Microsoft Security Bulletin MS15-031 – Wichtig

Sicherheitsanfälligkeit in Schannel könnte die Umgehung von Sicherheitsfeatures zulassen (3046049)

Veröffentlicht: 10. März 2015 | Aktualisiert: 24. März 2015

Version: 1.1

Kurzfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows, die die Nutzung der öffentlich offengelegten FREAK-Technik erleichtert, einem branchenweiten Problem, das nicht für Windows-Betriebssysteme spezifisch ist. Die Sicherheitsanfälligkeit könnte es einem Mann-in-the-Middle (MiTM)-Angreifer ermöglichen, die Herabstufung der Schlüssellänge eines RSA-Schlüssels auf die Länge der EXPORT-Klasse in einer TLS-Verbindung zu erzwingen. Jedes Windows-System, das Schannel verwendet, um eine Verbindung mit einem Remote-TLS-Server mit einer unsicheren Verschlüsselungssuite herzustellen, ist betroffen.

Dieses Sicherheitsupdate ist für alle unterstützten Versionen von Microsoft Windows als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Durchsetzungsrichtlinien der Verschlüsselungssuite korrigiert werden, die verwendet werden, wenn Serverschlüssel zwischen Servern und Clientsystemen ausgetauscht werden. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".

Dieses Sicherheitsupdate behebt auch die sicherheitsanfälligkeit, die zuerst in der Microsoft Security Advisory 3046015 beschrieben wird.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3046049.

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Hinweis: Das Update ist für Windows Technical Preview und Windows Server Technical Preview verfügbar. Kunden, die diese Betriebssysteme ausführen, werden ermutigt, das Update anzuwenden, das über Windows Update verfügbar ist.

^[1]Dieses Update ist nur über Windows Update verfügbar.

Häufig gestellte Fragen zum Aktualisieren

Nach der Installation des Updates sind exportchiffre weiterhin unter Windows Server 2003 aktiviert; wie deaktiviere ich sie?
Um die EXPORTchiffre auf Windows Server 2003-Systemen zu deaktivieren, befolgen Sie die Anleitungen im Microsoft Knowledge Base-Artikel 3050509.

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im März.

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit bei Schannel-Sicherheitsfeatures – CVE-2015-1637

In Secure Channel (Schannel) ist eine Sicherheitsanfälligkeit zur Umgehung von Sicherheitsfeatures vorhanden, die durch ein Problem auf dem TLS-Zustandscomputer verursacht wird, bei dem ein Clientsystem einen RSA-Schlüssel mit kürzerer Schlüssellänge als die ursprünglich ausgehandelte Schlüssellänge akzeptiert. Die Sicherheitsanfälligkeit erleichtert die Nutzung der öffentlich offengelegten FREAK-Technik, bei der es sich um ein branchenweites Problem handelt, das nicht für Windows-Betriebssysteme spezifisch ist.

Bei einem Man-in-the-Middle-Angriff (MiTM) könnte ein Angreifer die Schlüssellänge eines RSA-Schlüssels in einer verschlüsselten TLS-Sitzung herabstufen. Der Angreifer könnte diesen Datenverkehr dann abfangen und entschlüsseln. Jedes Windows-System, das eine Verbindung mit einem TLS-Server als Client herstellt, ist betroffen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann MiTM-Angriffe ausführen, die verschlüsselten Datenverkehr entschlüsseln könnten.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Durchsetzungsrichtlinien der Verschlüsselungssuite korrigiert werden, die verwendet werden, wenn Serverschlüssel zwischen Servern und Clientsystemen ausgetauscht werden.

Diese Sicherheitsanfälligkeit wurde öffentlich offengelegt. Sie wurde der Allgemeinen Sicherheitsrisiko- und Risikonummer CVE-2015-1637 zugewiesen. Als dieses Bulletin ursprünglich veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass dieses Problem öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

• Ein Server muss RSA-Schlüsselaustausch-EXPORTchiffre unterstützen, damit ein Angriff erfolgreich ist; die Verschlüsselungen sind in Den Standardkonfigurationen von Windows Vista/Server 2008 und höheren Betriebssystemen deaktiviert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

• Deaktivieren von RSA-Schlüsselaustauschchiffre mithilfe des Gruppenrichtlinienobjekt-Editors (nur Windows Vista und höhere Systeme)
  Sie können die RSA-Schlüsselaustauschchiffre in Windows Vista und späteren Systemen deaktivieren, indem Sie die Reihenfolge der SSL-Verschlüsselungssuite im Gruppenrichtlinienobjekt-Editor ändern.

  Hinweis: Durch die Installation dieses Updates (3046049) werden Systeme vor der sicherheitsanfälligkeit geschützt, die in diesem Bulletin erläutert wird. Kunden, die diese Problemumgehung zuvor implementiert haben, müssen die Schritte zum Rückgängigmachen der Problemumgehung ausführen, wenn sie eine der zuvor deaktivierten Verschlüsselungen verwenden möchten.

  Um die RSA-Schlüsselaustauschchiffre zu deaktivieren, müssen Sie die Verschlüsselungen angeben, die Windows verwenden soll, indem Sie die folgenden Schritte ausführen:

  1. Geben Sie an einer Eingabeaufforderung "gpedit.msc " ein, und drücken Sie die EINGABETASTE , um den Gruppenrichtlinienobjekt-Editor zu starten.

  2. Erweitern Sie computerkonfiguration, administrative Vorlagen, Netzwerk, und klicken Sie dann auf SSL-Konfiguration Einstellungen.

  3. Doppelklicken Sie unter "SSL Configuration Einstellungen" auf "SSL Cipher Suite Order".

  4. Klicken Sie im Fenster "SSL Cipher Suite Order " auf "Aktiviert".

  5. Doppelklicken Sie im Bereich "Optionen" , um den gesamten Inhalt des Felds "SSL Cipher Suites " hervorzuheben, und ersetzen Sie dann den Inhalt durch die folgende Verschlüsselungsliste:

     TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
      TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
      TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
      TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
      TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
      TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
      TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
      TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
      TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
      TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
      TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
      TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
      TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
      TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA`
     

  6. Klicken Sie auf OK.

  7. Schließen Sie den Gruppenrichtlinienobjekt-Editor, und starten Sie das System dann neu.

    Auswirkungen der Problemumgehung. Windows kann keine Verbindung mit Systemen herstellen, die keine der in der Problemumgehung aufgeführten Verschlüsselungen unterstützen. Um zu bestimmen, welche Chiffre für jedes kryptografische Protokoll verfügbar sind, verweisen Sie auf Cipher Suites in Schannel.

So können Sie die Problemumgehung rückgängig machen. Führen Sie die folgenden Schritte aus, um die Richtlinieneinstellung "SSL Cipher Suite Order" zu deaktivieren:

1. Geben Sie an einer Eingabeaufforderung "gpedit.msc " ein, und drücken Sie die EINGABETASTE , um den Gruppenrichtlinienobjekt-Editor zu starten.
2. Erweitern Sie computerkonfiguration, administrative Vorlagen, Netzwerk, und klicken Sie dann auf SSL-Konfiguration Einstellungen.
3. Doppelklicken Sie unter "SSL Configuration Einstellungen" auf "SSL Cipher Suite Order".
4. Klicken Sie im Fenster "SSL Cipher Suite Order " auf "Deaktiviert " und dann auf "OK".
5. Schließen Sie den Gruppenrichtlinienobjekt-Editor, und starten Sie das System dann neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (10. März 2015): Bulletin veröffentlicht.
• V1.1 (24. März 2015): Überarbeitetes Bulletin zum Hinzufügen eines HÄUFIG gestellten Faq-Artikels zu Microsoft Knowledge Base-Artikel 3050509 anweisungen zum Deaktivieren von EXPORTchiffre nach der Installation des Updates auf Windows Server 2003-Systemen.

Seite generiert 2015-03-23 16:56Z-07:00.