• Artikel

Sicherheitsempfehlung

Microsoft Security Advisory 921923

Proof of Concept Code published Affecting the Remote Access Verbindungs-Manager Service

Veröffentlicht: 23. Juni 2006

Microsoft ist sich bewusst, dass detaillierter Exploit-Code im Internet für die Sicherheitsanfälligkeit veröffentlicht wurde, die vom Microsoft-Sicherheitsbulletin MS06-025 behoben wird. Microsoft ist derzeit nicht über aktive Angriffe informiert, die diesen Exploit-Code oder die Auswirkungen des Kunden verwenden. Microsoft überwacht diese Situation jedoch aktiv, um Kunden auf dem Laufenden zu halten und bei Bedarf Kundenberatung zu bieten.
Unsere Untersuchung dieses Exploit-Codes hat überprüft, dass es keine Auswirkungen auf Kunden hat, die die in MS06-025 beschriebenen Updates auf ihren Computern installiert haben.  Microsoft empfiehlt weiterhin, dass Kunden die Updates auf die betroffenen Produkte anwenden, indem sie das Feature "Automatische Updates" in Windows aktivieren.
Microsoft ist enttäuscht, dass bestimmte Sicherheitsforscher die allgemein akzeptierte Industriepraxis beim Zurückhalten von Sicherheitsrisikendaten so nah an der Updateversion verletzt und Exploit-Code veröffentlicht haben, wodurch Computerbenutzer potenziell schaden. Wir fordern Sicherheitsforscher weiterhin nachdrücklich auf, sicherheitsrelevante Informationen verantwortungsbewusst offenzulegen und Kunden Zeit für die Bereitstellung von Updates zu ermöglichen, damit sie kriminelle Personen nicht bei ihrem Versuch unterstützen, Softwarerisiken zu nutzen

Mildernde Faktoren:

  • Kunden, die das Sicherheitsupdate MS06-025 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
  • Windows 2000-Systeme sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Kunden, die Windows 2000 ausführen, sollten MS06-025 so schnell wie möglich bereitstellen oder den RASMAN-Dienst deaktivieren.
  • Unter Windows XP Service Pack 2 müssten Windows Server 2003 und Windows Server 2003 Service Pack 1 der Angreifer über gültige Anmeldeinformationen verfügen, um die Sicherheitsanfälligkeit auszunutzen.
  • Dieses Problem wirkt sich nicht auf Windows 98, Windows 98 SE oder Windows Millennium Edition aus.

Allgemeine Informationen

Übersicht

Zweck der Empfehlung: Benachrichtigung über die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Bedrohung.

Empfehlungsstatus: Da dieses Problem bereits im Rahmen des MS06-025-Sicherheitsbulletins behoben ist, ist kein zusätzliches Update erforderlich.

Empfehlung: Installieren Sie MS06-025 Sicherheitsupdate, um vor dieser Sicherheitsanfälligkeit zu schützen.

References Identifikation
CVE-Referenz CVE-2006-2370
CVE-2006-2371
Sicherheitsbulletin MS06-025

In dieser Empfehlung wird die folgende Software erläutert.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 und Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
Microsoft Windows Server 2003 x64 Edition

Häufig gestellte Fragen

Was ist der Umfang der Beratung?
Microsoft ist sich der öffentlichen Veröffentlichung von Sicherheitsrisiken mit Exploit-Code bewusst, die in Microsoft Sicherheitsupdate MS06-025 identifiziert wurden. Dies wirkt sich auf die Software aus, die im Abschnitt "Übersicht" aufgeführt ist.

Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein Kunden, die das Sicherheitsupdate MS06-025 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Es ist kein zusätzliches Update erforderlich.

Was verursacht diese Bedrohung?
Ein deaktivierter Puffer in Routing- und Remotezugriffstechnologien, die sich speziell auf den Remotezugriff Verbindungs-Manager Service (RASMAN) auswirken

Was macht das Feature?
Der Remotezugriff Verbindungs-Manager ist ein Dienst, der die Details zum Herstellen der Verbindung mit dem Remoteserver verarbeitet. Dieser Dienst stellt dem Client auch Statusinformationen während des Verbindungsvorgangs bereit. Der Remotezugriff Verbindungs-Manager wird automatisch gestartet, wenn eine Anwendung die RASAPI32.DLL

Was kann ein Angreifer für diese Funktion verwenden?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über das betroffene System übernehmen.

Gibt es bekannte Probleme bei der Installation von Microsoft Sicherheitsupdate MS06-025, die vor dieser Bedrohung schützt?
Microsoft Knowledge Base-Artikel 911280dokumentiert die derzeit bekannten Probleme, die Kunden beim Installieren des Sicherheitsupdates auftreten können. Nur Kunden, die DFÜ-Verbindungen verwenden, die Skripts verwenden, die ihr Gerät für Parität konfigurieren, Bits oder Datenbits beenden oder ein Terminalfenster oder ein DFÜ-Skripting nach dem Verbinden verwenden, sind von den im KB-Artikel identifizierten Problemen betroffen. Wenn Kunden keine der ermittelten DFÜ-Szenarien verwenden, werden sie aufgefordert, das Update sofort zu installieren.

Vorgeschlagene Aktionen

Wenn Sie das mit dem Sicherheitsbulletin MS06-025 veröffentlichte Update installiert haben, sind Sie bereits vor dem Angriff geschützt, der im öffentlich veröffentlichten Proof of Concept Code identifiziert wurde. Wenn Sie das Update nicht installiert haben oder von einem der szenarien betroffen sind, die in Microsoft Knowledge Base-Artikel 911280 identifiziert wurden, empfiehlt es sich, den Remotezugriff Verbindungs-Manager Dienst zu deaktivieren.

  • Deaktivieren des Verbindungs-Manager-Diensts für den Remotezugriff

    Durch das Deaktivieren des Remotezugriffs Verbindungs-Manager Diensts wird das betroffene System vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen. Führen Sie die folgenden Schritte aus, um den RASMAN-Dienst (Remote Access Verbindungs-Manager) zu deaktivieren:

    1. Klicken Sie auf "Start" und dann auf Systemsteuerung. Zeigen Sie alternativ auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
    2. Doppelklicken Sie auf Verwaltung.
    3. Doppelklicken Sie auf "Dienste".
    4. Doppelklicken Sie auf remote access Verbindungs-Manager
    5. Klicken Sie in der Liste "Starttyp " auf "Deaktiviert".
    6. Klicken Sie auf "Beenden", und klicken Sie dann auf "OK".

    Sie können den RASMAN-Dienst (Remote Access Verbindungs-Manager) auch beenden und deaktivieren, indem Sie den folgenden Befehl an der Eingabeaufforderung verwenden:

    sc stop rasman & sc config rasman start= disabled

    Auswirkungen der Problemumgehung: Wenn Sie den Remotezugriff Verbindungs-Manager Dienst deaktivieren, können Sie keine Routingdienste für andere Hosts in lokalen und netzwerkweiten Umgebungen anbieten. Daher empfehlen wir diese Problemumgehung nur auf Systemen, die die Verwendung von RASMAN für den Remotezugriff und das Routing nicht erfordern.

  • Blockieren Sie Folgendes an der Firewall:

    • UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593
    • Alle unerwünschten eingehenden Datenverkehr an Ports größer als 1024
    • Alle anderen speziell konfigurierten RPC-Port

    Diese Ports werden verwendet, um eine Verbindung mit RPC zu initiieren. Wenn Sie sie in der Firewall blockieren, können Sie Systeme schützen, die sich hinter dieser Firewall befinden, vor versuchen, diese Sicherheitsanfälligkeit auszunutzen. Stellen Sie außerdem sicher, dass Sie alle anderen speziell konfigurierten RPC-Port auf dem Remotesystem blockieren. Es wird empfohlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu von RPC verwendeten Ports finden Sie auf der folgenden Website.

  • Um vor netzwerkbasierten Versuchen zu schützen, diese Sicherheitsanfälligkeit auszunutzen, verwenden Sie eine persönliche Firewall, z. B. dieInternet-Verbinden ion-Firewall, die in Windows XP und windows Server 2003 enthalten ist.

    Standardmäßig schützt das Feature "Internet Verbinden ion Firewall" in Windows XP und in Windows Server 2003 Ihre Internetverbindung, indem unerwünschter eingehender Datenverkehr blockiert wird. Es wird empfohlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren. In Windows XP Service Pack 2 wird diese Funktion als Windows-Firewall bezeichnet.

    Führen Sie die folgenden Schritte aus, um das Feature "Internet Verbinden ion Firewall" mithilfe des Netzwerksetup-Assistenten zu aktivieren:

    1. Klicken Sie auf Start und dann auf Systemsteuerung.
    2. Klicken Sie in der Standardkategorieansicht auf "Netzwerk" und "Internet Verbinden ionen", und klicken Sie dann auf "Einrichten", oder ändern Sie Ihr Heim- oder kleines Büronetzwerk. Das Feature "Internet Verbinden ion Firewall" ist aktiviert, wenn Sie eine Konfiguration im Netzwerkeinrichtungs-Assistenten auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

    Führen Sie die folgenden Schritte aus, um die Internet-Verbinden ion-Firewall manuell für eine Verbindung zu konfigurieren:

    1. Klicken Sie auf Start und dann auf Systemsteuerung.
    2. Klicken Sie in der Standardkategorieansicht auf Netzwerk- und Internet-Verbinden ionen, und klicken Sie dann auf "Netzwerk Verbinden ionen".
    3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internet-Verbinden ion-Firewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Erweitert.
    5. Klicken Sie, um das Kontrollkästchen "Meinen Computer oder Netzwerk schützen" zu aktivieren, indem Sie den Zugriff auf diesen Computer über das Internet einschränken oder verhindern, und klicken Sie dann auf "OK".

    Hinweis: Wenn Sie bestimmte Programme und Dienste für die Kommunikation über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte "Erweitert" auf Einstellungen, und wählen Sie dann die Programme, die Protokolle und die erforderlichen Dienste aus.

  • Kunden, die der Meinung sind, dass sie angegriffen wurden, sollten sich an ihr lokales FB-Büro wenden oder ihre Beschwerde auf der Website desInternet Fraud Complaint Centers veröffentlichen. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden.

  • Kunden in theU.S. und Kanada, die glauben, dass sie von dieser möglichen Sicherheitsanfälligkeit betroffen sind, können technischen Support von Microsoft Product Support Services bei 1-866-PCSAFETY erhalten. Es gibt keine Kosten für Den Support, der mit Sicherheitsupdateproblemen oder Viren verbunden ist." Internationale Kunden können Support erhalten, indem Sie eine der Methoden verwenden, die auf der Website "Sicherheitshilfe" und "Support für Private Benutzer" aufgeführt sind.
    Alle Kunden sollten die neuesten von Microsoft veröffentlichten Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Systeme vor der versuchten Ausbeutung geschützt sind. Kunden, die automatische Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie auf der Microsoft Security-Website.

  • Weitere Informationen zum Sicheren im Internet finden Kunden auf derMicrosoft Security Home Page.

  • Windows auf dem neuesten Stand halten

    Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Windows Update-Website, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.

Sonstige Informationen

Ressourcen:

  • Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
  • Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie auf der Website für den internationalen Support.
  • Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • 23. Juni 2006 Advisory veröffentlicht

Gebaut am 2014-04-18T13:49:36Z-07:00