vollständige Kontrolle über das System erlangen.

Diese Sicherheitsanfälligkeit wurde öffentlich als Denial-of-Service gemeldet.

Das Microsoft-Modul zum Schutz vor schädlicher Software ist Bestandteil mehrerer Antimalware-Produkte von Microsoft. Eine von betroffenen Produkten finden Sie im Abschnitt Betroffene Software. Updates für das Microsoft-Modul zum Schutz vor schädlicher Software werden zusammen mit den aktualisierten Malwaredefinitionen für die betroffenen Produkte installiert. Administratoren von Unternehmensinstallationen sollten ihren etablierten internen Prozessen folgen, um sicherzustellen, dass die Definitions- und Modulupdates in ihrer Updateverwaltungssoftware genehmigt werden und dass die Clients die Updates dementsprechend nutzen.

In der Regel ist keine Aktion von Unternehmensadministratoren oder Endbenutzern erforderlich, um Updates für das Microsoft-Modul zum Schutz vor schädlicher Software zu installieren. Das Update wird aufgrund des integrierten Mechanismus für die automatische Erkennung und Bereitstellung von Updates innerhalb den nächsten 48 Stunden installiert. Der genaue Zeitrahmen ist abhängig von der verwendeten Software, der Internetverbindung und der Infrastrukturkonfiguration.

Schadensbegrenzende Faktoren:

  • Nur x64-basierte Versionen des Moduls zum Schutz vor schädlicher Software sind betroffen.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
CVE-Referenz CVE-2013-1346
Letzte Version des Microsoft-Moduls zum Schutz vor schädlicher Software, die von dieser Sicherheitsanfälligkeit betroffen ist Version 1.1.9402.0
Erste Version des Microsoft-Moduls zum Schutz vor schädlicher Software, bei der diese Sicherheitsanfälligkeit behoben ist Version 1.1.9503.0*

*Wenn Ihre Version des Microsoft-Moduls zum Schutz vor schädlicher Software gleich dieser Version oder höher ist, sind Sie nicht von dieser Sicherheitsanfälligkeit betroffen und müssen keine weiteren Maßnahmen ergreifen. Weitere Informationen zum Überprüfen der Versionsnummer des Moduls, das derzeit von Ihrer Software verwendet wird, finden Sie im Microsoft Knowledge Base-Artikel 2510781 in dem Abschnitt „Überprüfen der Updateinstallation“.

Betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Das Microsoft-Modul zum Schutz vor schädlicher Software ist Bestandteil mehrerer Antimalware-Produkte von Microsoft. Je nachdem, welches betroffene Microsoft Antimalware-Produkt installiert ist, wird der Schweregrad dieses Updates unterschiedlich bewertet. Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen.

Betroffene Software

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
AntimalwareSicherheitsanfälligkeit im Microsoft-Modul zum Schutz vor schädlicher Software – CVE-2013-1346
Microsoft Forefront Client Security (x64) Hoch
Remotecodeausführung
Microsoft Forefront Endpoint Protection 2010 (x64) Hoch
Remotecodeausführung
Microsoft Forefront Security für SharePoint Service Pack 3 (x64) Hoch
Remotecodeausführung
Microsoft System Center 2012 Endpoint Protection (x64) Hoch
Remotecodeausführung
Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) Hoch
Remotecodeausführung
Microsoft-Tool zum Entfernen schädlicher Software (x64)[1] Hoch
Remotecodeausführung
Microsoft Security Essentials (x64) Hoch
Remotecodeausführung
Microsoft Security Essentials Vorabversion (x64) Hoch
Remotecodeausführung
Windows Defender für Windows 8 (x64) Hoch
Remotecodeausführung
Windows Defender für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 (x64) Hoch
Remotecodeausführung
Windows Defender Offline (x64) Hoch
Remotecodeausführung
Windows Intune Endpoint Protection (x64) Hoch
Remotecodeausführung

[1]Gilt nur für die Version von April 2013 oder frühere Versionen des Microsoft-Tools zum Entfernen schädlicher Software.

Nicht betroffene Software

Antimalware
Führt Modul zum Schutz vor schädlicher Software nicht aus
Microsoft Forefront Server Security Management Console
Microsoft Internet Security and Acceleration (ISA) Server
Führt keine anfällige Version des Moduls zum Schutz vor schädlicher Software aus
Microsoft Antigen für Exchange
Microsoft Antigen für SMTP Gateway
Microsoft System Center 2012 Endpoint Protection für Linux
Microsoft System Center 2012 Endpoint Protection für Mac
Microsoft Forefront Protection 2010 für Exchange Server
Microsoft Forefront Security für Exchange Server-Service Pack 2
Microsoft Forefront Security für Office Communications Server
Microsoft Forefront Threat Management Gateway 2010
Microsoft Forefront Client Security (x86)
Microsoft Forefront Endpoint Protection 2010 (x86)
Microsoft Forefront Security für SharePoint Service Pack 3 (x86)
Microsoft-Tool zum Entfernen schädlicher Software (x86)
Microsoft Security Essentials (x86)
Microsoft Security Essentials Vorabversion (x86)
Microsoft System Center 2012 Endpoint Protection (x86)
Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86)
Microsoft System Center 2012 Endpoint Protection für Mac Service Pack 1
Windows Defender für Windows 8 (x86)
Windows Defender für Windows RT
Windows Defender für Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 (x86)
Windows Defender Offline (x86)
Windows Intune Endpoint Protection (x86)

In der folgenden Tabelle wird eine Bewertung der Ausnutzbarkeit der Sicherheitsanfälligkeiten bereitgestellt, die in dieser Empfehlung behoben werden.

Wie verwende ich diese Tabelle?

Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, dass innerhalb von 30 Tagen nach Veröffentlichung dieser Empfehlung funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration die unten stehende Bewertung ansehen, um Prioritäten für Ihre Bereitstellung festzulegen. Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie im Microsoft-Ausnutzbarkeitsindex.

Titel der SicherheitsanfälligkeitCVE-IDBewertung der Ausnutzbarkeit für aktuelle SoftwareversionenBewertung der Ausnutzbarkeit für ältere SoftwareversionenBewertung der Ausnutzbarkeit durch Denial-of-ServiceWichtige Hinweise
Sicherheitsanfälligkeit im Microsoft-Modul zum Schutz vor schädlicher Software CVE-2013-1346 2 – Angreifercode wäre schwer zu erstellen 2 – Angreifercode wäre schwer zu erstellenVorläufigNur x64-basierte Versionen des Moduls zum Schutz vor schädlicher Software sind betroffen.

Diese Sicherheitsanfälligkeit wurde öffentlich als Denial-of-Service gemeldet.

Veröffentlicht Microsoft ein Security Bulletin, um diese Sicherheitsanfälligkeit zu beheben?
Nein. Microsoft veröffentlicht diese informatorische Sicherheitsempfehlung, um sicherzustellen, dass Benutzer wissen, dass mit diesem Update für das Microsoft-Modul zum Schutz vor schädlicher Software auch eine Sicherheitsanfälligkeit behoben wird, die Microsoft gemeldet wurde.

In der Regel müssen Unternehmensadministratoren oder Endbenutzer keine Maßnahmen ergreifen, um dieses Update zu installieren.

Warum ist in der Regel keine Aktion erforderlich, um dieses Update zu installieren?
In Reaktion auf eine sich ständig ändernde Bedrohungslage aktualisiert Microsoft oft Malwaredefinitionen und das Microsoft-Modul zum Schutz vor schädlicher Software. Damit die Antimalwaresoftware gegen neue und vorherrschende Bedrohungen schützt, muss sie mit diesen Updates zeitgerecht auf dem neuesten Stand gehalten werden.

Sowohl für Unternehmensbereitstellungen als auch für Endbenutzer stellt die Standardkonfiguration in Antimalwaresoftware von Microsoft sicher, dass die Malwaredefinitionen und das Microsoft-Modul zum Schutz vor schädlicher Software automatisch auf dem neuesten Stand gehalten werden. Die Produktdokumentation empfiehlt außerdem, dass für Produkte die automatische Aktualisierung konfiguriert wird.

In den empfohlenen Vorgehensweisen wird vorgeschlagen, dass Benutzer regelmäßig überprüfen, ob die Softwareverteilung wie die automatische Bereitstellung von Updates für Microsoft-Module zum Schutz vor schädlicher Software und Malwaredefinitionen wie erwartet in ihrer Umgebung funktionieren.

Wie oft werden das Microsoft-Modul zum Schutz vor schädlicher Software und die Malwaredefinitionen aktualisiert?
Microsoft veröffentlicht in der Regel einmal pro Monat ein Update für das Microsoft-Modul zum Schutz vor schädlicher Software oder bei Bedarf als Schutz gegen neue Bedrohungen. Microsoft aktualisiert in der Regel auch die Malwaredefinitionen drei Mal täglich. Diese Frequenz kann bei Bedarf erhöht werden.

Je nachdem, welche Microsoft Antimalwaresoftware verwendet wird und wie diese konfiguriert ist, sucht die Software jeden Tag nach Updates für das Modul und die Definitionen, wenn eine Verbindung mit dem Internet besteht; auch mehrmals täglich. Benutzer können auch auswählen, jederzeit manuell auf Updates zu prüfen.

Wie kann ich dieses Update installieren?
Informationen zum Installieren dieses Updates finden Sie in dem Abschnitt Empfohlene Maßnahmen.

Was ist das Microsoft-Modul zum Schutz vor schädlicher Software?
Das Microsoft-Modul zum Schutz vor schädlicher Software, mpengine.dll, stellt Scan-, Erkennungs- und Bereinigungsmöglichkeiten für Antivirus- und Antispywareclients von Microsoft bereit. Weitere Informationen finden Sie später in dieser Empfehlung in dem Abschnitt Bereitstellung des Microsoft-Moduls zum Schutz vor schädlicher Software.

Wo finde ich weitere Informationen zur Technologie der Microsoft Antimalware?
Weitere Informationen finden Sie auf der Website Microsoft-Center zum Schutz vor Malware.

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass das Microsoft-Modul zum Schutz vor schädlicher Software eine speziell gestaltete Datei nicht richtig scannt, was zur Speicherbeschädigung führt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Sicherheitskontext des LocalSystem-Kontos beliebigen Code ausführen und die vollständige Kontrolle über das System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist das LocalSystem-Konto ?
Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das vom Dienststeuerungs-Manager verwendet wird. Es besitzt umfassende Berechtigungen auf dem lokalen Computer, und fungiert als Computer auf dem Netzwerk. Sein Token enthält SIDs NT AUTHORITY\SYSTEM und BUILTIN\Administrators. Diese Konten haben Zugriff auf die meisten Systemobjekte. Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext vom Dienststeuerungs-Manager. Die meisten Dienste brauchen keine derart hohe Berechtigungsstufe. Weitere Informationen finden Sie in dem MSDN-Artikel LocalSystem-Konto.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss eine speziell gestaltete Datei von einer betroffenen Version des Microsoft-Moduls zum Schutz vor schädlicher Software gescannt werden. Es gibt viele Möglichkeiten für einen Angreifer, eine speziell gestaltete Datei an einem Speicherort abzulegen, der vom Microsoft-Modul zum Schutz vor schädlicher Software gescannt wird. Beispielsweise kann ein Angreifer eine Website verwenden, um eine speziell gestaltete Datei in das System des Opfers einzuschleusen, die gescannt wird, wenn die Website vom Benutzer angezeigt wird. Ein Angreifer kann eine speziell gestaltete Datei auch über eine E-Mail-Nachricht oder in einer Instant Messenger-Nachricht weitergeben, die gescannt wird, wenn die Datei geöffnet wird. Außerdem kann ein Angreifer Websites nutzen, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten. Dabei kann er dann eine speziell gestaltete Datei auf einen freigegebenen Speicherort hochladen, der von dem Modul zum Schutz vor schädlicher Software auf dem Hostserver gescannt wird.

Wenn in der betroffenen Antimalware der Echtzeitschutz aktiviert ist, werden Dateien automatisch vom Microsoft-Modul zum Schutz vor schädlicher Software gescannt. Das kann zur Ausnutzung der Sicherheitsanfälligkeit führen, wenn die speziell gestaltete Datei gescannt wird. Wenn Echtzeitscannen nicht aktiviert ist, muss der Angreifer warten, bis ein geplanter Scan beginnt, damit er die Sicherheitsanfälligkeit ausnutzen kann.

Außerdem kann die Ausnutzung der Sicherheitsanfälligkeit auftreten, wenn das System mit einer betroffenen Version des Tools zum Entfernen schädlicher Software (MSRT) gescannt wird.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Systeme, auf denen eine betroffene 64-Bit-Version der Antimalware ausgeführt wird, sind hauptsächlich gefährdet.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie das Microsoft-Modul zum Schutz vor schädlicher Software speziell gestaltete Dateien scannt.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieser Sicherheitsempfehlung bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde öffentlich als Denial-of-Service gemeldet. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2013-1346 zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieser Sicherheitsempfehlung Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieser Sicherheitsempfehlung keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Überprüfen, ob das Update installiert ist

Benutzer sollten überprüfen, ob die aktuelle Version des Microsoft-Moduls zum Schutz vor schädlicher Software und die Definitionsupdates aktiv heruntergeladen und für ihre Microsoft Antimalware-Produkte installiert werden.

Weitere Informationen zum Überprüfen der Versionsnummer des Microsoft-Moduls zum Schutz vor schädlicher Software, das derzeit von Ihrer Software verwendet wird, finden Sie im Microsoft Knowledge Base-Artikel 2510781 in dem Abschnitt „Überprüfen der Updateinstallation“.

Überprüfen Sie bei betroffener Software, ob die Version des Microsoft-Moduls zum Schutz vor schädlicher Software 1.1.9503.0 oder höher ist.

Installieren Sie gegebenenfalls das Update.

Administratoren von Bereitstellungen von Antimalwaresoftware für Unternehmen sollten sicherstellen, dass ihre Updateverwaltungssoftware darauf konfiguriert ist, die Modulupdates und neue Malwaredefinitionen automatisch zu genehmigen und zu verteilen. Unternehmensadministratoren sollten auch überprüfen, ob die aktuelle Version des Microsoft-Moduls zum Schutz vor schädlicher Software und die Definitionsupdates aktiv heruntergeladen, genehmigt und in ihrer Umgebung bereitgestellt werden.

Für Endbenutzer stellt die betroffene Software integrierte Mechanismen für die automatische Erkennung und Bereitstellung dieses Updates bereit. Für diese Benutzer wird das Update innerhalb von 48 Stunden nach seiner Verfügbarkeit installiert. Der genaue Zeitrahmen ist abhängig von der verwendeten Software, der Internetverbindung und der Infrastrukturkonfiguration. Endbenutzer, die nicht warten möchten, können ihre Antimalwaresoftware manuell aktualisieren.

Weitere Informationen zum manuellen Aktualisieren des Microsoft-Moduls zum Schutz vor schädlicher Software und die Malwaredefinitionen finden Sie im Microsoft Knowledge Base-Artikel 2510781.

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • Graeme Gill von Argyll CMS für die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit im Microsoft-Modul zum Schutz vor schädlicher Software (CVE-2013-1346).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. Mai 2013): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft