• Artikel

Sicherheitsempfehlung

Microsoft Security Advisory 911052

Speicherzuweisungsverweigerung über RPC

Veröffentlicht: 16. November 2005 | Aktualisiert: 18. November 2005

Microsoft ist sich der öffentlichen Berichte über Konzeptprüfungscode bewusst, der versucht, eine mögliche Sicherheitsanfälligkeit in Microsoft Windows 2000 Service Pack 4 und in Microsoft Windows XP Service Pack 1 auszunutzen. Diese Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, einen Denial-of-Service-Angriff mit begrenzter Dauer auszuführen.

Unter Windows 2000 Service Pack 4 könnte ein Angreifer diese Sicherheitsanfälligkeit möglicherweise anonym ausnutzen. Unter Windows XP Service Pack 1 muss ein Angreifer über gültige Anmeldeinformationen verfügen, um zu versuchen, diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte nicht remote von anonymen Benutzern ausgenutzt werden. Die betroffene Komponente ist jedoch remote für Benutzer verfügbar, die über Standardbenutzerkonten verfügen. Kunden, die Windows XP Service Pack 2 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Darüber hinaus sind Kunden, die Windows Server 2003 und Windows Server 2003 Service Pack 1 ausführen, von dieser Sicherheitsanfälligkeit nicht betroffen.

Microsoft kennt derzeit keine aktiven Angriffe, die diese Sicherheitsanfälligkeit oder die Auswirkungen des Kunden verwenden. Microsoft überwacht diese Situation jedoch aktiv, um Kunden auf dem Laufenden zu halten und bei Bedarf Kundenberatung zu bieten.

Microsoft ist besorgt darüber, dass dieser neue Bericht über eine Sicherheitsanfälligkeit in Windows 2000 Service Pack 4 und Windows XP Service Pack 1 nicht verantwortungsbewusst offengelegt wurde, was computerbenutzer potenziell gefährdet. Wir ermutigen weiterhin die verantwortungsvolle Offenlegung von Sicherheitsrisiken. Wir glauben, dass die allgemein akzeptierte Praxis, Sicherheitsrisiken direkt an einen Anbieter zu melden, den besten Interessen aller dient. Mit dieser Vorgehensweise können Sie sicherstellen, dass Kunden umfassende, qualitativ hochwertige Updates für Sicherheitsrisiken erhalten, ohne böswillige Angreifer ausgesetzt zu sein, während das Update entwickelt wird.

Während diese Sicherheitsanfälligkeit von einem Sicherheitsforscher entdeckt wurde, während sie die von Sicherheitsbulletin MS05-047 behobene Sicherheitsanfälligkeit untersucht, ist dies eine völlig separate Sicherheitsanfälligkeit und nicht mit der in MS05-047 erörterten Sicherheitsanfälligkeit verbunden. Wir ermutigen Kunden weiterhin, das MS05-047-Update und alle kürzlich veröffentlichten Sicherheitsupdates von Microsoft anzuwenden.

Wir ermutigen Kunden weiterhin, unseren Schutz Your PC-Richtlinien zu befolgen, um eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen zu diesen Schritten finden Sie unter "Schützen Ihrer PC-Website".

Mildernde Faktoren:

  • Unter Windows XP Service Pack 1 muss ein Angreifer über gültige Anmeldeinformationen verfügen, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte nicht remote von anonymen Benutzern ausgenutzt werden. Die betroffene Komponente ist jedoch remote für Benutzer verfügbar, die über Standardbenutzerkonten verfügen. In bestimmten Konfigurationen können sich anonyme Benutzer als Gastkonto authentifizieren. Weitere Informationen finden Sie unter Microsoft Security Advisory 906574.
  • Kunden, die Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 ausführen, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
  • Bewährte Methoden der Firewall und Standardmäßige Firewallkonfigurationen können dazu beitragen, Netzwerke vor Angriffen zu schützen, die außerhalb des Unternehmensperimeters stammen. Bewährte Methoden empfehlen, dass Systeme, die mit dem Internet verbunden sind, eine minimale Anzahl von Ports verfügbar machen.

Allgemeine Informationen

Übersicht

Zweck der Beratung: Zur Beratung von Kunden eines öffentlich offengelegten Problems, zur Klärung des Umfangs und der Auswirkungen dieses Problems und zur Bereitstellung von präskriptiven Anleitungen

Beratungsstatus: Unter Untersuchung.

Empfehlung: Überprüfen Sie die vorgeschlagenen Aktionen, und konfigurieren Sie sie entsprechend.

References Identifikation
CVE-Referenz CAN-2005-3644
Microsoft Knowledge Base-Artikel 911052

In dieser Empfehlung wird die folgende Software erläutert.
Verwandte Software
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1

Häufig gestellte Fragen

Was ist der Umfang der Beratung?
Microsoft wurde über eine neue Sicherheitsanfälligkeit bezüglich der Speicherzuweisung in Microsoft Windows informiert. Dies wirkt sich auf die Software aus, die im Abschnitt "Übersicht" aufgeführt ist.

Was ist remote procedure call (RPC)?
Remoteprozeduraufruf (RPC) ist ein Protokoll, das vom Windows-Betriebssystem verwendet wird. RPC bietet einen prozessübergreifenden Kommunikationsmechanismus, mit dem ein Programm, das auf einem Computer ausgeführt wird, nahtlos auf Dienste auf einem anderen Computer zugreifen kann. Das Protokoll selbst wird vom RPC-Protokoll (Open Software Foundation, OSF) abgeleitet, aber mit dem Hinzufügen einiger microsoftspezifischer Erweiterungen.

Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
An diesem Punkt wird das Problem noch untersucht. Nach Abschluss der Untersuchung kann ein Sicherheitsupdate für dieses Problem veröffentlicht werden.

Was verursacht diese Bedrohung?
Ein Angreifer kann speziell gestaltete schädliche Pakete an einen anfälligen Computer senden, was potenziell zu einem Denial-of-Service-Zustand mit begrenzter Dauer führen würde.

Was kann ein Angreifer für diese Funktion verwenden?
Ein Angreifer kann speziell gestaltete schädliche Pakete an einen anfälligen Computer senden, der potenziell zu einem Denial-of-Service-Zustand mit begrenzter Dauer führen würde.

Vorgeschlagene Aktionen

Problemumgehungen

Microsoft hat die folgenden Problemumgehungen getestet. Obwohl diese Problemumgehungen die zugrunde liegende Sicherheitsanfälligkeit nicht korrigieren, helfen sie dabei, bekannte Angriffsvektoren zu blockieren. Wenn eine Problemumgehung die Funktionalität reduziert, wird sie im folgenden Abschnitt identifiziert.

  • Um vor anonymen netzwerkbasierten Verbindungsversuchen zu schützen, um diese Sicherheitsanfälligkeit auszunutzen, konfigurieren Sie die Einstellung "RestrictAnonymous" auf eine restriktivere Einstellung:

    Unter Windows 2000 ist der RestrictAnonymous-Eintrag standardmäßig auf den Wert 0 festgelegt, wodurch anonyme Benutzer nicht eingeschränkt werden. Durch Festlegen des Registrierungseintrags auf den Wert 2 haben anonyme Benutzer keinen Zugriff ohne explizite anonyme Berechtigungen. Weitere Informationen zur Verwendung des RestrictAnonymous-Registrierungseintrags in Windows 2000 finden Sie im Microsoft Knowledge Base-Artikel 246261.

    Auswirkungen der Problemumgehung: Wenn der Registrierungswert RestrictAnonymous auf 2 festgelegt ist, enthält das zugriffstoken, das für nicht authentifizierte Benutzer erstellt wurde, nicht die Gruppe "Jeder", und aus diesem Grund hat das Zugriffstoken keinen Zugriff mehr auf diese Ressourcen, die Berechtigungen für die Gruppe "Jeder" erteilen. Dies kann zu unerwünschtem Verhalten führen, da viele Windows 2000-Dienste sowie Drittanbieterprogramme auf anonyme Zugriffsfunktionen angewiesen sind, um legitime Aufgaben auszuführen.

  • Blockieren Sie Folgendes an der Firewall:

    • UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593
    • Alle unerwünschten eingehenden Datenverkehr an Ports größer als 1024
    • Alle anderen speziell konfigurierten RPC-Port
    • Bei Installation, COM Internet Services (CIS) oder RPC über HTTP, die die Ports 80 und 443 überwachen

    Diese Ports werden verwendet, um eine Verbindung mit RPC zu initiieren. Wenn Sie sie an der Firewall blockieren, können Sie verhindern, dass Systeme, die sich hinter dieser Firewall befinden, versuchen, diese Sicherheitsanfälligkeit auszunutzen. Stellen Sie außerdem sicher, dass Sie alle anderen speziell konfigurierten RPC-Port auf dem Remotesystem blockieren. Es wird empfohlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu den von RPC verwendeten Ports finden Sie auf der folgenden Website. Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.

  • Um vor netzwerkbasierten Versuchen zu schützen, diese Sicherheitsanfälligkeit auszunutzen, verwenden Sie eine persönliche Firewall, z. B. dieInternet-Verbinden ion-Firewall, die in Windows XP Service Pack 1 enthalten ist.

    Standardmäßig schützt das Feature "Internet Verbinden ion Firewall" in Windows XP Service Pack 1 Ihre Internetverbindung, indem unerwünschter eingehender Datenverkehr blockiert wird. Es wird empfohlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren.

    Führen Sie die folgenden Schritte aus, um die Internet-Verbinden ion-Firewall manuell für eine Verbindung zu konfigurieren:

    1. Klicken Sie auf Start und dann auf Systemsteuerung.
    2. Klicken Sie in der Standardkategorieansicht auf Netzwerk- und Internet-Verbinden ionen, und klicken Sie dann auf "Netzwerk Verbinden ionen".
    3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internet-Verbinden ion-Firewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Erweitert.
    5. Klicken Sie, um das Kontrollkästchen "Meinen Computer oder Netzwerk schützen" zu aktivieren, indem Sie den Zugriff auf diesen Computer über das Internet einschränken oder verhindern, und klicken Sie dann auf "OK".

    Hinweis: Wenn Sie bestimmte Programme und Dienste für die Kommunikation über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte "Erweitert" auf Einstellungen, und wählen Sie dann die Programme, die Protokolle und die erforderlichen Dienste aus.

  • Um vor netzwerkbasierten Versuchen zu schützen, diese Sicherheitsanfälligkeit auszunutzen, aktivieren Sie die erweiterte TCP/IP-Filterung auf Systemen, die dieses Feature unterstützen.

    Sie können die erweiterte TCP/IP-Filterung aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zum Konfigurieren der TCP/IP-Filterung finden Sie im Microsoft Knowledge Base-Artikel 309798.

  • Um vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, zu schützen, blockieren Sie die betroffenen Ports, indem Sie IPsec auf den betroffenen Systemen verwenden.

    Verwenden Sie die Internetprotokollsicherheit (Internet Protocol Security, IPsec), um die Netzwerkkommunikation zu schützen. Detaillierte Informationen zu IPsec und zum Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878.

  • Kunden in den USA und Kanada, die glauben, dass sie von dieser möglichen Sicherheitsanfälligkeit betroffen sind, können technischen Support von Microsoft Product Support Services bei 1-866-PCSAFETY erhalten. Es gibt keine Kosten für Den Support, der mit Sicherheitsupdateproblemen oder Viren verbunden ist." Internationale Kunden können Support erhalten, indem Sie eine der Methoden verwenden, die auf der Website "Sicherheitshilfe" und "Support für Private Benutzer" aufgeführt sind. Alle Kunden sollten die neuesten von Microsoft veröffentlichten Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Systeme vor der versuchten Ausbeutung geschützt sind. Kunden, die automatische Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie auf der Microsoft Security-Website.

  • Schützen Ihres PCs

    Wir ermutigen kunden weiterhin, unseren Schutz Your PC-Richtlinien zu befolgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie die Website "Schützen Ihres PCs" besuchen.

  • Weitere Informationen zum Sicheren im Internet finden Kunden auf derMicrosoft Security Home Page.

  • Aktualisieren Des Systems

    Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Windows Update-Website, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.

Sonstige Informationen

Ressourcen:

  • Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
  • Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie auf der Website für den internationalen Support.
  • Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • 16. November 2005: Empfehlung veröffentlicht
  • 18. November 2005: Empfehlung aktualisiert, um auf eine CVE zu verweisen und zu verdeutlichen, dass dieses Problem unter Windows 2000 Service Pack 4 anonym ausnutzbar ist.

Gebaut am 2014-04-18T13:49:36Z-07:00