Microsoft Security Bulletin MS03-025
Fehler in Windows-Nachrichtenverarbeitung durch Hilfsprogramm-Manager kann erhöhte Berechtigungen zulassen (822679)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Verfügbarkeit des Patches |
| Weitere Sicherheitspatches |
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows 2000
Auswirkungen der Sicherheitsanfälligkeiten: Erhöhte Berechtigungen
Bewertung des maximalen Schweregrads: Hoch
Empfehlung: Benutzer sollten den Patch so schnell wie möglich installieren.
Betroffene Software:
| • | Microsoft Windows 2000 |
Nicht betroffene Software:
| • | Microsoft Windows Me |
| • | Microsoft Windows NT 4.0 |
| • | Microsoft Windows NT 4.0 Server, Terminal Server Edition |
| • | Microsoft Windows XP |
| • | Microsoft Windows Server 2003 |
Englische Version:
Eine englischsprachige Version dieses Bulletins ist auf dieser Webseite verfügbar.
Technische Details
Technische Beschreibung:
Microsoft Windows 2000 enthält Unterstützung für Optionen zu Eingabehilfen im Betriebssystem. Die Unterstützung für Eingabehilfen ist eine Reihe von Supporttechnologien in Windows, durch die Benutzer mit Behinderungen dennoch auf die Funktionen des Betriebssystems zugreifen können. Eingabehilfensupport wird über Verknüpfungen aktiviert oder deaktiviert, die in das Betriebssystem integriert sind. Es kann auch der Hilfsprogramm-Manager für Eingabehilfen verwendet werden. Der Hilfsprogramm-Manager ist ein Eingabehilfendienstprogramm, das Benutzern das Überprüfen des Status von Eingabehilfenprogrammen (Microsoft Bildschirmlupe, Sprachausgabe, Bildschirmtastatur) sowie das Starten und Beenden dieser Programme ermöglicht.
Der Fehler bezieht sich darauf, wie der Hilfsprogramm-Manager Windows-Nachrichten verarbeitet. Durch Windows-Nachrichten können interaktive Prozesse auf Benutzerereignisse reagieren (z. B. auf Tastatureingaben oder Mausbewegungen) und mit anderen interaktiven Prozessen kommunizieren. Die Sicherheitsanfälligkeit ergibt sich, weil das Steuerelement, dass dem Benutzer die Liste der Eingabehilfenoptionen zur Verfügung stellt, die Windows-Nachrichten nicht einwandfrei überprüft, die an dieses Steuerelement gesendet werden. Es ist möglich, dass ein Prozess im interaktiven Desktop eine bestimmte Windows-Nachricht verwendet, um das Ausführen einer Callbackfunktion an einer Adresse seiner Wahl durch den Hilfsprogramm-Manager zu bewirken. Da der Hilfsprogramm-Manager-Prozess mit höheren Berechtigungen als der erste Prozess ausgeführt wird, kann der erste Prozess auf diese Weise höhere Berechtigungen erlangen.
Standardmäßig enthält der Hilfsprogramm-Manager Steuerelemente, die im interaktiven Desktop mit der Berechtigung LocalSystem ausgeführt werden. Daher könnte ein Angreifer, der sich interaktiv an einem System anmelden kann, möglicherweise ein Programm ausführen, das eine besonders gestaltete Windows-Nachricht an den Hilfsprogramm-Manager-Prozess sendet. Diese Nachricht könnte bewirken, dass der Hilfsprogramm-Manager eine beliebige vom Angreifer angegebene Aktion ausführt. Auf diese Weise kann der Angreifer die vollständige Kontrolle über das System erlangen.
Der Angriff kann nicht remote erfolgen, und der Angreifer müsste in der Lage sein, sich interaktiv am System anzumelden.
Schadensbegrenzende Faktoren:
| • | Ein Angreifer benötigt gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit auszunutzen. Dies kann nicht remote geschehen. |
| • | Für einwandfrei gesicherte Server stellt diese Schwachstelle kein wesentliches Problem dar. Die bewährten Methoden empfehlen, nur vertrauenswürdigen Administratoren eine interaktive Anmeldung an solchen Systemen zu gestatten. Ohne diese Berechtigungen kann ein Angreifer die Sicherheitsanfälligkeit nicht ausnutzen. |
Bewertung des Schweregrads:
Microsoft Windows 2000 | Hoch |
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennung der Sicherheitsanfälligkeit: CAN-2003-0350
Getestete Versionen:
Microsoft hat Windows Me, Windows NT Server 4.0, Windows NT Server, Terminal Server Edition, Windows 2000, Windows XP und Windows Server 2003 getestet, um einzuschätzen, inwiefern diese von der Sicherheitsanfälligkeit betroffen sind. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.
Häufig gestellte Fragen (FAQs)
Worin genau besteht die Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um eine Erhöhung der Berechtigungen. Wenn ein Angreifer diese Schwachstelle erfolgreich ausnutzen kann, kann er ungerechtfertigte Privilegien für ein System erlangen. In diesem Fall kann der Angreifer dann vollständige Verwaltungsrechte erhalten und dadurch in die Lage versetzt werden, beliebige Aktionen auf dem Computer auszuführen, z. B. Daten im System hinzufügen, löschen oder bearbeiten, Benutzerkonten erstellen oder löschen sowie Konten der Gruppe Lokale Administratoren hinzufügen.
Die Sicherheitsanfälligkeit kann nur von einem Angreifer ausgenutzt werden, der über Anmeldeinformationen verfügt, um sich am Computer interaktiv anmelden zu können. Die bewährten Methoden besteht darin, unberechtigten Benutzern die interaktive Anmeldung an unternehmenswichtigen Servern nicht zu gestatten. Wenn diese Richtlinie befolgt wurde, sind diese Server nicht von dieser Sicherheitsanfälligkeit betroffen. Die Systeme mit dem höchsten Risiko sind in diesem Fall dann Arbeitsstationen und Terminalserver.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit ergibt sich, weil ein nicht berechtigter Benutzer bewirken könnte, dass Code durch einen Prozess mit hohen Privilegien auf dem interaktiven Desktop mit dem Hilfsprogramm-Manager in Kombination mit einer besonders gestalteten Windows-Nachricht ausgeführt werden kann.
Was sind Eingabehilfendienstprogramme?
Microsoft hat sich verpflichtet, Technologie zu entwickeln, die von allen Benutzern benutzt und verwendet werden kann: auch von behinderten Personen. Aus diesem Grund sind alle Microsoft-Produkte mit Funktionen und Dienstprogrammen ausgestattet, die behinderte Personen bei der Verwendung der Features der Produkte unterstützen. Diese Dienstprogramme werden als Dienstprogramme für Eingabehilfen bezeichnet.
Windows 2000 enthält mehrere Dienstprogramme und Technologien, die Eingabehilfen für das Produkt zur Verfügung stellen. Eine detaillierte Liste dieser Dienstprogramme finden Sie auf dieser Webseite (englischsprachig).
Wo dokumentiert Microsoft die verfügbaren Optionen für Eingabehilfen in den Produkten?
Weitere Informationen zu Optionen für Eingabehilfen in Microsoft-Produkten finden Sie auf dieser Webseite (englischsprachig).
Was ist der Hilfsprogramm-Manager?
Der Hilfsprogramm-Manager ist ein Dienstprogramm, das Benutzern das Überprüfen des Status von Eingabehilfenprogrammen (Microsoft Bildschirmlupe, Sprachausgabe, Bildschirmtastatur) sowie das Starten und Beenden dieser Programme ermöglicht.
Was bedeutet in diesem Zusammenhang der Begriff "Desktop"?
Unter dem Begriff "Desktop" verstehen wir normalerweise den Windows-Desktop, der von Explorer erstellt und während einer Windows-Sitzung auf dem Bildschirm angezeigt wird. In der Windows-Sicherheitsarchitektur besitzt der Begriff "Desktop" jedoch eine andere Bedeutung. Desktops werden zum Verkapseln von Fenstern und zugehörigen Objekten in Windows verwendet, um sicherzustellen, dass ein Prozess nur auf autorisierte Aktivitäten beschränkt ist. Zweck und Funktion eines Desktops sind einfacher zu erklären, wenn wir auf der Granularitätsstufe über dem Desktop beginnen: der Windowstation.
Was ist eine Windowstation?
Eine Windowstation ist ein Container, der eine Zwischenablage, einige globale Informationen sowie eine Sammlung aus einem oder mehreren Desktops enthält. Die interaktive Windowstation, die der Anmeldesitzung des interaktiven Benutzers zugewiesen ist, enthält außerdem Tastatur, Maus sowie das Anzeigegerät. Die interaktive Windowstation ist für den Benutzer sichtbar und kann vom Benutzer Eingaben empfangen. Alle anderen Windowstationen sind nicht interaktiv, können also nicht für den Benutzer sichtbar gemacht werden und Eingaben entgegennehmen. Ein Prozess kann nur mit jeweils einem Desktop gleichzeitig verknüpft sein.
Was ist ein interaktiver Desktop?
Ein Desktop ist ein Containerobjekt, das in einer Windowstation enthalten ist. Eine Windowstation kann viele Desktops enthalten.
Ein Desktop besitzt eine logische Anzeigeoberfläche und enthält Fenster, Menüs und Hooks. Nur die Desktops der interaktiven Windowstation können sichtbar sein und Benutzereingaben entgegennehmen. Auf der interaktiven Windowstation ist nur jeweils ein Desktop gleichzeitig aktiv. Dieser aktive Desktop, der auch als der interaktive oder Einagbedesktop bezeichnet wird, ist der Desktop, der zurzeit für den Benutzer sichtbar ist und Benutzereingaben entgegennimmt.
Was sind Windows-Nachrichten?
Mit Windows ausgeführte Prozesse interagieren mit dem System und anderen Prozessen, die Nachrichten verwenden. Bei jeder Tastenbetätigung, Mausbewegung oder Klicken auf ein Steuerelement durch den Benutzer, wie z. B. bei einer Bildlaufleiste, generiert Windows beispielsweise eine Nachricht, um das Programm zu informieren, dass ein Benutzerereignis aufgetreten ist. Darüber hinaus besteht der Zweck dieser Nachricht im Übermitteln der Daten von diesem Ereignis an das Programm. Analog dazu kann ein Programm Nachrichten generieren, um den verschiedenen durch das Programm gesteuerten Fenstern die Kommunikation und gegenseitige Taskübermittlung zu ermöglichen.
Welcher Fehler liegt bei der Verarbeitung von Windows-Nachrichten durch den Hilfsprogramm-Manager von Windows 2000 vor?
Der Fehler liegt darin, wie der Hilfsprogramm-Manager Nachrichten beim Bereitstellen der Liste der verfügbaren Eingabehilfenfunktionen für den Benutzer verarbeitet. Der Hilfsprogramm-Manager überprüft Windows-Nachrichten nicht einwandfrei, die an ihn gesendet werden. Wenn der Hilfsprogramm-Manager auf dem System verwendet wird, kann ein anderer Prozess, der ebenfalls auf dem System ausgeführt wird, eine besonders gestaltete Nachricht an den Hilfsprogramm-Manager-Prozess im interaktiven Desktop senden. Der erste Prozess könnte die Adresse der Callbackfunktion festlegen und so bewirken, dass der zweite Prozess die vom ersten Prozess angegebene Callbackfunktion ausführt.
Warum entsteht auf diese Weise eine Sicherheitsanfälligkeit?
Im Wesentlichen ermöglicht der Fehler im Hilfsprogramm-Manager, dass ein Prozess auf dem interaktiven Desktop bewirken kann, dass der Hilfsprogramm-Manager seine Kommandos ausführt. Wenn der zweite Prozess über höhere Berechtigungen verfügt, kann der erste Prozess diese auf diesem Weg ausüben.
Was könnte ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte zuerst den Hilfsprogramm-Manager starten und dann einen Prozess erstellen, der Anforderungen an den Hilfsprogramm-Manager sendet, sobald dieser verwendet wird. In Standardkonfigurationen von Windows 2000 wird der Hilfsprogramm-Manager zwar installiert, jedoch nicht ausgeführt. In diesem Fall kann der Angreifer die vollständige Kontrolle über das System erlangen, wenn er die Sicherheitsanfälligkeit ausnutzt.
Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit ausnutzen zu können, müsste sich der Angreifer am System anmelden können, den Hilfsprogramm-Manager starten, ein Programm seiner Wahl laden (ein Programm, das eine Nachricht an den Hilfsprogramm-Manager gesendet und eine Callbackfunktion angegeben hat, die die gewünschte Aufgabe durchführt) und dieses dann ausführen.
Welche Versionen des Hilfsprogramm-Managers sind für diese Art von Angriff anfällig?
Nur die Windows 2000-Version des Hilfsprogramm-Managers enthält die Sicherheitsanfälligkeit. Windows NT Server 4.0, Windows XP und Windows Server 2003 sind nicht betroffen.
Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Im Allgemeinen sind Arbeitsstationen und Terminalserver am meisten gefährdet. Server sind nur gefährdet, wenn nicht berechtigten Benutzern erlaubt wird, sich dort anzumelden und Programme auszuführen. Die bewährten Methoden raten jedoch dringend von dieser Erlaubnis ab.
Kann diese Sicherheitsanfälligkeit aus dem Internet ausgenutzt werden?
Nein. Der Angreifer müsste in der Lage sein, sich an dem betreffenden System anzumelden, das er angreifen möchte. Es ist nicht möglich, ein Programm im interaktiven Desktop remote zu laden und zu verwenden.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem die Verarbeitung von Windows-Nachrichten durch den Hilfsprogramm-Manager so geändert wird, dass Nachrichten einwandfrei überprüft werden und eine unregistrierte Callbackfunktion nicht aufgerufen werden kann.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
| • |
Installationsplattformen:
| • | Der Windows 2000-Patch kann auf Systemen mit Windows 2000 Service Pack 3 installiert werden. Außerdem ist der Patch im Windows 2000 Service Pack 4 enthalten. |
Aufnahme in zukünftige Service Packs:
Der Patch für dieses Problem ist im Windows 2000 Service Pack 4 enthalten.
Neustart erforderlich: Ja
Deinstallation des Patches möglich: Ja
Frühere Patches: Keine
Überprüfung der Patchinstallation:
| • | Windows 2000: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\KB822679. |
Vorsichtsmaßnahmen: Keine
Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Danksagung:
Microsoft dankt Chris Paget von Next Generation Security Software Ltd., dass er dieses Problem an uns gemeldet und zum Schutz unserer Kunden mit uns zusammengearbeitet hat.
Support:
| • | Der Microsoft Knowledge Base-Artikel 822679 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über den Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (09.07.03): Erstellung des Bulletins |
| • | V1.1 (10.07.03): Registrierungsschlüssel für die Überprüfung der Patch-Installation korrigiert |