• Artikel

Sicherheitsempfehlung

Microsoft Security Advisory 974926

Angriff auf das Weiterleiten von Anmeldeinformationen bei der integrierten Windows-Authentifizierung

Veröffentlicht: 08. Dezember 2009

Version: 1.0

Diese Empfehlung behebt das Potenzial für Angriffe, die sich auf die Behandlung von Anmeldeinformationen mithilfe der integrierten Windows-Authentifizierung (IWA) auswirken, und die Mechanismen, die Microsoft für Kunden zur Verfügung gestellt hat, um vor diesen Angriffen zu schützen.

Bei diesen Angriffen kann ein Angreifer, der die Authentifizierungsanmeldeinformationen des Benutzers abrufen kann, während er zwischen einem Client und einem Server übertragen wird, diese Anmeldeinformationen an einen Dienst zurückspiegeln, der auf dem Client ausgeführt wird, oder sie an einen anderen Server weiterleiten, auf dem der Client über ein gültiges Konto verfügt. Dies würde es dem Angreifer ermöglichen, Zugriff auf diese Ressourcen zu erhalten, wobei er den Identitätswechsel des Clients vorgibt. Da IWA-Anmeldeinformationen mit Hash versehen sind, kann ein Angreifer dies nicht verwenden, um den tatsächlichen Benutzernamen und das eigentliche Kennwort zu ermitteln.

Abhängig vom Szenario und der Verwendung zusätzlicher Angriffsvektoren kann ein Angreifer möglicherweise sowohl innerhalb als auch außerhalb des Sicherheitsperimeters der Organisation Authentifizierungsanmeldeinformationen abrufen und diese nutzen, um unangemessenen Zugriff auf Ressourcen zu erhalten.

Microsoft befasst sich mit den potenziellen Auswirkungen dieser Probleme auf unterschiedlichen Ebenen und möchte Kunden über die Tools, die zur Behebung dieser Probleme zur Verfügung gestellt wurden, und die Auswirkungen der Verwendung dieser Tools aufmerksam machen. Diese Empfehlung enthält Informationen zu den verschiedenen Aktionen, die Microsoft ergriffen hat, um den Schutz von IWA-Authentifizierungsanmeldeinformationen zu verbessern und wie Kunden diese Sicherheitsvorkehrungen bereitstellen können.

Mildernde Faktoren:

  • Um Anmeldeinformationen weiterzuleiten, müsste ein Angreifer eine weitere Sicherheitsanfälligkeit zum Ausführen eines Man-in-the-Middle-Angriffs erfolgreich nutzen oder das Opfer mithilfe von Social Engineering überzeugen, eine Verbindung mit einem Server unter der Kontrolle des Angreifers herzustellen, z. B. durch Senden eines Links in einer schädlichen E-Mail-Nachricht.
  • Internet Explorer sendet keine Anmeldeinformationen automatisch mithilfe von HTTP an Server, die in der Internetzone gehostet werden. Dadurch wird das Risiko reduziert, dass Anmeldeinformationen von einem Angreifer innerhalb dieser Zone weitergeleitet oder widergespiegelt werden können.
  • Eingehender Datenverkehr muss dem Clientsystem erlaubt sein, damit ein Spiegelungsangriff erfolgreich ausgeführt werden kann. Der häufigste Angriffsvektor ist SMB, da er die IWA-Authentifizierung zulässt. Hosts hinter einer Firewall, die SMB-Datenverkehr blockiert, oder Hosts, die SMB-Datenverkehr auf einer Hostfirewall blockieren, sind nicht anfällig für die am häufigsten verwendeten NTLM-Spiegelungsangriffe, die SMB als Ziel verwenden.

Allgemeine Informationen

Übersicht

Zweck der Empfehlung: Zur Klärung der Aktionen, die Microsoft zum Erweitern des Schutzes von Benutzeranmeldeinformationen bei Verwendung der integrierten Windows-Authentifizierung (IWA) ergreift.

Advisory Status: Advisory published.

Empfehlung: Überprüfen Sie die vorgeschlagenen Aktionen, und konfigurieren Sie sie entsprechend.

References Identifikation
Microsoft Knowledge Base-Artikel 974926

In dieser Empfehlung wird die folgende Software erläutert.

Betroffene Software
Windows XP Service Pack 2 und Windows XP Service Pack 3
Windows XP für x64-basierte Systeme Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 für x64-basierte Systeme Service Pack 2
Windows Server 2003 für Itanium-basierte Systeme Service Pack 2
Windows Vista, Windows Vista Service Pack 1 und Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 und Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-Bit-Systeme und Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme und Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme und Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-Bit-Systeme*
Windows 7 für x64-basierte Systeme*
Windows Server 2008 R2 für x64-basierte Systeme*
Windows Server 2008 R2 für Itanium-basierte Systeme*

*Windows 7 und Windows Server 2008 R2 bieten erweiterten Schutz für die Authentifizierung als Feature der SSPI (Security Support Provider Interface). Anwendungen, die auf diesen Betriebssystemen ausgeführt werden, können weiterhin für die Weiterleitung von Anmeldeinformationen verfügbar gemacht werden, wenn entweder das Betriebssystem oder die Anwendung nicht für die Unterstützung dieses Features konfiguriert ist. Erweiterter Schutz für die Authentifizierung ist standardmäßig nicht aktiviert.

Häufig gestellte Fragen

Was ist der Umfang der Beratung?
Diese Sicherheitsempfehlung bietet eine umfassende Übersicht über die Strategie, die Microsoft zum Schutz vor der Weiterleitung von Anmeldeinformationen anwendet. Sie bietet einen Überblick über die derzeit verfügbaren Updates, um dieses Problem umfassend zu beheben.

Was verursacht diese Bedrohung?
Diese Empfehlung befasst sich mit dem Potenzial der Authentifizierungsrelaying. Diese Angriffe erfolgen, wenn ein Angreifer erfolgreich Authentifizierungsanmeldeinformationen erhält, z. B. durch einen Man-in-the-Middle-Angriff, oder indem er einen Benutzer überzeugen kann, auf einen Link zu klicken. Dieser Link könnte dazu führen, dass der Client auf einen vom Angreifer gesteuerten Dienst zugreift, der den Benutzer auffordert, sich mithilfe von IWA zu authentifizieren.

Die in dieser Empfehlung genannten Formen der Weiterleitung von Anmeldeinformationen sind:

  • Weiterleitung von Anmeldeinformationen: do Standard Anmeldeinformationen, die von einem Angreifer abgerufen werden, können verwendet werden, um sich bei anderen Diensten anzumelden, auf die das Opfer bekanntermaßen Zugriff hat. Der Angreifer könnte dann Berechtigungen erwerben, die mit dem des Opfers für den Zieldienst identisch sind.
  • Überlegungen zu Anmeldeinformationen: Do Standard Anmeldeinformationen, die von einem Angreifer abgerufen werden, können verwendet werden, um sich wieder auf dem Computer des Opfers anzumelden. Der Angreifer erhält dann Berechtigungen auf diesem Computer, die mit dem des Opfers identisch sind.

Damit diese Angriffe erfolgreich ausgeführt werden können, muss ein Angreifer eine Verbindung mit dem Server des Angreifers herstellen. Dies kann durch Angriffe erreicht werden, die den Angreifer betreffen, der im lokalen Netzwerk vorhanden ist, z. B. eine ARP-Cachevergiftung (Address Resolution Protocol).

Die Auswirkungen dieser Angriffe erhöhen sich, wenn ein Angreifer einen Benutzer davon überzeugt, eine Verbindung mit einem Server außerhalb der Organisationsgrenze herzustellen. Bestimmte Szenarien, die dies zulassen können, sind wie folgt:

  • DNS-Devolution, ein Windows-DNS-Clientfeature, mit dem Windows-DNS-Clients DNS-Abfragen für nicht qualifizierte Hostnamen mit einer Bezeichnung auflösen können. Ein böswilliger Benutzer könnte einen bestimmten Hostnamen außerhalb der Grenze der Organisation registrieren, der, wenn Clients falsch konfiguriert sind, unbeabsichtigt von einem Client kontaktiert werden kann, wenn er sich außerhalb der Organisationsgrenze befindet, während versucht wird, auf diesen Hostnamen zuzugreifen.
  • DNS-Spoofing, bei dem ein Angreifer Sicherheitsrisiken im Windows Do Standard Name System (DNS) ausnutzen kann und Spoofing ermöglicht. Diese Angriffe könnten es einem Remote-Angreifer ermöglichen, den Netzwerkdatenverkehr, der für Systeme im Internet vorgesehen ist, an das System des Angreifers umzuleiten.
  • NetBIOS Name Service (NBNS)-Spoofing, bei dem der Benutzer dazu verleitet wird, ein speziell gestaltetes Active-Code-Applet (z. B. Java oder Flash) auszuführen, das eine Abfrage für einen lokalen Hostnamen initiieren würde, und führt anschließend spoofte NBNS-Antworten mit einer Remote-IP-Adresse an den Client ein. Beim Herstellen einer Verbindung mit diesem Hostnamen würde der Client dies als lokaler Computer betrachten und IWA-Anmeldeinformationen versuchen, wodurch diese dem Remote-Angreifer ausgesetzt werden;

Microsoft hat mehrere Updates veröffentlicht, um diese Szenarien zu beheben, und diese Empfehlung zielt darauf ab, zusammenzufassen, wie Kunden Risiken und Probleme in ihrem spezifischen Bereitstellungsszenario am besten bewerten können.

Was ist integrierte Windows-Authentifizierung (IWA)?
Bei der integrierten Windows-Authentifizierung (früher NTLM genannt und auch als Windows NT Challenge/Response Authentication bezeichnet) werden benutzername und kennwort (Anmeldeinformationen) hashed, bevor sie über das Netzwerk gesendet werden. Wenn Sie die integrierte Windows-Authentifizierung aktivieren, beweist der Client sein Wissen über das Kennwort über einen kryptografischen Hashaustausch mit Ihrem Webserver. Die integrierte Windows-Authentifizierung umfasst die Methoden "Negotiate", "Kerberos" und "NTLM".

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Der Angreifer kann den Datenverkehr überwachen und lesen, bevor er ihn an den vorgesehenen Empfänger sendet. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit der beabsichtigten Partei kommuniziert.

Welche Aktionen hat Microsoft zur Behandlung von DNS-Spoofingangriffen ergriffen?
Microsoft hat die folgenden Sicherheitsbulletins veröffentlicht, um DNS-Spoofingangriffe zu beheben:

  • MS08-037 behebt zwei Sicherheitsrisiken, die es einem Angreifer ermöglichen könnten, DNS-Einträge zu spoofen und in den DNS-Servercache einzufügen.
  • MS09-008 behebt zwei Sicherheitsrisiken, die es einem Angreifer ermöglichen könnten, DNS-Einträge zu spoofen und in den DNS-Servercache einzufügen, und zwei Sicherheitsrisiken, die es einem Angreifer ermöglichen könnten, netzwerkinfrastrukturbezogene Hostnamen (WPAD und ISATAP) zu registrieren, die zur Aufnahme weiterer Angriffe verwendet werden könnten.

Welche Aktionen hat Microsoft zur Behebung von NBNS-Spoofingangriffen ergriffen?
Microsoft hat mit den Drittanbietern gearbeitet, die von dieser Sicherheitsanfälligkeit betroffen sind, und sie haben gegen diesen Angriffsvektor Abhilfemaßnahmen implementiert. Dieses Problem wurde in Adobe Flash Player im Adobe Security Bulletin APSB08-11 und in der Sun Java Runtime Environment in Sun Alert 103079 behoben.

Was ist ARP-Cachevergiftung (Address Resolution Protocol) ?
ARP Cache-Vergiftung ist ein Angriff, der aus dem Computer eines Angreifers besteht, der auf demselben Subnetz wie das Opfer vorhanden ist und spoofte oder unzulännige ARP-Antworten sendet. Diese versuchen in der Regel, Clients zu verwechseln, um zu glauben, dass der Angreifer das Standardgateway im Netzwerk ist, und führt dazu, dass der Opfercomputer Informationen an den Angreifer sendet, im Gegensatz zum Gateway. Ein solcher Angriff kann genutzt werden, um einen Man-in-the-Middle-Angriff einzurichten.

Was ist Transport Layer Security (TLS)?
Das Tls-Handshake-Protokoll (Transport Layer Security) ist für den Authentifizierungs- und Schlüsselaustausch verantwortlich, der zum Einrichten oder Fortsetzen sicherer Sitzungen erforderlich ist. Beim Einrichten einer sicheren Sitzung verwaltet das Handshake-Protokoll Folgendes:

  • Cipher Suite-Aushandlung
  • Authentifizierung des Servers und optional der Client
  • Sitzungsschlüsselinformationsaustausch

Weitere Informationen finden Sie im TechNet-Artikel " Funktionsweise von TLS/SSL".

Welche Versionen von Windows sind dieser Empfehlung zugeordnet?
Die Weiterleitung und Reflexion von Anmeldeinformationen wirkt sich auf alle Plattformen aus, auf denen die integrierte Windows-Authentifizierung ausgeführt werden kann. Das Feature "Erweiterter Schutz für Authentifizierung" ist in Windows 7 und Windows Server 2008 R2 enthalten und wurde für Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 in einem nicht sicherheitsrelevanten Update verfügbar gemacht, das als Microsoft Security Advisory 973811 veröffentlicht wurde. Um Authentifizierungsanmeldeinformationen vollständig zu schützen, müssen sich bestimmte Anwendungen auf diesen Betriebssystemen weiterhin für den Mechanismus anmelden. Das Feature "Erweiterter Schutz" ist für das Microsoft Windows 2000-Betriebssystem nicht verfügbar.

Welche Aktionen hat Microsoft ergriffen, um Angriff auf die Reflexion von Anmeldeinformationen zu beheben?
Anwendungen sind vor Angriffen auf Anmeldeinformationen geschützt, wenn sie den Dienstprinzipalnamen (Service Principal Name, SPN) beim Authentifizieren gegen einen Dienst ordnungsgemäß verwenden.

Vor der Veröffentlichung dieser Sicherheitsempfehlung hatte Microsoft die folgenden Sicherheitsupdates veröffentlicht, um sicherzustellen, dass Windows-Komponenten und Microsoft-Anwendungen sich ordnungsgemäß für diesen Mechanismus anmelden, um Schutz vor Angriffen auf Anmeldeinformationen bereitzustellen:

  • Microsoft Security Bulletin MS08-068 befasst sich mit der Reflexion von Anmeldeinformationen beim Herstellen einer Verbindung mit dem SMB-Server eines Angreifers.
  • Microsoft Security Bulletin MS08-076 befasst sich mit der Reflexion von Anmeldeinformationen beim Herstellen einer Verbindung mit dem Windows Media-Server eines Angreifers.
  • Microsoft Security Bulletin MS09-013 befasst sich mit der Reflexion von Anmeldeinformationen beim Herstellen einer Verbindung mit dem Webserver eines Angreifers mithilfe der WinHTTP-Anwendungsprogrammierschnittstelle.
  • Microsoft Security Bulletin MS09-014 befasst sich mit der Reflexion von Anmeldeinformationen beim Herstellen einer Verbindung mit dem Webserver eines Angreifers mithilfe der WinINET Application Programming Interface.
  • Microsoft Security Bulletin MS09-042 befasst sich mit der Reflexion von Anmeldeinformationen beim Herstellen einer Verbindung mit dem Telnetserver eines Angreifers.

Welche Aktionen hat Microsoft ergriffen, um Angriffe auf die Weiterleitung von Anmeldeinformationen zu beheben?
Einige Schutz vor der Weiterleitung von Anmeldeinformationen werden von der Windows-Sicherheit Support Provider Interface (SSPI) bereitgestellt. Diese Schnittstelle ist in Windows 7 und Windows Server 2008 R2 implementiert und wurde als nicht sicherheitsrelevantes Update für Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008 zur Verfügung gestellt.

Um geschützt zu werden, müssen zusätzliche nicht sicherheitsrelevante Updates bereitgestellt werden, um den gleichen Schutz für bestimmte Client- und Serverkomponenten und -anwendungen bereitzustellen. Dieses Feature wendet Änderungen an der Authentifizierung sowohl auf dem Client- als auch auf dem Serverende an und sollte sorgfältig bereitgestellt werden. Weitere Informationen zum erweiterten Schutz für die Authentifizierung und zu den nicht sicherheitsrelevanten Updates, die zur Implementierung dieses Mechanismus veröffentlicht wurden, finden Sie unter Microsoft Security Advisory 973811.

Wie adressieren diese Updates Angriffe auf die Weiterleitung von Anmeldeinformationen?
Die SSPI-Nicht-Sicherheitsupdate-Microsoft-Sicherheitsempfehlung 973811 ändert den SSPI, um den aktuellen Integrierten Windows-Authentifizierungsmechanismus (IWA) so zu erweitern, dass Authentifizierungsanforderungen sowohl an den SPN des Servers gebunden werden können, mit dem der Client versucht, eine Verbindung herzustellen, als auch mit dem äußeren Transport Layer Security (TLS)-Kanal, mit dem die IWA-Authentifizierung stattfindet, wenn ein solcher Kanal vorhanden ist. Dies ist ein Basisupdate, das keine Sicherheitslücke an sich selbst anhebt, dies aber als optionales Feature bereitstellt, das von Anwendungsanbietern konfiguriert werden kann.

Die anwendungsspezifischen nicht sicherheitsrelevanten Updates ändern einzelne Systemkomponenten, die die IWA-Authentifizierung ausführen, sodass sich die Komponenten an den schutzmechanismen anmelden, die vom nicht sicherheitsrelevanten Update der Ebene 1 implementiert werden. Weitere Informationen zum Aktivieren des erweiterten Schutzes für die Authentifizierung finden Sie in der Microsoft Security Advisory 973811 und dem entsprechenden Microsoft Knowledge Base-Artikel 973811.

Welche Aktionen hat Microsoft zur Behebung der DNS-Devolution ergriffen?
DNS-Devolution kann als Angriffsvektor verwendet werden, um diese Sicherheitsanfälligkeit außerhalb eines Unternehmensnetzwerks auszunutzen. Devolution ist ein Windows-DNS-Clientfeature, mit dem Windows-DNS-Clients DNS-Abfragen für nicht qualifizierte Hostnamen mit einer Bezeichnung auflösen. Abfragen werden erstellt, indem das primäre DNS-Suffix (PDS) an den Hostnamen angefügt wird. Die Abfrage wird wiederholt, indem die am weitesten links stehenden Bezeichnungen in den PDS systematisch entfernt werden, bis der Hostname und erneut Standard pdS aufgelöst wird, oder nur zwei Beschriftungen erneut Standard im entfernten PDS. Beispielsweise werden Windows-Clients, die in der western.corp.contoso.co.us nach "Einzelbezeichnungen" suchen Standard werden schrittweise Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us und dann Single-label.co.us, bis ein System gefunden wird, das aufgelöst wird. Dieser Prozess wird als Devolution bezeichnet.

Ein Angreifer könnte ein System mit einem Einzelnen Bezeichnungsnamen außerhalb der Grenzen einer Organisation hosten und aufgrund der DNS-Devolution möglicherweise erfolgreich einen Windows-DNS-Client abrufen, um eine Verbindung mit dem System herzustellen, als wäre es innerhalb der Organisationsgrenze. Wenn beispielsweise das DNS-Suffix eines Unternehmens corp.contoso.co.us ist und versucht wird, einen nicht qualifizierten Hostnamen von "Single-Label" aufzulösen, versucht der DNS-Resolver Single-Label.corp.contoso.co.us. Wenn dies nicht gefunden wird, versucht es über DNS-Devolution, Single-label.contoso.co.us aufzulösen. Wenn dies nicht gefunden wird, wird versucht, Single-label.co.us aufzulösen, der sich außerhalb der contoso.co.us befindet Standard. Dieser Prozess wird als Devolution bezeichnet.

Wenn dieser Hostname beispielsweise WPAD ist, könnte ein Angreifer, der WPAD.co.us einrichte, eine bösartige Webproxy-AutoErmittlungsdatei bereitstellen, um die Clientproxyeinstellungen zu konfigurieren.

Microsoft hat die Sicherheitsempfehlung 971888 und ein zugehöriges Update veröffentlicht, um Organisationen genauere Kontrolle darüber zu bieten, wie Windows-Clients DNS-Devolution durchführen. Mit diesem Update kann eine Organisation verhindern, dass Clients sich außerhalb der Organisationsgrenze befinden.

Was können Entwickler von Drittanbietern tun, um die Weiterleitung von Anmeldeinformationen zu unterstützen?
Entwickler von Drittanbietern sollten die Implementierung des erweiterten Schutzes für die Authentifizierung in Betracht ziehen, indem Sie sich für diesen neuen Schutzmechanismus anmelden, der in der Microsoft Security Advisory 973811 beschrieben wird.

Weitere Informationen dazu, wie Entwickler diesen Mechanismus aktivieren können, finden Sie im MSDN-Artikel " Integrierte Windows-Authentifizierung mit erweitertem Schutz".

Was ist ein Dienstprinzipalname (SERVICE Principal Name, SPN)?
Ein Dienstprinzipalname (Service Principal Name, SPN) ist der Name, mit dem ein Client eine Instanz eines Diensts eindeutig identifiziert. Wenn Sie mehrere Instanzen eines Diensts auf Computern in einem Netzwerk installieren, muss jede Instanz über einen eigenen SPN verfügen. Eine Dienstinstanz kann mehrere SPNs aufweisen, falls mehrere Namen vorhanden sind, die von den Clients zur Authentifizierung verwendet werden können. Beispielsweise enthält ein SPN immer den Namen des Hostcomputers, auf dem die Dienstinstanz ausgeführt wird. Daher kann eine Dienstinstanz einen SPN für jeden Namen oder Alias des Hosts registrieren.

Vorgeschlagene Aktionen

  • Überprüfen Siedie Microsoft Security Advisory 973811, erweiterten Schutz für die Authentifizierung, und implementieren Sie die zugehörigen Updates.
    Diese Sicherheitsempfehlung liest die Veröffentlichung von nicht sicherheitsrelevanten Updates vor, die erweiterten Schutz für die Authentifizierung implementieren. Dieses Feature schützt Authentifizierungsversuche vor Weiterleitungsangriffen.
  • Microsoft Security Advisory 971888, Update für DNS Devolution überprüfen
    Diese Sicherheitsempfehlung liest die Veröffentlichung eines optionalen nicht sicherheitsrelevanten Updates vor, mit dem Systemadministratoren DNS-Devolution mit größerer Spezifität konfigurieren können.
  • Lesen Sie den Microsoft Knowledge Base-Artikel, der dieser Empfehlung zugeordnet ist.
    Kunden, die mehr über diese Sicherheitsempfehlung erfahren möchten, sollten den Microsoft Knowledge Base-Artikel 974926 überprüfen.
  • Schützen Ihres PCs
    Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie "Schützen Ihres Computers" besuchen.
  • Weitere Informationen dazu, wie Sie im Internet sicher bleiben, sollten Kunden Microsoft Security Central besuchen.
  • Windows auf dem neuesten Stand halten
    Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Windows Update, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.

Problemumgehungen

Es gibt eine Reihe von Problemumgehungen, um Systeme vor Anmeldeinformationsspiegelungs- oder Anmeldeinformationsweiterleitungsangriffen zu schützen. Microsoft hat die folgenden Problemumgehungen getestet. Obwohl diese Problemumgehungen die zugrunde liegende Sicherheitsanfälligkeit nicht beheben, helfen sie, bekannte Angriffsvektoren zu blockieren. Wenn eine Problemumgehung die Funktionalität reduziert, wird sie im folgenden Abschnitt identifiziert.

Blockieren von TCP-Ports 139 und 445 an der Firewall

Bei Angriffen auf Anmeldeinformationen werden eingehende Verbindungen mit den weitergeleiteten Anmeldeinformationen höchstwahrscheinlich über die SMB- oder RPC-Dienste hinweg ausgeführt. Das Blockieren von TCP-Ports 139 und 445 in der Firewall trägt zum Schutz von Systemen bei, die sich hinter dieser Firewall befinden, vor Versuchen, diese Sicherheitsanfälligkeit auszunutzen. Microsoft empfiehlt, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu Ports finden Sie unter TCP- und UDP-Portzuweisungen.

Auswirkungen der Problemumgehung: Mehrere Windows-Dienste verwenden die betroffenen Ports. Das Blockieren der Konnektivität mit den Ports kann dazu führen, dass verschiedene Anwendungen oder Dienste nicht funktionieren. Einige der Anwendungen oder Dienste, die betroffen sein könnten, sind unten aufgeführt:

  • Anwendungen, die SMB (CIFS) verwenden
  • Anwendungen, die Maillots oder benannte Rohre (RPC über SMB) verwenden
  • Server (Datei- und Druckfreigabe)
  • Gruppenrichtlinien
  • Netzwerkanmeldung
  • Verteiltes Dateisystem (Distributed File System, DFS)
  • Terminalserverlizenzierung
  • Druckspooler
  • Computerbrowser
  • RPC-Locator
  • Faxdienst
  • Indexdienst
  • Leistungsprotokolle und Warnungen
  • Systems Management Server
  • Lizenzprotokollierungsdienst

Aktivieren von SMB-Signaturen

Durch aktivieren der SMB-Signatur wird verhindert, dass der Angreifer Code im Kontext des angemeldeten Benutzers ausführt. Die SMB-Signatur bietet eine gegenseitige und Nachrichtenauthentifizierung, indem sie eine digitale Signatur in jede SMB einfügt, die dann vom Client und vom Server überprüft wird. Microsoft empfiehlt die Verwendung von Gruppenrichtlinien zum Konfigurieren der SMB-Signatur.

Ausführliche Anweisungen zur Verwendung von Gruppenrichtlinien zum Aktivieren und Deaktivieren der SMB-Signatur für Microsoft Windows 2000, Windows XP und Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 887429. Die Anweisungen im Microsoft Knowledge Base-Artikel 887429 für Windows XP und Windows Server 2003 gelten auch für Windows Vista und Windows Server 2008.

Auswirkungen der Problemumgehung: Die Verwendung der SMB-Paketsignierung kann die Leistung bei Dateidiensttransaktionen beeinträchtigen. Computer mit diesem Richtliniensatz kommunizieren nicht mit Computern, auf denen keine clientseitige Paketsignierung aktiviert ist. Weitere Informationen zur SMB-Signierung und potenziellen Auswirkungen finden Sie unter Microsoft-Netzwerkserver: Digitales Signieren der Kommunikation (immer).

Sonstige Informationen

Ressourcen:

  • Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die Microsoft-Hilfe und den Support besuchen : Wenden Sie sich an uns.
  • Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
  • Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • V1.0 (8. Dezember 2009): Empfehlung veröffentlicht.

Gebaut am 2014-04-18T13:49:36Z-07:00