Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 911052

Speicherzuweisungsfehler – Denial-of-Service über RPC

Veröffentlicht: Mittwoch, 16. November 2005

Microsoft sind öffentliche Meldungen über Codebeispiele für ein Angriffskonzept bekannt, mit denen eine mögliche Sicherheitsanfälligkeit in Windows 2000 Service Pack 4 und Microsoft Windows XP Service Pack 1 ausgenutzt werden könnte. Durch diese Sicherheitsanfälligkeit könnte ein Angreifer einen zeitlich begrenzten Denial-of-Service-Angriff ausführen.

Unter Windows XP Service Pack 1 benötigt ein Angreifer gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff von anonymen Benutzern ausgenutzt werden. Benutzer mit standardmäßigen Benutzerkonten können jedoch von remoter Stelle auf die betroffene Komponente zugreifen. Benutzer von Windows XP Service Pack 2 sind von dieser Sicherheitsanfälligkeit nicht betroffen. Benutzer von Windows Server 2003 und Windows Server 2003 Service Pack 1 sind von dieser Sicherheitsanfälligkeit ebenfalls nicht betroffen.

Soweit Microsoft bekannt, ist es noch zu keinen Angriffen unter Ausnutzung dieser Sicherheitsanfälligkeit gekommen, und wir verfügen zurzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Microsoft ist besorgt darüber, dass diese neue Meldung einer Sicherheitsanfälligkeit in Windows 2000 Service Pack 4 und Windows XP Service Pack 1 nicht verantwortungsbewusst offengelegt wurde. Dieses Vorgehen stellt eine potenzielle Gefahr für Computerbenutzer dar. Wir empfehlen auch weiterhin die verantwortungsvolle Meldung von Sicherheitsanfälligkeiten. Unserer Meinung nach gereicht die allgemein anerkannte Methode der direkten Meldung von Sicherheitsanfälligkeiten an den Hersteller allen zum Vorteil. Durch diese Praxis wird sichergestellt, dass Benutzer umfassende, qualitativ hochwertige Updates zu Sicherheitsanfälligkeiten erhalten und während der Entwicklung eines Sicherheitsupdates keinen böswilligen Angriffen ausgesetzt sind.

Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.

Schadensbegrenzende Faktoren:

  • Unter Windows XP Service Pack 1 benötigt ein Angreifer gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff von anonymen Benutzern ausgenutzt werden. Benutzer mit standardmäßigen Benutzerkonten können jedoch von remoter Stelle auf die betroffene Komponente zugreifen. Bei bestimmten Konfigurationen könnten anonyme Benutzer die Authentifizierung unter dem Gastkonto durchführen. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 906574.
  • Benutzer von Windows XP Service Pack 2, Windows Server 2003 and Windows Server 2003 Service Pack 1 sind von dieser Sicherheitsanfälligkeit nicht betroffen.
  • Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Allgemeine Informationen

Zweck dieser Sicherheitsempfehlung: Diese Empfehlung soll Benutzer über eine öffentliche gemeldete Sicherheitsanfälligkeit in Kenntnis setzen, deren Umfang und Auswirkungen erläutern sowie proaktive Anleitungen zur Verfügung stellen.

Status der Empfehlung: Im Untersuchungsstadium.

Empfehlung: Lesen Sie die Vorschläge und führen Sie die entsprechenden Maßnahmen durch.

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1

Was genau umfasst diese Empfehlung?
Microsoft wurde eine neue Sicherheitsanfälligkeit gemeldet, mit der aufgrund eines Speicherzuweisungsfehlers ein Denial-of-Service-Angriff über RPC erzeugt werden kann. Die betroffene Software ist im Abschnitt „Übersicht“ aufgelistet.

Was ist RPC (Remote Procedure Call)?
RPC ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, der Programmen auf einem Computer erlaubt, nahtlos auf Dienste auf einem anderen Computer zuzugreifen. Das Protokoll selbst ist vom RPC-Protokoll von OSF (Open Software Foundation) abgeleitet. Es wurden jedoch einige Microsoft-spezifische Erweiterungen hinzugefügt.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Das Problem wird zurzeit noch untersucht. Nach Abschluss der Untersuchung wird möglicherweise ein Sicherheitsupdate für dieses Problem veröffentlicht.

Wodurch wird diese Bedrohung verursacht?
Ein Angreifer sendet speziell manipulierte Pakete an einen gefährdeten Computer, durch die gegebenenfalls ein zeitlich begrenzter Denial-of-Service-Angriff ausgelöst werden kann.

Was kann ein Angreifer über diese Funktion erreichen?
Ein Angreifer sendet speziell manipulierte Pakete an einen gefährdeten Computer, durch die gegebenenfalls ein zeitlich begrenzter Denial-of-Service-Angriff ausgelöst werden kann.

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

  • Zum Schutz vor anonymen Netzwerkverbindungen, mit denen Angreifer versuchen könnten, diese Sicherheitsanfälligkeit auszunutzen, können Sie die Registrierungseinstellung „RestrictAnonymous“ einschränken:

    Unter Windows 2000 ist die Einstellung „RestrictAnonymous“ standardmäßig auf 0 festgelegt. Es bestehen somit keine Einschränkungen für anonyme Benutzer. Durch Setzen der Registrierungseinstellung auf den Wert „2“ wird der Zugriff für anonyme Benutzer eingeschränkt, die nicht über explizite anonyme Berechtigungen verfügen. Weitere Informationen zur Verwendung der Registrierungseinstellung „RestrictAnonymous“ unter Windows 2000 finden Sie im Microsoft Knowledge Base-Artikel 246261.

    Auswirkung der Problemumgehung: Wenn der Registrierungseintrag „RestrictAnonymous“ auf „2“ gesetzt wurde, enthält das Zugriffstoken für nicht authentifizierte Benutzer nicht die Gruppe „Jeder“. Daher bietet das Zugriffstoken keinen Zugriff mehr auf die Ressourcen, die der Gruppe „Jeder“ Zugriffsberechtigungen gewähren. Diese Einstellung könnte zu unerwünschtem Verhalten führen, da für viele Dienste unter Windows 2000 sowie für Programme von Drittanbietern zur Ausführung zulässiger Aufgaben ein anonymer Anmeldezugriff erforderlich ist.

  • Blockieren Sie Folgendes an der Firewall:
    • Die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593.
    • Den unerwünschten eingehenden Datenverkehr auf Ports > 1024.
    • Alle weiteren speziell konfigurierten RPC-Ports.
    • CIS (COM Internet Services) oder RPC über HTTP (falls installiert) – diese Protokolle überwachen die Ports 80 und 443.

    Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu den von RPC verwendeten Ports finden Sie auf dieser Website. Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.

  • Verwenden Sie zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, eine persönliche Firewall, beispielsweise die Internetverbindungsfirewall , die im Lieferumfang von Windows XP Service Pack 1 enthalten ist.

    Standardmäßig schützt die Internetverbindungsfirewall in Windows XP Service Pack 1 Ihre Internetverbindung, indem unerwünscht eingehender Datenverkehr blockiert wird. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.

    Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

    1. Klicken Sie auf Start und anschließend auf Systemsteuerung.
    2. Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
    3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Erweitert.
    5. Aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird, und klicken Sie dann auf OK.

    Hinweis: Wenn Sie einige Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen. Wählen Sie dann die benötigten Programme, Protokolle und Dienste aus.

  • Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie eine persönliche Firewall verwenden und erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

    Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

  • Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit Hilfe von IPSec auf den betroffenen Systemen blockieren.

    Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878.

  • Kunden in den USA und Kanada, die denken, Sie könnten von dieser potenziellen Sicherheitsanfälligkeit betroffen sein, erhalten bei Microsoft Product Support Services unter 1-866-PCSAFETY technischen Support. Supportanfragen zu Sicherheitsupdates und Viren sind kostenlos. Kunden außerhalb Nordamerikas erhalten über die auf der Website Hilfe und Support – Sicherheit zu Hause beschriebenen Wege Support.

    Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Sicherheitsanfälligkeiten geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates erhalten Sie auf dem Microsoft Sicherheits-Portal.
  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.

  • Weitere Informationen über Sicherheit im Internet finden Sie auf dem Microsoft Sicherheits-Portal.
  • Aktualisieren Sie Ihr System regelmäßig

    Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computer zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Weitere Informationen:

Ressourcen:

  • Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.
  • Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.
  • Die Website Microsoft TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Verzichtserklärung:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

  • 16. November 2005: Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft