Microsoft Security Bulletin MS03-013
Pufferüberlauf in Nachrichtenbehandlung des Windows-Kernels kann zu erhöhten Berechtigungen führen (811493)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Verfügbarkeit des Patches |
| Weitere Informationen zu diesem Patch |
Zurück zur Übersicht
Zusammenfassung
Zielgruppe dieses Bulletins: Administratoren von Microsoft Windows NT 4.0-, Windows 2000- und Windows XP-Systemen
Mögliche Auswirkungen: Lokale Erhöhung von Berechtigungen
Bewertung des maximalen Schweregrads: Wichtig
Empfehlung: Kunden sollten den Patch so schnell wie möglich installieren.
Englische Version: Eine englischsprachige Version dieses Bulletins ist auf dieser Web-Seite verfügbar.
Betroffene Software:
| • | Microsoft Windows NT 4.0 |
| • | Microsoft Windows NT 4.0 Server Terminal Server Edition |
| • | Microsoft Windows 2000 |
| • | Microsoft Windows XP |
Nicht betroffene Software:
| • | Microsoft Windows Server 2003 |
Technische Details
Technische Beschreibung:
Microsoft hat dieses Bulletin am 28. Mai 2003 in einer überarbeiteten Fassung veröffentlicht, um über die Verfügbarkeit eines neuen Patches für Windows XP Service Pack 1 zu informieren. Der aktualisierte Patch behebt die Performance-Probleme, die bei einigen Kunden nach der Installation des ursprünglichen Patches aufgetreten sind.
Das Bulletin wurde erstmals am 16. April 16 2003 veröffentlicht. Im Anschluss an diesen Termin erhielt Microsoft Berichte darüber, dass der Patch bei einigen Benutzern von Windows XP die Leistung des Betriebssystems beeinflusste. Microsoft hat dies überprüft und bestätigte, dass durch die Installation des Patches auf Systemen mit Windows XP Service Pack 1 unter Umständen Probleme auftreten können. Microsoft hat den Patch überarbeitet und nach der Fertigstellung und umfassenden Tests erneut veröffentlicht. Der neue Patch behebt ebenso die Sicherheitsanfälligkeit von Windows XP Service Pack 1, die in diesem Bulletin beschrieben wird.
Microsoft empfiehlt Benutzern von Windows XP Service Pack 1, dieses Bulletin genau durchzulesen, speziell die Bewertung des Schweregrades. Anhand dieser Informationen können die Kunden entscheiden, ob ihre spezifische Umgebung und der daraus resultierende Gefährdungsgrad eine umgehende Installation des nun verfügbaren Patches erforderlich machen. Wenn dies der Fall ist, sollten Sie den Patch dahingehend überprüfen, ob das Performance-Problem auch in Ihrer Umgebung auftreten kann. Microsoft hat den Knowledge Base-Artikel 819634 herausgegeben, der die Umstände beschreibt, die zum Auftreten des Performance-Problems führen können. Zudem wird erläutert, welche Maßnahmen Benutzer treffen können, um die Auswirkungen des Problems zu minimieren. Der Windows-Kernel ist der Kern des Betriebssystems. Er stellt Dienste auf Systemebene wie Geräte- und Speicherverwaltung zur Verfügung, weist Prozessen Prozessorzeit zu und verwaltet die Fehlerbehandlung.
Der Fehler betrifft die Übergabe von Fehlermeldungen durch den Kernel an einen Debugger. Die Schwachstelle besteht darin, dass ein Angreifer ein Programm schreiben könnte, das diesen Fehler ausnutzt, und Code seiner Wahl ausführen könnte. Anhand dieser Schwachstelle könnte ein Angreifer beliebige Aktionen mit dem System durchführen, z. B. Daten löschen, Konten mit Administratorzugriff hinzufügen oder das System neu konfigurieren.
Damit solch ein Angriff erfolgreich ist, muss sich ein Angreifer entweder an der Konsole oder über eine Terminalsitzung interaktiv (siehe Interactive Logon) am System anmelden können. Für einen erfolgreichen Angriff ist außerdem das Verwenden von Code erforderlich, um diese Schwachstelle auszunutzen. Da die bewährte Methode das Einschränken der Möglichkeit interaktiver Anmeldungen an Servern vorsieht, wirkt sich dieses Problem im Wesentlichen auf Clientsysteme und Terminalserver aus.
Schadensbegrenzende Faktoren:
| • | Ein erfolgreicher Angriff erfordert eine interaktive Anmeldung am Zielcomputer, entweder direkt an der Konsole oder über eine Terminalsitzung. |
| • | Für einwandfrei gesicherte Server stellt diese Schwachstelle kein wesentliches Problem dar. Die bewährten Methoden empfehlen, nur vertrauenswürdigen Administratoren eine interaktive Anmeldung an solchen Systemen zu gestatten; ohne diese Berechtigungen kann ein Angreifer die Schwachstelle nicht ausnutzen. |
Bewertung des Schweregrads:
Windows NT 4.0 | Wichtig |
Windows NT 4.0, Terminal Server Edition | Wichtig |
Windows 2000 | Wichtig |
Windows XP | Wichtig |
Diese Bewertung basiert auf den von der Sicherheitslücke betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitslücke auf sie hat.
Kennung der Schwachstelle: CAN-2003-0112 (englischsprachig)
Getestete Versionen:
Microsoft hat Windows NT 4.0, Windows 2000 und Windows XP getestet, um einzuschätzen, inwiefern sie von dieser Schwachstelle betroffen sind. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Schwachstelle betroffen.
Häufig gestellte Fragen (FAQs)
Warum hat Microsoft das Bulletin noch einmal veröffentlicht?
Nach der ersten Veröffentlichung des Bulletins wurde festgestellt, dass der entsprechende Patch für Systeme mit Windows XP Service Pack 1 unter Umständen ein Performance-Problem verursachen kann. Die Installation des Patches kann die Leistung des Betriebssystems negativ beeinflussen. Dieses Problem jedoch steht nicht im Zusammenhang mit der Sicherheitsanfälligkeit, die in diesem Bulletin beschrieben wird.
Microsoft hat das Problem behoben und weist nun darauf hin, dass der aktualisierte Patch für Windows XP Service Pack 1 verfügbar ist.
Worin genau besteht diese Schwachstelle?
Es handelt sich bei dieser Schwachstelle um eine Rechteerhöhung (siehe Privilege Elevation). Ein Angreifer, der sich interaktiv an einem System anmelden und Code seiner Wahl ausführen kann, könnte diese Schwachstelle ausnutzen und Code seiner Wahl mit höheren Rechten ausführen. Auf diese Weise könnte ein Angreifer beliebige Aktionen mit dem System ausführen, z. B. Administratorkonten erstellen sowie Daten verändern oder löschen.
Da sich ein Angreifer für einen erfolgreichen Angriff interaktiv anmelden und ein Programm ausführen können muss, sind die durch diese Schwachstelle betroffenen Systeme höchstwahrscheinlich Clientsysteme und Terminalserver, die Endbenutzern regelmäßig den direkten Zugriff auf das System ermöglichen. Server wie Mailserver, Datenbankserver, Anwendungsserver und Dateiserver sind normalerweise so konfiguriert, dass die interaktive Anmeldung von Benutzern eingeschränkt ist. Die Wahrscheinlichkeit, dass diese Servertypen von der Schwachstelle betroffen sind, ist wesentlich geringer.
Was ist die Ursache dieser Schwachstelle?
Die Schwachstelle ergibt sich durch einen ungeprüften Puffer, der vom Windows-Kernel zum Übergeben von Fehlermeldungen an einen Debugger verwendet wird.
Was ist der Windows-Kernel?
Der Windows-Kernel ist der Kern des Windows-Betriebssystems. Er stellt grundlegende Dienste wie Speicher- und Geräteverwaltung zur Verfügung, von denen alle anderen Anwendungen abhängig sind.
Was ist ein Debugger?
Ein Debugger ist ein Softwareprogramm, das Systemadministratoren und Entwicklern die Problembehandlung von Programmen ermöglicht, die mit Windows ausgeführt werden, indem der direkt auf dem System ausgeführte Code überprüft wird.
Ein Debugger "hängt" sich an einen bestimmten Prozess an und überwacht dann Fehlermeldungen aus dem betreffenden Prozess. Wenn eine Fehlermeldung erkannt wird, zeigt der Debugger die Fehlermeldung an, um eine Analyse zu ermöglichen. Der Kernel verwaltet die Übergabe der Meldungen an einen und von einem Debugger. Windows NT, Windows 2000 und Windows XP enthalten einen Debugger.
Welcher Fehler liegt bei der Verarbeitung von Debugmeldungen durch den Kernel in Windows vor?
Der Fehler im Windows-Kernel beruht auf einer Differenz zwischen der erlaubten Größe einer ausgehenden Fehlermeldung und der Größe des Puffers, der diese Fehlermeldung empfangen kann. Wenn eine zu große Meldung zwischen dem Kernel und dem Debugger übergeben wird, kann der Puffer daher einen Überlauf aufweisen.
Der Fehler bezieht sich auf den Windows-Kernel und die Art, wie dieser Meldungen an den Debugger übergibt, nicht auf den Debugger selbst.
Wie könnten Angreifer diese Schwachstelle ausnutzen?
Ein Angreifer mit ausreichenden Rechten für eine interaktive Anmeldung kann diese Schwachstelle ausnutzen, um Code seiner Wahl auszuführen. Der Angreifer könnte z. B. Code ausführen, der das Hinzufügen von Konten mit Administratorprivilegien, das Löschen wichtiger Systemdateien und das Ändern der Sicherheitseinstellungen ermöglicht.
Beachten Sie unbedingt, dass ein Angreifer in der Lage sein müsste, eine interaktive Anmeldung am System durchzuführen. Diese Schwachstelle kann nicht von einem Remote- oder anonymen Benutzer ausgenutzt werden.
Wie würden Angreifer vorgehen, um diese Schwachstelle auszunutzen?
Ein Angreifer könnte ein Programm schreiben, das eine Reihe in bestimmter Weise ungültiger Debuggermeldungen an den und vom Windows-Kernel sendet, um im betreffenden Puffer einen Überlauf zu verursachen. Auf diese Weise könnte der Angreifer Code seiner Wahl ausführen, der zum Erhöhen der Berechtigungen verwendet werden kann.
Für einen erfolgreichen Angriff müsste sich der Angreifer interaktiv anmelden und feindlichen Code in das System einschleusen können. Die empfohlene Vorgehensweise besteht gemäß der Regel der geringsten Rechte (siehe Least Privilege Administration) im Beschränken der Möglichkeiten von Benutzern, sich anzumelden und Programme laden zu können. Auf diese Weise wird das Risiko eines erfolgreichen Angriffs gemindert.
Was bewirkt der Patch?
Der Patch beseitigt die Schwachstelle, indem Informationen einwandfrei verarbeitet werden, die vom Windows-Kernel an den Debugger gesendet werden.
Im Abschnitt Weitere Informationen wird erwähnt, dass der Patch für Windows 2000 den entsprechenden Patch aus dem Security Bulletin MS03-007 ersetzt. Behebt der Patch damit auch das Problem, das im Abschnitt Vorsichtsmaßnahmen von MS03-007 beschrieben wird?
Ja. Das in MS03-007 beschriebene Problem wurde von einer abhängigen Datei verursacht, die im Patch nicht vorhanden war. Diese Dateiabhängigkeit wirkt sich nur unter sehr spezifischen Umständen aus: Auf dem System musste nicht nur Windows Service Pack 2 installiert sein, sondern auch eine Reihe von Hotfixes, die vom Produkt-Support von Microsoft ausgegeben wurden und keine Sicherheitsanfälligkeiten betrafen.
Der Patch für Windows 2000, den wir mit dem Bulletin MS03-013 veröffentlichen, enthält die betreffende Datei und behebt gleichzeitig die in MS03-007 beschriebene Sicherheitslücke. Das bedeutet, dass der Patch auf den oben genannten Systemen installiert werden kann, ohne die Probleme des MS03-007-Patches zu verursachen.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
Weitere Informationen zu diesem Patch
Installationsplattform:
| • | Der Windows NT 4.0-Patch kann auf Systemen mit Windows NT 4.0 Service Pack 6a installiert werden. |
| • | Der Windows NT 4.0 Terminal Server Edition-Patch kann auf Systemen mit Windows NT 4.0 Terminal Server Edition Service Pack 6 installiert werden. |
| • | Der Windows 2000-Patch kann auf Systemen mit Windows 2000 Service Pack 2 oder Service Pack 3 installiert werden. |
| • | Der Patch für Windows XP kann auf Systemen mit Windows XP Gold oder Service Pack 1 installiert werden. |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows 2000 Service Pack 4 und Windows XP Service Pack 2 enthalten sein.
Neustart erforderlich: Ja
Deinstallation des Patches möglich: Ja
Ersetzte Patches:
| • | Der Patch für Windows 2000 ersetzt den entsprechenden Patch aus dem Microsoft Security Bulletin MS03-007. |
| • | Die Patches für Windows NT 4.0 und Windows XP ersetzen keine anderen Patches. |
Frühere Patches: Keine
Überprüfung der Patchinstallation:
| • | Windows NT 4.0: |
| • | Windows NT 4.0 Terminal Server Edition: |
| • | Windows 2000: |
| • | Windows XP Gold: |
| • | Windows XP Service Pack 1: |
Vorsichtsmaßnahmen: Keine
Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheits-Patches:
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheits-Patches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Danksagung:
Microsoft dankt Oded Horovitz von Entercept Security Technologies, dass er dieses Problem an uns gemeldet und zum Schutz unserer Kunden mit uns zusammengearbeitet hat.
Support:
| • | Der Microsoft Knowledge-Base-Artikel 811493 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge-Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über die Microsoft Product Support Services erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (16. April 2003): Veröffentlichung des Bulletins |
| • | V1.1 (17. April 2003): Informationen zum Patch für Windows 2000 eingefügt |
| • | V1.2 (23. April 2003): Informationen zu Performance-Problemen im Zusammenhang mit dem Patch für Windows XP SP1 eingefügt |
| • | V1.2 (23. April 2003): Link auf Knowledge Base-Artikel zu den Performance-Problemen eingefügt |
| • | V2.0 (28. Mai 2003): Neuveröffentlichung mit Hinweis auf die Verfügbarkeit des aktualisierten Windows XP SP1-Patches |