Microsoft Security Advisory 921923

  • 11.10.2017
  • 8 Minuten Lesezeit
    • B

Sicherheitsempfehlung

Proof of Concept Code veröffentlicht Auswirkungen auf den Remote Access Connection Manager-Dienst

Veröffentlicht: 23.Juni 2006

Microsoft ist bekannt, dass im Internet detaillierter Exploit-Code für die Sicherheitsanfälligkeit veröffentlicht wurde, die vom Microsoft Security Bulletin MS06-025 behoben wird. Microsoft sind derzeit keine aktiven Angriffe bekannt, die diesen Exploit-Code verwenden, oder Auswirkungen auf Kunden. Microsoft überwacht diese Situation jedoch aktiv, um die Kunden auf dem Laufenden zu halten und bei Bedarf Kundenanleitungen bereitzustellen.
Unsere Untersuchung dieses Exploit-Codes hat bestätigt, dass er keine Auswirkungen auf Kunden hat, die die in MS06-025 beschriebenen Updates auf ihren Computern installiert haben. Microsoft empfiehlt Kunden weiterhin, die Updates auf die betroffenen Produkte anzuwenden, indem sie die Funktion für automatische Updates in Windows aktivieren.Microsoft ist enttäuscht, dass bestimmte Sicherheitsforscher haben die allgemein akzeptierte Branchenpraxis der Zurückhaltung Schwachstelle Daten so kurz vor Update-Release verletzt und haben Exploit-Code veröffentlicht, potenziell schädlich für Computer-Nutzer. Wir fordern Sicherheitsforscher weiterhin dringend auf, Informationen zu Sicherheitslücken verantwortungsvoll offenzulegen und Kunden Zeit für die Bereitstellung von Updates zu geben, damit sie Kriminellen nicht bei ihrem Versuch helfen, Software-Sicherheitslücken auszunutzen

Mildernde Faktoren:

  • Kunden, die das Sicherheitsupdate MS06-025 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
  • Windows 2000-Systeme sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Kunden, die Windows 2000 ausführen, sollten MS06-025 so schnell wie möglich bereitstellen oder den RASMAN-Dienst deaktivieren.
  • Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 benötigt der Angreifer gültige Anmeldeinformationen, um die Sicherheitsanfälligkeit auszunutzen.
  • Dieses Problem betrifft nicht Windows 98, Windows 98 SE oder Windows Millennium Edition.

Allgemeine Informationen

Übersicht

Zweck der Empfehlung: Benachrichtigung über die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Bedrohung.

Advisory Status: Da dieses Problem bereits im MS06-025 Security Bulletin behandelt wird, ist kein zusätzliches Update erforderlich.

Empfehlung: Installieren Sie das Sicherheitsupdate MS06-025, um sich vor dieser Sicherheitsanfälligkeit zu schützen.

Identification
CVE Reference CVE-2006-2370
CVE-2006-2371
Security Bulletin MS06-025

This advisory discusses the following software.

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1 und Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Ausgabe

Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme

Microsoft Windows Server 2003 x64 Edition

Häufig gestellte Fragen

Was ist der Umfang der Beratung?Microsoft ist sich der öffentlichen Veröffentlichung von Exploit-Code bewusst, der auf Sicherheitslücken abzielt, die im Microsoft-Sicherheitsupdate MS06-025 identifiziert wurden. Dies betrifft die Software, die im Abschnitt „Übersicht“ aufgeführt ist

Handelt es sich um eine Sicherheitsanfälligkeit, für die Microsoft ein Sicherheitsupdate ausstellen muss?
Nein. Kunden, die das Sicherheitsupdate MS06-025 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Es ist kein zusätzliches Update erforderlich.

Was verursacht diese Bedrohung?
Ein ungeprüfter Puffer in Routing- und Remotezugriffstechnologien, der sich speziell auf den RASMAN-Dienst (Remote Access Connection Manager Service) auswirkt

Was macht die Funktion?
Der Remote Access Connection Manager ist ein Dienst, der die Details der Herstellung der Verbindung mit dem Remote-Server behandelt. Dieser Dienst stellt dem Client auch Statusinformationen während des Verbindungsvorgangs zur Verfügung. Der Remote Access Connection Manager startet automatisch, wenn eine Anwendung den RASAPI32 lädt.DLL

Wozu könnte ein Angreifer diese Funktion verwenden?Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über das betroffene System übernehmen.

Gibt es bekannte Probleme bei der Installation des Microsoft-Sicherheitsupdates MS06-025, das vor dieser Bedrohung schützt?
Microsoft Knowledge Base-Artikel 911280dokumentiert die derzeit bekannten Probleme, die bei der Installation des Sicherheitsupdates auftreten können. Nur Kunden, die DFÜ-Verbindungen verwenden, die Skripte verwenden, die ihr Gerät für Parität, Stoppbits oder Datenbits oder ein Terminalfenster nach der Verbindung oder DFÜ-Skripte konfigurieren, sind von den im KB-Artikel beschriebenen Problemen betroffen. Wenn Kunden keines der angegebenen DFÜ-Szenarien verwenden, werden sie aufgefordert, das Update sofort zu installieren..

Vorgeschlagene Aktionen

Wenn Sie das mit Security Bulletin MS06-025 veröffentlichte Update installiert haben, sind Sie bereits vor dem Angriff geschützt, der im öffentlich veröffentlichten Proof of Concept-Code angegeben ist. Wenn Sie das Update nicht installiert haben oder von einem der im Microsoft Knowledge Base-Artikel 911280 genannten Szenarien betroffen sind, müssen Kunden den RAS-Verbindungsmanagerdienst deaktivieren.

  • Deaktivieren des Remote Access Connection Manager-Dienstes

    Das Deaktivieren des Remote Access Connection Manager-Dienstes schützt das betroffene System vor Versuchen, diese Sicherheitsanfälligkeit auszunutzen. Gehen Sie folgendermaßen vor, um den RASMAN-Dienst (Remote Access Connection Manager) zu deaktivieren:

    1. Klicken Sie auf Start und dann auf Systemsteuerung. Alternativ können Sie auf Einstellungen zeigen und dann auf Systemsteuerung klicken.
    2. Doppelklicken Sie auf Verwaltung.
    3. Doppelklicken Sie auf Dienste.
    4. Doppelklicken Sie auf Remote Access Connection Manager
    5. Klicken Sie in der Liste Starttyp auf Deaktiviert.
    6. Klicken Sie auf Stopp, und klicken Sie dann auf OK.

    Sie können den RASMAN-Dienst (Remote Access Connection Manager) auch mit dem folgenden Befehl an der Eingabeaufforderung beenden und deaktivieren:

    sc stop rasman & sc config rasman start= disabled

    Auswirkungen der Problemumgehung: Wenn Sie den RAS-Verbindungsmanagerdienst deaktivieren, können Sie anderen Hosts in lokalen und Weitverkehrsnetzwerkumgebungen keine Routingdienste anbieten. Daher empfehlen wir diese Problemumgehung nur auf Systemen, die keine Verwendung von RASMAN für Remotezugriff und Routing erfordern.

  • Blockieren Sie Folgendes an der Firewall:

    • UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593
    • Sämtlicher unerwünschter eingehender Datenverkehr auf Ports größer als 1024
    • Jeder andere speziell konfigurierte RPC-Port

    Diese Ports werden verwendet, um eine Verbindung mit RPC herzustellen. Wenn Sie sie an der Firewall blockieren, werden Systeme, die sich hinter dieser Firewall befinden, vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen. Stellen Sie außerdem sicher, dass Sie jeden anderen speziell konfigurierten RPC-Port auf dem Remotesystem blockieren. Wir empfehlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die andere Ports verwenden können. Weitere Informationen zu Ports, die RPC verwendet, finden Sie auf der folgenden Website.Verwenden Sie zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, eine persönliche Firewall, z. B. die Internet Connection Firewall, die in Windows XP und Windows Server 2003 enthalten ist.

    Standardmäßig schützt die Internetverbindungsfirewall in Windows XP und Windows Server 2003 Ihre Internetverbindung, indem sie unerwünschten eingehenden Datenverkehr blockiert. Wir empfehlen Ihnen, alle unerwünschten eingehenden Nachrichten aus dem Internet zu blockieren. In Windows XP Service Pack 2 wird diese Funktion als Windows-Firewall bezeichnet.

    Um die Firewall-Funktion für die Internetverbindung mithilfe des Netzwerk-Setup-Assistenten zu aktivieren, gehen Sie folgendermaßen vor:

    1. Klicken Sie auf Start und dann auf Systemsteuerung.
    2. Klicken Sie in der Ansicht Standardkategorie auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk oder kleines Büronetzwerk einrichten oder ändern. Die Internet Connection Firewall-Funktion ist aktiviert, wenn Sie im Netzwerk-Setup-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

    Um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren, gehen Sie folgendermaßen vor:

    1. Klicken Sie auf Start und dann auf Systemsteuerung.
    2. Klicken Sie in der Ansicht Standardkategorie auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Netzwerkverbindungen.
    3. Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Erweitert.Aktivieren Sie das Kontrollkästchen Arbeitsplatz oder Netzwerk schützen, indem Sie den Zugriff auf diesen Computer über das Internet einschränken oder verhindern, und klicken Sie dann auf OK.Hinweis Wenn Sie die Kommunikation bestimmter Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen, und wählen Sie dann die erforderlichen Programme, Protokolle und Dienste aus.
    5. Kunden, die glauben, angegriffen worden zu sein, sollten sich an ihr örtliches FBI-Büro wenden oder ihre Beschwerde auf der Website des Internet Fraud Complaint Center einreichen. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden.

    6. Kunden in der EU.S. Benutzer, die glauben, von dieser möglichen Sicherheitsanfälligkeit betroffen zu sein, können technischen Support von Microsoft Product Support Services unter 1-866-PCSAFETY erhalten. Es fallen keine Kosten für Support an, der mit Sicherheitsupdates oder Viren verbunden ist.“ Internationale Kunden können Unterstützung erhalten, indem sie eine der Methoden verwenden, die auf der Website „Sicherheitshilfe und Support für Heimanwender“ aufgeführt sind.Alle Kunden sollten die neuesten von Microsoft veröffentlichten Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Systeme vor versuchter Ausnutzung geschützt sind. Kunden, die automatische Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie auf der Microsoft Security-Website.

    7. Weitere Informationen zur Sicherheit im Internet finden Sie auf der Microsoft Security-Homepage.

    8. Windows auf dem neuesten Stand halten

      Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so gut wie möglich geschützt sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Windows Update-Website, scannen Sie Ihren Computer nach verfügbaren Updates und installieren Sie alle Updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden Ihnen die Updates bei der Veröffentlichung zugestellt, aber Sie müssen sicherstellen, dass Sie sie installieren.

Weitere Informationen

Ressourcen:

  • Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
  • Kunden in den USA. und Kanada kann technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft bei Problemen mit dem internationalen Support finden Sie auf der Website des internationalen Supports.
  • Die Microsoft TechNet Security-Website bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss:

Die in diesem Advisory bereitgestellten Informationen werden „wie besehen“ ohne jegliche Gewährleistung bereitgestellt. Microsoft lehnt jegliche ausdrückliche oder stillschweigende Gewährleistung ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, entgangener Geschäftsgewinne oder besonderer Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. In einigen Staaten ist der Ausschluss oder die Beschränkung der Haftung für Folgeschäden oder Nebenschäden nicht zulässig, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • 23.Juni 2006 Advisory veröffentlicht



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.