Microsoft Security Bulletin MS03-012
Fehler im Winsock-Proxydienst und ISA-Firewalldienst kann Denial-of-Service-Angriff verursachen (331066)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Verfügbarkeit des Patches |
Zurück zur Übersicht
Zusammenfassung
Zielgruppe dieses Bulletins: Systemadministratoren, die Microsoft Proxy Server 2.0 oder Microsoft Internet Security and Acceleration (ISA) Server 2000 ausführen
Mögliche Auswirkungen: Denial-of-Service-Angriff (DoS-Angriff)
Bewertung des maximalen Schweregrads: Wichtig
Empfehlung: Systemadministratoren sollten den Patch so schnell wie möglich installieren.
Englische Version: Eine englischsprachige Version dieses Bulletins ist auf dieser Web-Seite verfügbar.
Betroffene Software:
| • | Microsoft Proxy Server 2.0 |
| • | Microsoft ISA Server 2000 |
Technische Details
Technische Beschreibung:
Im Winsock-Proxydienst von Proxy Server 2.0 und dem Microsoft-Firewalldienst von ISA Server liegt ein Fehler vor, der es Angreifern auf das interne Netzwerk ermöglichen würde, ein speziell konzipiertes Paket zu senden, das zu einer 100%igen CPU-Auslastung des Servers führen würde. Der Server könnte dann nicht mehr auf interne und externe Anforderungen reagieren.
Winsock-Proxydienst und Microsoft-Firewalldienst arbeiten mit FTP, Telnet, Mail, News, Internet Relay Chat (IRC) oder anderen Clientanwendungen, die mit Windows Sockets (Winsock) kompatibel sind. Mithilfe dieser Dienste können die Anwendungen so ausgeführt werden, als wären sie direkt mit dem Internet verbunden. Die Dienste leiten die erforderlichen Kommunikationsfunktionen an einen Proxy Server 2.0- oder ISA Server-Computer weiter und ermöglichen damit einen Kommunikationspfad von der internen Anwendung zum Internet.
Schadensbegrenzende Faktoren:
| • | Die Sicherheitsanfälligkeit ermöglicht Angreifern nicht, Rechte auf einem betroffenen Proxy Server 2.0- oder ISA Server-Computer zu erlangen oder zwischengespeicherte Inhalte zu modifizieren. Die Sicherheitsanfälligkeit bezieht sich ausschließlich auf Denial-of-Service-Angriffe. |
| • | ISA Server-Computer, die im Cachemodus betrieben werden, sind von der Sicherheitsanfälligkeit nicht betroffen, da der Microsoft-Firewalldienst in diesen Fällen standardmäßig deaktiviert ist. |
Bewertung des Schweregrads:
Proxy Server 2.0 | Wichtig |
ISA Server 2000 | Wichtig |
Diese Bewertung basiert auf den von der Sicherheitslücke betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitslücke auf sie hat.
Kennung der Schwachstelle: CAN-2003-0110 (englischsprachig)
Getestete Versionen:
Microsoft hat Proxy Server 2.0 und ISA Server getestet, um einzuschätzen, ob diese Versionen von dieser Schwachstelle betroffen sind.
Häufig gestellte Fragen (FAQs)
Worin genau besteht diese Schwachstelle?
Es handelt sich um eine Schwachstelle des Typs Denial-of-Service (englischsprachig). Angreifer, die diese Schwachstelle erfolgreich ausnutzen, könnten bewirken, dass ein Proxy Server 2.0- oder ISA Server-Computer nicht mehr auf Anforderungen reagiert. Nach einem Neustart des Winsock-Proxydienstes von Proxy Server 2.0 bzw. des Microsoft-Firewalldienstes von ISA Server arbeitet der Computer wieder ordnungsgemäß, bleibt jedoch anfällig für einen weiteren Denial-of-Service-Angriff.
Wie würden Angreifer vorgehen, um diese Schwachstelle auszunutzen?
Angreifer könnten eine speziell gestaltete Anforderung erstellen und an den Computer senden, der Proxy Server 2.0 oder ISA Server ausführt.
Könnte ein Angriff, der diese Sicherheitslücke nutzt, aus dem Internet gestartet werden?
Ein Angriff über das Internet ist nur bei einer ganz bestimmten Konfiguration möglich. Ein mögliches Problem besteht nur dann, wenn ein Paketfilter so konfiguriert ist, dass eingehender Verkehr für Port 1745 der externen Schnittstelle des Proxy Server 2.0- oder ISA Server-Computers zulässig ist. Es handelt sich dabei nicht um eine Standardeinstellung, der Server müsste vielmehr speziell auf diese Art konfiguriert sein. Die Wahrscheinlichkeit eines Angriffs über das Internet ist demnach gering.
Wie könnten Angreifer diese Schwachstelle ausnutzen?
Angreifer, die diese Sicherheitslücke ausnutzen, könnten bewirken, dass der ISA Server auf keine Anforderungen mehr reagiert.
Könnte ein Angreifer die Sicherheitslücke verwenden, um die Kontrolle über einen Proxy Server 2.0- oder ISA Server-Computer zu übernehmen?
Nein. Es handelt sich ausschließlich um einen DoS-Angriff. Es gibt keine Möglichkeit, Administratorrechte auf dem ISA Server zu erlangen.
Könnte ein Angreifer die Sicherheitslücke verwenden, um die Sicherheit des Firewalls zu verletzen?
Nein. Es besteht keine Möglichkeit, die Sicherheitslücke zu nutzen, um die durch den Firewall gewährleistete Sicherheit zu verringern.
Was ist Proxy Server 2.0?
Proxy Server 2.0 fungiert als Internetgateway für Clientcomputer. Proxyserver an sich dienen als Mittler zwischen einem privaten Netzwerk und dem Internet. Proxy Server 2.0 führt auch Zwischenspeicherungen von Internetinhalten für interne Benutzer durch, um die Leistung zu verbessern und die ausgehende Netzwerkbandbreite zu verringern.
Was ist ISA Server?
ISA Server stellt einen Unternehmens-Firewall sowie einen Hochleistungs-Webcache zur Verfügung. Die Firewall schützt das Netzwerk, indem sie steuert, auf welche Ressourcen und unter welchen Bedingungen über die Firewall zugegriffen werden kann. Der Webcache unterstützt die Optimierung der Netzwerkleistung, indem lokale Kopien häufig angeforderter Webinhalte gespeichert werden. ISA Server kann in drei unterschiedlichen Modi installiert werden: Firewallmodus, Cachemodus oder integrierter Modus.
Der Firewallmodus ermöglicht Administratoren die Sicherung der Netzwerkkommunikation, indem diese Regeln zur Steuerung der Kommunikation zwischen dem Unternehmensnetzwerk und dem Internet konfigurieren. Der Cachemodus verbessert die Netzwerkleistung, indem häufig aufgerufene Webseiten direkt auf dem Server gespeichert werden. Im integrierten Modus sind sämtliche Cache- und Firewallfunktionen verfügbar.
Was ist Winsock?
Winsock ist die Kurzform für Windows Socket. Dabei handelt es sich um eine API (Application Programming Interface), die Windows-Programmen über das TCP/IP-Netzwerkprotokoll die Kommunikation mit anderen Computern ermöglicht.
Was sind der Winsock-Proxydienst und der Microsoft-Firewalldienst?
Der Winsock-Proxydienst von Proxy Server 2.0 und der Microsoft-Firewalldienst von ISA Server ermöglich das Ausführen von Internetanwendungen, als wären diese direkt mit dem Internet verbunden. Die Dienste leiten die erforderlichen Kommunikationsfunktionen an einen Proxy Server 2.0- oder ISA Server-Computer weiter und ermöglichen damit über den Servercomputer einen Kommunikationspfad von der internen Anwendung zum Internet.
Dadurch entfällt die Notwendigkeit eines spezifischen Gateways für jedes einzelne Protokoll, beispielsweise Network News Transfer Protocol (NNTP), Simple Mail Transfer Protocol (SMTP), Telnet oder File Transfer Protocol (FTP).
Ist der Winsock-Proxydienst bzw. der Microsoft-Firewalldienst standardmäßig aktiviert?
Der Winsock-Proxydienst ist in Proxy Server 2.0 standardmäßig aktiviert. Der Microsoft-Firewalldienst ist im Firewallmodus und im integrierten Modus von ISA Server standardmäßig aktiviert. Im Cachemodus von ISA Server ist er dagegen deaktiviert.
Wie kann ich feststellen, ob einer dieser Dienste auf meinem Server ausgeführt wird?
Um zu ermitteln, ob der betreffende Dienst auf Ihrem Server ausgeführt wird, befolgen Sie bitte die Anleitungsschritte für Ihre Softwareversion:
| • | Proxy Server 2.0:
| ||||||
| • | ISA Server:
|
Welcher Fehler liegt im Winsock-Proxydienst von Proxy Server 2.0 und im Microsoft-Firewalldienst von ISA Server vor?
Die Dienste gehen nicht ordnungsgemäß mit einer Antwort von Remoteclients um. Der Server reagiert dadurch nicht mehr auf weitere Anforderungen.
Wie gefährlich ist diese Sicherheitslücke?
In Proxy Server 2.0 ist der Winsock-Proxydienst standardmäßig aktiviert. Im Firewallmodus und dem integrierten Modus von ISA Server ist der Microsoft-Firewalldienst standardmäßig aktiviert. Somit könnte theoretisch jeder interne Benutzer diese Schwachstelle ausnutzen und bewirken, dass der Proxy Server 2.0- oder ISA Server-Computer nicht mehr auf Anforderungen reagiert. Auf ISA Server-Computern, die im Cachemodus ausgeführt werden, ist der Microsoft-Firewalldienst standardmäßig deaktiviert.
Was bewirkt der Patch?
Die Fehlerbehebung beseitigt das Risiko eines DoS-Angriffs, indem sichergestellt wird, dass der Winsock-Proxydienst bzw. der Microsoft-Firewalldienst korrekt auf Anforderungen reagiert.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
Die Patches für Proxy Server 2.0 und ISA Server 2000 finden Sie unter folgenden Downloadadressen:
Weitere Informationen zu diesem Patch
Installationsplattform:
Microsoft Proxy Server 2.0:
Dieser Patch kann auf Systemen installiert werden, die Proxy Server 2.0 Service Pack 1 ausführen.
Aufnahme in zukünftige Service Packs: Nein
Neustart erforderlich: Ja
Deinstallation des Patches möglich: Ja
Frühere Patches: Keine
Überprüfung der Patchinstallation:
Proxy Server 2.0:
| • | Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\HotFix\Q331066 |
| • | Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version aus dem Knowledge Base-Artikel 331066. |
ISA Server 2000:
| • | Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\257 | ||||||||||
| • | Alternativ können Sie die folgenden Schritte durchführen, um die Patchinstallation zu überprüfen:
| ||||||||||
| • | Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version aus dem Knowledge Base-Artikel 331066. |
Vorsichtsmaßnahmen: Keine
Lokalisierung:
Der Patch kann (unabhängig von der Sprachversion) auf allen Systemen installiert werden, die Microsoft Proxy Server 2.0 oder ISA Server 2000 ausführen.
Weitere Sicherheits-Patches:
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheits-Patches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Support:
| • | Der Microsoft Knowledge-Base-Artikel 331066 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge-Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über die Microsoft Product Support Services erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (19. März 2003): Veröffentlichung des Bulletins |