Beveiligingsadvies
Microsoft Security Advisory 2506014
Update voor het Windows-besturingssysteemlaadprogramma
Gepubliceerd: 12 april 2011
Versie: 1.0
Algemene gegevens
Samenvatting
Microsoft kondigt de beschikbaarheid van een update aan voor winload.exe om een probleem op te lossen bij het afdwingen van ondertekening van stuurprogramma's. Hoewel dit geen probleem is waarvoor een beveiligingsupdate vereist is, wordt met deze update een methode opgelost waarmee niet-ondertekende stuurprogramma's kunnen worden geladen door winload.exe. Deze techniek wordt vaak gebruikt door malware om ingezet te blijven op een systeem na de eerste infectie.
Het probleem is van invloed en de update is beschikbaar voor op x64 gebaseerde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2. Zie het Microsoft Knowledge Base-artikel 2506014 voor meer informatie over deze release.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Verwijzingen | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 2506014 |
Betrokken en niet-beïnvloede software
In dit advies worden de volgende software besproken.
| Betrokken software |
|---|
| Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2 |
| Windows 7 voor x64-systemen en Windows 7 voor x64-systemen Service Pack 1 |
| Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen Service Pack 1 |
| Niet-beïnvloede software |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen |
| Windows Vista Service Pack 1 en Windows Vista Service Pack 2 |
| Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2 |
| Windows Server 2008 voor Op Itanium gebaseerde systemen en Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 |
| Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen Service Pack 1 |
| Windows Server 2008 R2 voor Op Itanium gebaseerde systemen en Windows Server 2008 R2 voor Op Itanium gebaseerde systemen Service Pack 1 |
Veelgestelde vragen
Wat is het bereik van het advies?
Dit advies biedt verduidelijking en melding van de beschikbaarheid van een niet-beveiligingsupdate om een probleem op te lossen bij het afdwingen van stuurprogramma's. De update is een methode waarmee niet-ondertekende stuurprogramma's kunnen worden geladen door winload.exe. Deze techniek wordt vaak gebruikt door malware, zoals rootkits, om ingezet te blijven op een systeem na de eerste infectie. Het probleem is van invloed op de software die wordt vermeld in de bovenstaande tabel Affected Software .
Wat veroorzaakt dit probleem?
Tijdens het opstartproces bepaalt winload.exe de ondertekende status van binaire systeembestanden. Met bepaalde onvolkomenheden in dit proces kunnen niet-ondertekende binaire bestanden worden geladen. Wanneer dit gebeurt, kan Windows de integriteit van bepaalde kernbesturingssysteemonderdelen niet garanderen.
Wat is het Windows-besturingssysteemlaadprogramma (winload.exe)?
Het Windows-besturingssysteemlaadprogramma (winload.exe) laadt de Windows-kernel en de bijbehorende afhankelijkheden, evenals de opstartstuurprogramma's. Dit onderdeel bevat ook code waarmee het BIOS van een systeem wordt opgevraagd om basisapparaat- en configuratiegegevens op te halen. Deze toepassing maakt deel uit van het besturingssysteem en laadt een specifieke versie van Windows. De firmware wordt gebruikt om de kernel van het besturingssysteem te laden en kritieke apparaatstuurprogramma's vanaf een lokale harde schijf op te starten.
Wat is ondertekening van stuurprogramma's?
Stuurprogrammaondertekening koppelt een digitale handtekening aan een stuurprogrammapakket. Installatie van Windows-apparaten maakt gebruik van digitale handtekeningen om de integriteit van stuurprogrammapakketten te controleren en om de identiteit van de leverancier (softwareuitgever) te verifiëren die de stuurprogrammapakketten levert. Bovendien geeft het ondertekeningsbeleid voor kernelmoduscode voor x64-gebaseerde edities van Windows Vista en latere versies van Windows op dat een kernelmodusstuurprogramma moet worden ondertekend om het stuurprogramma te laden. Zie het MSDN-artikel over stuurprogrammaondertekening voor meer informatie over het ondertekenen van stuurprogramma's.
Wat is een rootkit?
Een rootkit is een programma waarvan het belangrijkste doel is om bepaalde functies uit te voeren die niet gemakkelijk kunnen worden gedetecteerd of ongedaan kunnen worden gemaakt door een systeembeheerder, zoals zichzelf verbergen of andere malware.
Verwijdert deze update een rootkit uit een geïnfecteerd systeem?
Nee De update voorkomt een bekende methode die rootkits gebruiken om te verbergen voor antimalwareprogramma's. Zelfs nadat de update is geïnstalleerd, moet een systeem dat is geïnfecteerd met een rootkit nog steeds worden opgeschoond via een andere methode.
Hoe kan ik bepalen of mijn systeem is geïnfecteerd met een rootkit?
Zodra de update is toegepast, moet een geïnstalleerd antimalwareprogramma de rootkit kunnen detecteren en u informeren over de aanwezigheid ervan.
Hoe kan ik een rootkit verwijderen?
Handmatig verwijderen wordt niet aanbevolen voor de meeste rootkits. Gebruik het Hulpprogramma voor het verwijderen van schadelijke software van Microsoft, Microsoft Security Essentials, Windows Live OneCare-veiligheidsscanner of een ander up-to-date hulpprogramma voor scannen en verwijderen om deze bedreiging en andere ongewenste software van uw computer te detecteren en te verwijderen. Zie https voor meer informatie over Microsoft-beveiligingsproducten.
Voorkomt deze update dat toekomstige infecties optreden?
Nee Deze update verhoogt de moeilijkheid van rootkits om te verbergen, maar omdat het geen beveiligingsprobleem oplost, zou het niet voorkomen dat er een toekomstige malware-infectie optreedt.
Waarom is deze update alleen beschikbaar voor x64-systemen?
Ondertekening van stuurprogramma's is geen vereiste van 32-bits edities van de vermelde Windows-besturingssysteemversies. Itanium-systemen worden niet beïnvloed door dit probleem.
Ik ben een ontwikkelaar die binaire bestanden verzendt. Moet ik voor deze update al mijn binaire bestanden opnieuw ondertekenen?
Nee Voor deze update zijn geen wijzigingen in bestaande ondertekende binaire bestanden vereist.
Hoe vermeldt Microsoft deze update op de Website van Windows Update?
De update voor de Windows-kernel is een update met hoge prioriteit op de Website van Windows Update. Op de Windows Update-site wordt deze vermeld in de categorie Updates met hoge prioriteit voor klanten die de update nog niet hebben ontvangen en de hierboven vermelde software uitvoeren.
Wordt deze update gedistribueerd over automatische updates?
Ja, deze update wordt gedistribueerd over automatische updates naar systemen die worden vermeld in de bovenstaande tabel Affected Software .
Is dit een update waarvoor een bulletin is vereist?
Nee, dit is geen probleem waarvoor een Microsoft-beveiligingsbulletin en beveiligingsupdate is vereist. Als u wilt dat een programma code uitvoert zoals hierboven beschreven, moet het programma al worden uitgevoerd op bevoegd niveau. De update brengt wijzigingen aan om ervoor te zorgen dat alleen bedoelde programma's die zijn ondertekend door een geldige certificeringsinstantie, kunnen worden uitgevoerd in winload.exe tijdens de opstartfase.
Dit is een beveiligingsadvies over een niet-beveiligingsupdate. Is dat geen tegenstrijdigheid?
Beveiligingsadviezen hebben betrekking op beveiligingswijzigingen die mogelijk geen beveiligingsbulletin vereisen, maar kunnen nog steeds van invloed zijn op de algehele beveiliging van de klant. Beveiligingsadviezen zijn een manier voor Microsoft om beveiligingsgerelateerde informatie te communiceren aan klanten over problemen die mogelijk niet als beveiligingsproblemen worden geclassificeerd en waarvoor mogelijk geen beveiligingsbulletin is vereist of over problemen waarvoor geen beveiligingsbulletin is uitgebracht. In dit geval communiceren we de beschikbaarheid van een update die van invloed is op de mogelijkheid om volgende updates uit te voeren, inclusief beveiligingsupdates. Daarom heeft dit advies geen betrekking op een specifiek beveiligingsprobleem; In plaats daarvan wordt uw algehele beveiliging aangepakt.
Voorgestelde acties
Bekijk de Microsoft Knowledge Base-artikelen die aan dit advies zijn gekoppeld
We raden klanten aan om deze updates te installeren. Klanten die meer willen weten over deze updates, moeten het Microsoft Knowledge Base-artikel 2506014 raadplegen.
Zie het Microsoft Knowledge Base-artikel 824684 voor meer informatie over de terminologie die in dit advies wordt weergegeven, zoals 'bijwerken'.
Uw computer beveiligen
We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Klanten kunnen meer informatie over deze stappen vinden door naar Uw computer beveiligen te gaan.
Windows bijgewerkt houden
Alle Windows-gebruikers moeten de nieuwste beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo goed mogelijk zijn beveiligd. Als u niet zeker weet of uw software up-to-date is, gaat u naar Windows Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als automatische updates zijn ingeschakeld, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar moet u ervoor zorgen dat u ze installeert.
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites die worden geleverd door programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (12 april 2011): Advies gepubliceerd.
Gebouwd op 2014-04-18T13:49:36Z-07:00</https:>