Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 955179

Door een beveiligingslek in het ActiveX-besturingselement voor de Microsoft Access Snapshot Viewer kan externe code worden uitgevoerd

Gepubliceerd: maandag 7 juli 2008

Microsoft onderzoekt actieve, gerichte aanvallen waarbij gebruik wordt gemaakt van een mogelijk beveiligingslek in het ActiveX-besturingselement voor de Microsoft Access Snapshot Viewer. Een aanvaller kan het beveiligingslek misbruiken door een speciaal ontworpen webpagina te maken. Als een gebruiker die webpagina bekijkt, kan via het beveiligingslek code vanaf een externe locatie worden uitgevoerd. Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker.

Dankzij het ActiveX-besturingselement voor de Snapshot Viewer voor Microsoft Access kunt u een momentopname van een Access-rapport bekijken zonder dat u de standaard- of runtime-versies van Microsoft Office Access nodig hebt. Het beveiligingslek betreft alleen het ActiveX-besturingselement voor de Snapshot Viewer voor Microsoft Office Access 2000, Microsoft Office Access 2002 en Microsoft Office Access 2003.

Het ActiveX-besturingselement wordt bij alle ondersteunde versies van Microsoft Office Access geleverd, behalve bij Microsoft Office Access 2007. Het ActiveX-besturingselement wordt ook bij de stand-alone Snapshot Viewer geleverd.

Beperkende factoren

  • In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
  • Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
  • Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Het beveiligingsniveau voor de zone Internet wordt in deze modus ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd.

Algemene informatie

Doel van het advies: Melding van actieve, gerichte aanvallen die gevolgen hebben voor het ActiveX-besturingselement voor de Snapshot Viewer voor Microsoft Office Access 2000, Microsoft Office Access 2002 en Microsoft Office Access 2003.

Status van het advies: Advies gepubliceerd

Aanbeveling: De voorgestelde acties beoordelen en waar van toepassing configureren.

Meer informatieIdentificatie
CERT-verwijzing VU#837785
CVE-verwijzing CVE-2008-2463

Dit advies betreft de volgende software:

Verwante software
Snapshot Viewer voor Microsoft Access
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003

Wat is de omvang van het advies?
Microsoft is op de hoogte gebracht van een nieuwe melding van een beveiligingslek dat gevolgen heeft voor het ActiveX-besturingselement voor de Snapshot Viewer voor Microsoft Access. De software in het overzicht heeft last van dit beveiligingslek.

Is dit beveiligingslek dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen?
Microsoft zal de juiste actie ondernemen om onze klanten te beschermen. We kunnen een beveiligingsupdate aanbieden via de maandelijkse bulletins of we kunnen een tussentijdse update of extra ondersteuning aanbieden, zodat klanten een betere bescherming krijgen.

Hoe wordt deze bedreiging veroorzaakt?
Deze bedreiging wordt veroorzaakt door een beveiligingslek in het ActiveX-besturingselement voor Snapshot Viewer. Een speciaal vervaardigde website die speciaal is ontworpen om via Internet Explorer misbruik te maken van het ActiveX-besturingselement kan leiden tot uitvoering van externe code. Dit kan ook betrekking hebben op gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Wat is de Snapshot Viewer voor Microsoft Access?
Met de Snapshot Viewer kunt u een momentopname van een Access-rapport bekijken zonder dat u de standaard- of runtime-versies van Microsoft Office Access nodig hebt.

Wat is een kill-bit?
Er is een beveiligingsfunctie in Microsoft Internet Explorer waarmee wordt voorkomen dat een ActiveX-besturingselement ooit opnieuw wordt geladen door de HTML-rendering-engine van Internet Explorer. Dit gebeurt door het wijzigen van een registerinstelling. Deze actie wordt aangeduid als het instellen van de kill-bit. Als de kill-bit eenmaal is ingesteld, kan het besturingselement niet meer worden geladen (zelfs niet als het volledig is geïnstalleerd). Door deze maatregel bent u ervan verzekerd dat zelfs bij het installeren of opnieuw installeren van een kwetsbaar onderdeel op een systeem, het onderdeel passief en ongevaarlijk blijft.

Zie Microsoft Knowledge Base-artikel 240797 voor meer informatie over kill-bits: Uitvoering van een ActiveX-besturingselement in Internet Explorer voorkomen.

Als ik het besturingselement niet heb geïnstalleerd, moet ik dan de kill-bit instellen?
Ja. Als u de kill-bit instelt, wordt voorkomen dat het kwetsbare besturingselement in Internet Explorer wordt gestart.

Hoe weet ik of het besturingselement is geïnstalleerd?
Eén of meer van de volgende registersleutels worden ingesteld:

HKEY_CLASSES_ROOT\CLSID\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F2175210-368C-11D0-AD81-00A0C90DC8D9}

Tijdelijke oplossingen

Microsoft heeft een aantal methoden getest om het probleem te omzeilen. Het probleem wordt er niet door verholpen, maar bekende aanvalsvectoren kunnen ermee worden geblokkeerd. Wanneer de functionaliteit wordt beperkt door een tijdelijke oplossing, wordt dit in de vermelding vastgelegd.

  • Verhinderen dat COM-objecten in Internet Explorer worden gestart

    U kunt pogingen om een COM-object in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

    Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

    Voor informatie over hoe u kunt voorkomen dat een besturingselement in Internet Explorer wordt uitgevoerd, raadpleegt u Microsoft Knowledge Base-artikel 240797. In dit artikel kunt u ook lezen hoe u een compatibiliteitsvlagwaarde in het register kunt maken om te voorkomen dat een COM-object in Internet Explorer wordt gestart.

    Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

    Windows Registry-editor versie 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

    Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

    Gevolgen van de tijdelijke oplossing: Het ActiveX-besturingselement wordt niet meer in Internet Explorer gestart. Bij klanten die dit besturingselement nodig hebben om een momentopname van een rapport te kunnen bekijken zonder dat zij de standaard- of runtime-versies van Microsoft Office Access 97 hoeven te installeren via Microsoft Office Access 2007, worden de rapporten mogelijk niet weergegeven wanneer er via Internet Explorer gebruik wordt gemaakt van het ActiveX-besturingselement voor Snapshot Viewer.

  • Stel Internet Explorer zodanig in dat u wordt gevraagd of u actieve scripts wilt uitvoeren, of schakel de optie Actief uitvoeren van scripts uit voor de beveiligingszones Het Internet en Lokaal intranet

    U kunt het systeem beter beschermen tegen misbruik van dit beveiligingslek door bepaalde instellingen te wijzigen zodat u wordt gevraagd om bevestiging voordat scripts actief worden uitgevoerd. U kunt ook de optie Actief uitvoeren van scripts uitschakelen in de beveiligingszones Het Internet en Lokaal intranet. Voer hiertoe de volgende stappen uit:

    1. Klik op Internet-opties in het menu Extra van Internet Explorer.
    2. Klik op het tabblad Beveiliging.
    3. Klik op Het Internet en klik op Aangepast niveau.
    4. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen of Uitschakelen en klik op OK.
    5. Klik op Lokaal intranet en klik op Aangepast niveau.
    6. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen of Uitschakelen en klik op OK.
    7. Klik tweemaal op OK om terug te gaan naar Internet Explorer.

    Opmerking Als u Actief uitvoeren van scripts uitschakelt in de beveiligingszones Het Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

    Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

    Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

    Voer hiertoe de volgende stappen uit:

    1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
    2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
    3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
    4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik op Toevoegen.
    5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
    6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

    Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

    Gevolgen van de tijdelijke oplossing: Wanneer u vraagt om bevestiging voordat u Active Scripting uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de technologie voor actieve scripts. Een website van een e-commerce-bedrijf of een bank kan met de optie Actief uitvoeren van scripts menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat actieve scripts worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  • Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op “Hoog” als u wilt worden gevraagd of u ActiveX-besturingselementen en actieve scripts in deze zones wilt uitvoeren

    U kunt het systeem beter tegen de gevaren van dit beveiligingslek beschermen door bepaalde instellingen voor de beveiligingszone Het Internet zodanig te wijzigen dat de gebruiker om bevestiging wordt gevraagd voordat ActiveX-besturingselementen worden uitgevoerd en scripts actief worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

    Ga als volgt te werk als u het beveiligingsniveau van Internet Explorer wilt verhogen:

    1. Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
    2. Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
    3. Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

    Opmerking Klik, als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

    Opmerking Als u het niveau instelt op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

    Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

    Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

    Voer hiertoe de volgende stappen uit:

    1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
    2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites
    3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
    4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik op Toevoegen.
    5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
    6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

    Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

    Gevolgen van de tijdelijke oplossing: Wanneer u wordt gevraagd om bevestiging voordat een ActiveX-besturingselement of een actief script wordt uitgevoerd, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij ActiveX of Active Scripting. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen bijvoorbeeld menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat een ActiveX-besturingselement of een actief script wordt uitgevoerd, is een algemene instelling die voor alle websites (internet en intranet) geldt. Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, klikt u op Ja als u de website vertrouwt die u wilt bezoeken. Hierna worden de ActiveX-besturingselementen en actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

Overige informatie

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • 7 juli 2008: Advies gepubliceerd

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft