Microsoft Security Bulletin MS04-011

Sicherheitsupdate für Microsoft Windows (835732)

Veröffentlicht: 13. April 2004 (Version 1.4) | Aktualisiert: 4. Mai 2004

Auf dieser Seite

	Zusammenfassung
	Technische Details
	Häufig gestellte Fragen (FAQs)
	Einzelheiten zur Sicherheitsanfälligkeit
	Informationen zum Sicherheitsupdate

Zurück zur Übersicht

Zusammenfassung

Zielgruppe dieses Bulletin: Benutzer von Microsoft Windows

Auswirkungen der Sicherheitsanfälligkeiten: Codeausführung von Remotestandorten aus

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Installieren Sie das Sicherheitsupdate sofort.

Ersetzte Sicherheitsupdates: Dieses Bulletin ersetzt mehrere frühere Sicherheitsupdates. Weitere Informationen hierzu erhalten Sie im Abschnitt "Häufig gestellte Fragen (FAQs)".

Vorsichtsmaßnahmen: Das Sicherheitsupdate für Windows NT Server 4.0 Terminal Server Edition Service Pack 6 setzt die Installation des Windows NT Server 4.0 Terminal Server Edition Security Rollup Package (SRP) voraus. Downloaden Sie das SRP von dieser Webseite. Sie müssen das SRP installieren, bevor sie das in diesem Security Bulletin enthaltene Update anwenden. Falls Sie ein anderes Betriebssystem als Windows NT Server 4.0 Terminal Server Edition Service Pack 6 einsetzen, müssen Sie das SRP nicht installieren.

Der Microsoft Knowledge Base-Artikel 835732 dokumentiert die derzeit bekannten Probleme, die auftreten können, wenn Sie dieses Sicherheitsupdate installieren. Der Artikel beschreibt dabei auch empfohlene Lösungen für diese Probleme.

Getestete Software und Downloadpfade für das Update

Betroffene Software:

•	Microsoft Windows NT Workstation 4.0 Service Pack 6a - Update downloaden
•	Microsoft Windows NT Server 4.0 Service Pack 6a - Update downloaden
•	Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 - Update downloaden
•	Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 und Microsoft Windows 2000 Service Pack 4 - Update downloaden
•	Microsoft Windows XP und Microsoft Windows XP Service Pack 1 - Update downloaden
•	Microsoft Windows XP 64-Bit Edition Service Pack 1 - Update downloaden
•	Microsoft Windows XP 64-Bit Edition Version 2003 - Update downloaden
•	Microsoft Windows Server 2003 - Update downloaden
•	Microsoft Windows Server 2003 64-Bit Edition - Update downloaden
•	Microsoft NetMeeting
•	Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME) - Weitere Informationen zu diesen Betriebssystemen finden Sie im Abschnitt "Häufig gestellte Fragen (FAQs)" dieses Bulletins.

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Zum Seitenanfang

Technische Details

Technische Beschreibung:
Dieses Update behebt mehrere neu entdeckte Sicherheitsanfälligkeiten. Jede dieser Sicherheitsanfälligkeiten wird in diesem Bulletin in einem eigenen Abschnitt dokumentiert.

Gelingt es einem Angreifer, die schwerwiegendsten Sicherheitsanfälligkeiten erfolgreich auszunutzen, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Bewertung des Schweregrads und Kennungen der Sicherheitsanfälligkeiten:

Kennung	Auswirkung	Windows98, 98 SE, ME	WindowsNT 4.0	Windows2000	WindowsXP	WindowsServer2003
LSASS- Sicherheitsanfälligkeit - CAN-2003-0533	Remote- Codeausführung	Keine	Keine	Kritisch	Kritisch	Gering
LDAP- Sicherheitsanfälligkeit - CAN-2003-0663	Denial-Of-Service (DoS)	Keine	Keine	Hoch	Keine	Keine
PCT- Sicherheitsanfälligkeit - CAN-2003-0719	Remote- Codeausführung	Keine	Kritisch	Kritisch	Hoch	Gering
Winlogon- Sicherheitsanfälligkeit - CAN-2003-0806	Remote- Codeausführung	Keine	Mittel	Mittel	Mittel	Keine
Metafile- Sicherheitsanfälligkeit - CAN-2003-0906	Remote- Codeausführung	Keine	Kritisch	Kritisch	Kritisch	Keine
Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907	Remote- Codeausführung	Keine	Keine	Keine	Kritisch	Kritisch
Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908	Erhöhte Berechtigungen	Keine	Keine	Hoch	Keine	Keine
Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909	Erhöhte Berechtigungen	Keine	Keine	Keine	Hoch	Keine
Sicherheitsanfälligkeit bzgl. Lokaler Deskriptortabelle - CAN-2003-0910	Erhöhte Berechtigungen	Keine	Hoch	Hoch	Keine	Keine
H.323- Sicherheitsanfälligkeit* - CAN-2004-0117	Remote- Codeausführung	Nicht Kritisch	Keine	Hoch	Hoch	Hoch
Sicherheitsanfälligkeit bzgl. Virtual DOS Machine - CAN-2004-0118	Erhöhte Berechtigungen	Keine	Hoch	Hoch	Keine	Keine
Sicherheitsanfälligkeit bzgl. Negotiate SSP - CAN-2004-0119	Remote- Codeausführung	Keine	Keine	Kritisch	Kritisch	Kritisch
SSL- Sicherheitsanfälligkeit - CAN-2004-0120	Denial-Of-Service (DoS)	Keine	Keine	Hoch	Hoch	Hoch
Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free" - CAN-2004-0123	Remote- Codeausführung	Nicht Kritisch	Kritisch	Kritisch	Kritisch	Kritisch
Schweregrad aller Anfälligkeiten		Nicht Kritisch	Kritisch	Kritisch	Kritisch	Kritisch

*Hinweis: Die Bewertung des Schweregrads der H.323-Sicherheitsanfälligkeit - CAN-2004-0117 lautet Hoch für die eigenständige Version von NetMeeting. Eine aktualisierte Version von NetMeeting, die diese Sicherheitsanfälligkeit berücksichtigt, können Sie von dieser Webseite downloaden. Diese Version von NetMeeting kann auf allen Systemen installiert werden, auf denen Windows 98, Windows 98 Second Edition, Windows Millennium Edition oder Windows NT 4.0 ausgeführt wird.

Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.

Zum Seitenanfang

Häufig gestellte Fragen (FAQs)

Warum behandelt dieses Update mehrere gemeldete Sicherheitsanfälligkeiten?
Dieses Update bietet Unterstützung für mehrere Sicherheitsanfälligkeiten, da die Änderungen, die zum Beheben dieser Probleme erforderlich sind, in zueinander in Beziehung stehenden Dateien enthalten sind. Auf diese Weise müssen Benutzer nicht mehrere Updates installieren, die beinahe identische Dateien enthalten, sondern nur dieses eine Update.

Welche Updates ersetzt diese Version?
Dieses Sicherheitsupdate ersetzt mehrere frühere Security Bulletins. Die Kennungen der Security Bulletins sowie die betroffenen Betriebssysteme werden in der folgenden Tabelle aufgelistet.

Kennung des Bulletins	Windows NT 4.0	Windows 2000	Windows XP	Windows Server 2003
MS99-023	Ersetzt	Nicht zutreffend	Nicht zutreffend	Nicht zutreffend
MS00-027	Nicht ersetzt	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS00-032	Nicht zutreffend	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS00-070	Nicht ersetzt	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS02-050	Ersetzt	Nicht ersetzt	Nicht zutreffend	Nicht zutreffend
MS02-051	Nicht zutreffend	Ersetzt	Nicht ersetzt	Nicht zutreffend
MS02-071	Ersetzt	Ersetzt	Nicht ersetzt	Nicht zutreffend
MS03-007	Nicht ersetzt	Ersetzt	Nicht ersetzt	Nicht zutreffend
MS03-013	Ersetzt	Nicht ersetzt	Nicht ersetzt	Nicht zutreffend
MS03-025	Nicht zutreffend	Ersetzt	Nicht zutreffend	Nicht zutreffend
MS03-041	Ersetzt	Nicht ersetzt	Nicht ersetzt	Nicht ersetzt
MS03-045	Ersetzt	Ersetzt	Nicht ersetzt	Nicht ersetzt
MS04-007	Ersetzt	Ersetzt	Ersetzt	Ersetzt

Handelt es sich bei diesem Update um ein kumulatives Sicherheitsupdate oder um ein Sicherheitsupdate-Rollup?
Weder noch. Ein kumulatives Sicherheitsupdate würde normalerweise Unterstützung für alle vorherigen Updates umfassen. Dieses Update unterstützt nicht die vorherigen Updates für alle Betriebssysteme.

Ein Sicherheitsupdate-Rollup wird normalerweise zum Zusammenfassen früherer Versionen zu einem einzigen Update verwendet, um eine einfachere Installation und einen schnelleren Download zu ermöglichen. Sicherheitsupdate-Rollups enthalten keine Änderungen, die neue Sicherheitsanfälligkeiten berücksichtigen. Dies ist bei diesem Update jedoch der Fall.

Wie wirkt sich die erweiterte Unterstützung für Windows 98, Windows 98 Second Edition und Windows Millennium Edition auf die Veröffentlichung von Sicherheitsupdates für diese Plattformen aus?
Microsoft veröffentlicht nur Sicherheitsupdates für wichtige Sicherheitsprobleme. Sicherheitsfragen, die nicht kritisch sind, werden in diesem Supportzeitraum nicht abgedeckt. Weitere Informationen zu den Microsoft Support Lifecycle-Richtlinien für diese Betriebssysteme finden Sie auf dieser Webseite.
Weitere Informationen zu den Bewertungen des Schweregrads finden Sie hier.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von einer der in diesem Security Bulletin behandelten Sicherheitsanfälligkeiten betroffen?
Nein. Der Schweregrad keiner dieser Sicherheitsanfälligkeiten ist mit Windows 98, Windows 98 Second Edition oder Windows Millennium Edition als kritisch zu bewerten.

Enthält dieses Update weitere Funktionsänderungen?
Ja. Neben den Änderungen, die in den jeweiligen Abschnitten zu den Einzelheiten jeder Sicherheitsanfälligkeit in diesem Bulletin aufgeführt werden, umfasst dieses Update die folgende Funktionsänderung: Dateien mit der Dateinamenerweiterung FOLDER sind nicht mehr einem Verzeichnis zugeordnet. Dateien mit dieser Erweiterung werden vom betroffenen Betriebssystem auch weiterhin unterstützt. Diese Dateien werden in Windows Explorer und anderen Programmen jedoch nicht mehr als Verzeichnis angezeigt.

Kann ich mit dem Microsoft Security Baseline Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?
Ja. Der MBSA stellt fest, ob dieses Update für Ihre Systeme notwendig ist. Allerdings unterstützt der MBSA derzeit nicht die Überprüfung der Stand-Alone-Version von NetMeeting. Ist NetMeeting als Stand-Alone-Anwendung auf Windows NT 4.0-Systemen installiert, bietet der MBSA nicht das enstprechende Update an. Aus diesem Grund hat Microsoft eine aktualisierte Stand-Alone-Fassung von NetMeeting veröffentlicht, in der die H.323-Sicherheitsanfälligkeit (CAN-2004-0117) behoben ist. Diese Fassung steht hier als Download zur Verfügung. Bei den NetMeeting-Versionen, die im Lieferumfang von Windows 2000, Windows XP oder Windows Server 2003 enthalten sind, können Sie den MBSA verwenden, um festzustellen, ob das Update für die H.323-Sicherheitsanfälligkeit (CAN-2004-0117) erforderlich ist.

Weitere Informationen zur H.323-Sicherheitsanfälligkeit (CAN-2004-0117) finden Sie unten im Abschnitt "Einzelheiten zur Sicherheitsanfälligkeit". Weitere Informationen zum MBSA finden Sie auf der MBSA-Webseite (englischsprachig). Erläuterungen zu Einschränkungen bei der Verwendung des MBSA enthält der Microsoft Knowledge Base-Artikel 306460.

Welche Änderung bedeutet dies im Vergleich zur Erstveröffentlichung des Bulletins?
Als das Bulletin am 13. April 2004 erstmals veröffentlicht wurde, war die Update-Erkennung durch den MBSA für Windows NT 4.0 deaktiviert, da dieser - wie oben beschrieben - die Überprüfung der Stand-Alone-Version von NetMeeting nicht unterstützt. Dies wurde am 21. April 2004 geändert. Der MBSA kann nun feststellen, ob das Update für Windows NT 4.0 erforderlich ist, auch wenn die Beschränkung weiterhin besteht.

Kann ich mit dem Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?
Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. Weitere Informationen zu SMS finden Sie auf der SMS-Website. Da der SMS für die Analyse den MBSA nutzt, bestehen allerdings die oben beschriebenen Einschränkungen bei der Überprüfung der Stand-Alone-Version von NetMeeting.

Kann ich mit dem Systems Management Server (SMS) überprüfen, ob auf Windows NT 4.0-Systemen die Stand-Alone-Version von NetMeeting installiert ist?
Ja. Der SMS kann Sie dabei unterstützen festzustellen, ob für Ihre Windows NT 4.0-Systeme die aktualisierte Stand-Alone-Version von NetMeeting erforderlich ist. Der SMS durchsucht die Systeme nach der Datei "Conf.exe". Alle Versionen dieser Datei vor 3.01 (4.4.3399) sollten aktualisiert werden.

Zum Seitenanfang

Einzelheiten zur Sicherheitsanfälligkeit

LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

Der LSASS-Dienst weist eine Sicherheitsanfälligkeit des Typs Pufferüberlauf (Buffer Overrun) auf, die die Codeausführung von Remotestandorten aus auf dem betroffenen System ermöglichen kann. Wenn es einem Angreifer gelingt, diese Sicherheitsanfälligkeit erfolgreich auszunutzen, kann er die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

•	Nur Windows 2000 und Windows XP können von einem anonymen Benutzer remote angegriffen werden. Windows Server 2003 und Windows XP 64-Bit Edition Version 2003 enthalten zwar die Sicherheitsanfälligkeit, sie kann jedoch nur von einem lokalen Administrator ausgenutzt werden.
•	Windows NT 4.0 ist von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Problemumgehungen für die LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, wird diese Einschränkung im Folgenden genannt.

•

Erstellen Sie eine Datei namens %systemroot%\debug\dcpromo.log und setzen Sie diese in den Eigenschaften auf schreibgeschützt (read-only). Um dies zu tun, geben Sie folgenden Befehl in die Kommandozeile ein:
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
Hinweis: Dies ist die effektivste Möglichkeit, die Verwundbarkeit abzuschwächen, da es den verwundbaren Code veranlasst, nie ausgeführt zu werden. Diese Problemumgehung funktioniert für Pakete, die an jeden verwundbaren Port geschickt werden.

•

Verwenden Sie eine persönliche Firewall, z. B. die Internetverbindungsfirewall, die zum Lieferumfang von Windows XP und Windows Server 2003 gehört.
Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schutz Ihrer Internetverbindung verwenden, wird unerwünschter eingehender Datenverkehr standardmäßig blockiert. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.
Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:

1.	Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern. Die Funktion Internetverbindungsfirewall wird aktiviert, wenn Sie im Netzwerkinstallations-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

•

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

1.	Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
3.	Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf die Registerkarte Erweitert.
5.	Aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird, und klicken Sie dann auf OK.

•

Hinweis: Wenn Sie die Verwendung einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen. Wählen Sie dann die benötigten Programme, Protokolle und Dienste aus.

•

Blockieren Sie die folgenden Ports an der Firewall:

•	UDP-Ports 135, 137, 138 und 445 sowie TCP-Ports 135, 139, 445 und 593.
•	Den unerwünschten eingehenden Datenverkehr mit Ports > 1024.
•	Alle weiteren speziell konfigurierten RPC-Ports.

•

Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

•

Aktivieren Sie erweiterte TCP/IP-Filter auf Systemen, die diese Funktion unterstützen.
Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

•

Blockieren Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen.
Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec sowie zur Anwendung von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878.

FAQs zur LSASS-Sicherheitsanfälligkeit - CAN-2003-0533

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er remote die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit entsteht durch einen ungeprüften Puffer im LSASS-Dienst.

Was ist der LSASS-Dienst?
Der LSASS-Dienst (Local Security Authority Subsystem Service) stellt eine Schnittstelle zum Verwalten der lokalen Sicherheit, der Domänenauthentifizierung sowie für Active Directory-Prozesse zur Verfügung. Der Dienst regelt die Authentifizierung für den Client und den Server. Außerdem enthält er Features für die Unterstützung von Active Directory-Dienstprogrammen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzen kann, kann er die vollständige Kontrolle über das betroffene System erlangen.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an das betroffene System übermitteln kann, könnte unter Windows 2000 und Windows XP versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Nachricht erstellt und diese dann an ein betroffenes System sendet. Diese kann dann bewirken, dass das betroffene System Code ausführt.
Der Zugriff auf die betroffene Komponente durch einen Angreifer könnte auch auf einem anderen Weg erfolgen. Der Zugriff könnte z. B. durch interaktives Anmelden des Angreifers am System oder durch Verwenden eines anderen Programms, das die Parameter (lokal oder remote) an die gefährdete Komponente übergibt, erfolgen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Windows 2000 und Windows XP sind durch diese Sicherheitsanfälligkeit hauptsächlich betroffen.
Windows Server 2003 und Windows XP 64-Bit Edition Version 2003 stellen zusätzlichen Schutz zur Verfügung. Bei diesen Produkten müsste sich ein Administrator lokal an einem betroffenen System anmelden, um diese Sicherheitsanfälligkeit ausnutzen zu können.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass LSASS die Länge einer Nachricht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Das Update entfernt außerdem den angreifbaren Code aus Windows 2000 Professional und Windows XP, da diese Betriebssysteme die angreifbare Schnittstelle nicht benötigen. Auf diese Weise wird auch Schutz vor möglichen zukünftigen Sicherheitsanfälligkeiten in diesem Dienst geboten.

LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

Es handelt sich um eine Sicherheitsanfälligkeit des Typs Denial-of-Service, durch die ein Angreifer eine speziell gestaltete LDAP-Nachricht an einen Windows 2000-Domänencontroller senden kann. Ein Angreifer kann bewirken, dass der Dienst, der für die Authentifizierung von Benutzern in einer Active Directory-Domäne verantwortlich ist, nicht mehr reagiert.

Schadensbegrenzende Faktoren für die LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

•	Um diese Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer eine speziell gestaltete LDAP-Nachricht an den Domänencontroller senden. Wenn die LDAP-Ports nicht durch eine Firewall blockiert sind, benötigt der Angreifer keine zusätzlichen Berechtigungen, um diese Sicherheitsanfälligkeit ausnutzen zu können.
•	Diese Sicherheitsanfälligkeit betrifft nur Windows 2000 Server-Domänencontroller; Windows Server 2003-Domänencontroller sind nicht betroffen.
•	Windows NT 4.0 und Windows XP sind von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, zeigt das betroffene System möglicherweise eine Warnung an. Diese besagt, dass nach 60 Sekunden ein automatischer Neustart durchgeführt wird. Nach diesem 60 Sekunden dauernden Countdown würde das betroffene System automatisch neu gestartet. Nach dem Neustart ist die normale Funktionalität wiederhergestellt. Das betroffene System kann jedoch durch einen neuen Denial-of-Service-Angriff gefährdet sein, sofern das Update nicht installiert wird.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Problemumgehungen für die LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

•

Blockieren Sie die LDAP TCP-Ports 389, 636, 3268 und 3269 an der Firewall.
Diese Ports werden zum Initiieren einer LDAP-Verbindung mit einem Windows 2000-Domänencontroller verwendet. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen von außerhalb des Unternehmens ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Es könnten zwar auch andere Ports zum Ausnutzen dieser Sicherheitsanfälligkeit verwendet werden; die genannten Ports stellen jedoch die am häufigsten verwendeten Angriffsmethoden dar. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Auswirkung der Problemumgehung: Die Active Directory-Domänenauthentifizierung ist über eine Netzwerkverbindung nicht möglich, wenn diese Ports blockiert sind.

FAQs zur LDAP-Sicherheitsanfälligkeit - CAN-2003-0663

Worin genau besteht die Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass ein Server automatisch neu gestartet wird und während dieser Zeitspanne nicht mehr auf Authentifizierungsanforderungen reagiert. Diese Sicherheitsanfälligkeit betrifft Windows 2000 Server-Systeme, die die Funktion eines Domänencontrollers ausüben. Die einzige Auswirkung auf andere Windows 2000-Systeme besteht darin, dass Clients möglicherweise nicht mehr in der Lage sind, sich an der Domäne anzumelden, wenn ihr Domänencontroller nicht mehr reagiert.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Ursache liegt in der Verarbeitung speziell gestalteter LDAP-Nachrichten durch den LSASS-Dienst (Local Security Authority Subsystem Service).

Was ist LDAP?
LDAP (Lightweight Directory Access Protocol) ist ein Protokoll nach Branchenstandard, das autorisierten Benutzern das Abfragen oder Bearbeiten von Daten in einem Metaverzeichnis ermöglicht. In Windows 2000 ist LDAP z. B. eines der Protokolle, die für den Zugriff auf Daten in Active Directory verwendet werden.

Welcher Fehler liegt bei der Verarbeitung speziell gestalteter LDAP-Nachrichten vor?
Der Angreifer könnte eine speziell gestaltete LDAP-Nachricht an den LSASS-Dienst senden und damit bewirken, dass dieser Dienst nicht mehr reagiert.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit ausnutzt, kann er bewirken, dass der LSASS-Dienst nicht mehr reagiert und das betroffene System neu gestartet wird. Das betroffene System zeigt möglicherweise eine Warnung an. Diese besagt, dass nach 60 Sekunden ein automatischer Neustart durchgeführt wird. Während dieses 60 Sekunden dauernden Countdowns ist die lokale Authentifizierung an der Konsole des betroffenen Systems sowie die Benutzerdomänenauthentifizierung beim betroffenen System nicht möglich. Nach diesem Countdown würde das betroffene System automatisch neu gestartet.

Wenn Benutzer keine Domänenauthentifizierung mit dem betroffenen System durchführen können, können sie möglicherweise nicht auf Domänenressourcen zugreifen. Nach dem Neustart ist die normale Funktionalität wiederhergestellt. Das betroffene System kann jedoch durch einen neuen Denial-of-Service-Angriff gefährdet sein, wenn das Update nicht installiert wird.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete LDAP-Nachricht an das betroffene System übermitteln kann, könnte diese Sicherheitsanfälligkeit ausnutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete LDAP-Nachricht an die Domänencontroller in einer oder mehreren Gesamtstrukturen sendet und damit möglicherweise einen Denial-of-Service-Angriff auf die unternehmensweite Domänenauthentifizierung bewirkt. Dies kann dazu führen, dass der LSASS-Dienst nicht mehr reagiert und das betroffene System neu gestartet wird. Ein Angreifer benötigt kein gültiges Benutzerkonto in der Domäne, um diese speziell gestaltete LDAP-Nachricht zu senden. Dieser Angriff kann mit Hilfe des anonymen Zugriffs durchgeführt werden.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows 2000-Domänencontroller sind angreifbar.

Ich verwende Windows 2000. Welche Systeme muss ich aktualisieren?
Das Update, das diese Sicherheitsanfälligkeit behebt, muss auf Systemen installiert werden, die als Windows 2000-Domänencontroller verwendet werden. Das Update kann jedoch auch bedenkenlos auf Windows 2000-Servern installiert werden, die andere Funktionen ausüben. Microsoft empfiehlt die Installation dieses Updates auf Systemen, die in Zukunft möglicherweise zu Domänencontrollern heraufgestuft werden.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Verarbeitung der speziell gestalteten LDAP-Nachricht durch LSASS geändert wird.

PCT-Sicherheitsanfälligkeit - CAN-2003-0719

Im PCT-Protokoll (Private Communications Transport), das Teil der Microsoft SSL-Bibliothek (Secure Sockets Layer) ist, liegt eine Anfälligkeit für einen Pufferüberlauf (Buffer Overrun) vor. Nur Systeme, auf denen SSL aktiviert ist, sowie unter bestimmten Umständen Windows 2000-Domänencontroller, sind angreifbar. Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzen kann, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die PCT-Sicherheitsanfälligkeit - CAN-2003-0719

•	Nur Systeme, auf denen SSL aktiviert ist, sind gefährdet - dies sind normalerweise nur Serversysteme. SSL-Unterstützung ist auf den betroffenen Systemen standardmäßig nicht aktiviert. SSL wird jedoch im Allgemeinen auf Webservern zur Unterstützung von E-Commerce-Anwendungen, Onlinebanking sowie anderen Anwendungen verwendet, die sichere Kommunikation erfordern.
•	Windows Server 2003 ist über diese Sicherheitsanfälligkeit nur angreifbar, wenn ein Administrator PCT manuell aktiviert hat (selbst wenn SSL aktiviert wurde).
•	Unter bestimmten Umständen können die Web Publishing-Features von ISA Server 2000 oder Proxy Server 2.0 Versuche erfolgreich blockieren, diese Sicherheitsanfälligkeit auszunutzen. Tests haben gezeigt, dass die Web Publishing-Features von ISA Server 2000 (mit aktivierten Paketfiltern und Aktivierung aller Paketfilteroptionen) diesen Angriff ohne erkennbare Nebeneffekte erfolgreich blockieren können. Proxy Server 2.0 blockiert diesen Angriff ebenfalls erfolgreich. Bis zur Installation des Sicherheitsupdates auf dem Proxy Server 2.0-System bewirkt dieser Angriff jedoch, dass die Proxy Server 2.0-Webdienste nicht mehr reagieren und das System neu gestartet werden muss.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Problemumgehungen für die PCT-Sicherheitsanfälligkeit - CAN-2003-0719

•

Deaktivieren Sie die PCT-Unterstützung über die Registrierung.
Die vollständige Dokumentation zu dieser Problemumgehung finden Sie im Microsoft Knowledge Base-Artikel 187498. Die Informationen aus diesem Artikel werden weiter unten zusammengefasst.

Die folgenden Schritte zeigen das Deaktivieren des PCT 1.0-Protokolls. Diese Deaktivierung verhindert, dass das betroffene System die Verwendung dieses Protokolls aushandeln kann.

Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema Ändern von Schlüsseln und Werten im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen über das Hinzufügen und das Löschen von Informationen in der Registrierung und im Hilfethema Bearbeiten der Registrierungsdaten in Regedt32.exe.

Hinweis: Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie diese bearbeiten.

1.	Klicken Sie auf Start, klicken Sie auf Ausführen, und geben Sie dann regedt32 ein und klicken Sie auf OK.
2.	Suchen Sie im Registrierungs-Editor folgenden Registrierungsschlüssel:
3.	HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server
4.	Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, um einen neuen Wert vom Datentyp REG_BINARY mit dem Namen Enabled im Unterschlüssel Server zu erstellen.
5.	Klicken Sie in der Liste Datentyp auf REG_BINARY.
6.	Geben Sie Enabled im Textfeld Wertname ein, und klicken Sie dann auf OK. Hinweis: Wenn dieser Wert bereits vorhanden ist, doppelklicken Sie auf den Wert, um den aktuellen Wert zu bearbeiten. Fahren Sie anschließend mit Schritt 6 fort.
7.	Legen Sie im Fenster Binär-Editor den Wert des neuen Schlüssels als 0 fest, indem Sie die folgende Zeichenfolge eingeben: 00000000.
8.	Klicken Sie auf OK, und starten Sie das System dann neu. Hinweis: Um PCT zu aktivieren, ändern Sie den Wert des Registrierungsschlüssels Enabled in 00000001 und starten dann das System neu.

FAQs zur PCT-Sicherheitsanfälligkeit - CAN-2003-0719

Worin genau besteht die Sicherheitsanfälligkeit?
Im PCT-Protokoll (Private Communications Transport), das Teil der Microsoft SSL-Bibliothek (Secure Sockets Layer) ist, liegt ein Pufferüberlauf (Buffer Overrun) vor. Nur Systeme, auf denen SSL aktiviert ist, sowie unter bestimmten Umständen Windows 2000-Domänencontroller, sind angreifbar.

Alle Programme, die SSL verwenden, können betroffen sein. Im Allgemeinen ist SSL zwar Internetinformationsdienste über HTTPS und Port 443 zugeordnet, jeder Dienst, der SSL auf einer betroffenen Plattform implementiert, ist jedoch wahrscheinlich gefährdet. Dies sind z. B. Microsoft Internet Information Server 4.0, Microsoft Internet-Informationsdienste 5.0, Microsoft Internet-Informationsdienste 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (im Lieferumfang von SQL Server 2000 enthalten) sowie Anwendungen von Drittanbietern, die PCT verwenden. Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. SQL Server 2000 ist von dieser Sicherheitsanfälligkeit nicht betroffen, weil diese Anwendung PCT-Verbindungen ausdrücklich blockiert.

Windows Server 2003 und Internetinformationsdienste 6.0 sind über diese Sicherheitsanfälligkeit nur angreifbar, wenn ein Administrator PCT manuell aktiviert hat (selbst wenn SSL aktiviert wurde).

Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den von der SSL-Bibliothek verwendeten Prozess zum Überprüfen von Nachrichteneingaben.

Was ist die SSL-Bibliothek?
Die Microsoft SSL-Bibliothek (Secure Sockets Layer) enthält Unterstützung für mehrere sichere Kommunikationsprotokolle. Dies sind z. B. TLS 1.0 (Transport Layer Security), SSL 3.0 (Secure Sockets Layer) sowie die älteren und seltener eingesetzten Protokolle SSL 2.0 (Secure Sockets Layer) und PCT 1.0 (Private Communication Technology). Diese Protokolle stellen eine verschlüsselte Verbindung zwischen einem Server und einem Clientsystem zur Verfügung. SSL kann Informationen schützen, wenn diese über öffentliche Netzwerke wie z. B. das Internet übertragen werden. SSL-Unterstützung erfordert ein SSL-Zertifikat, das auf einem Server installiert sein muss. Weitere Informationen zu SSL finden Sie im Knowledge Base-Artikel 245152.

Was ist PCT?
PCT (Private Communication Technology) ist ein von Microsoft und Visa International für die verschlüsselte Kommunikation über das Internet entwickeltes Protokoll. Es wurde als Alternative zu SSL 2.0 entwickelt. Das Protokoll ähnelt SSL. Die Nachrichtenformate sind so ähnlich, dass ein Server sowohl mit Clients interagieren kann, die SSL unterstützen, als auch mit Clients, die PCT unterstützen

PCT ist ein früheres Protokoll, das durch SSL 3.0 ersetzt wurde und nicht mehr häufig verwendet wird. Die Microsoft SSL-Bibliothek (Secure Sockets Layer) unterstützt PCT nur aus Gründen der Abwärtskompatibilität. Die meisten modernen Programme und Server verwenden SSL 3.0, und PCT ist nicht mehr erforderlich. Ausführlichere Informationen finden Sie auf der amerikansichen MSDN-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete TCP-Nachricht an einen Dienst mit aktiviertem SSL-Protokoll auf einem betroffenen System übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er mit einem betroffenen System über einen Dienst mit aktiviertem SSL-Protokoll kommuniziert und dann eine speziell gestaltete TCP-Nachricht sendet. Der Empfang einer solchen Nachricht kann bewirken, dass der betroffene Dienst auf dem gefährdeten System so fehlschlägt, dass Code ausgeführt werden kann. Der Zugriff auf die betroffene Komponente durch einen Angreifer könnte auch auf einem anderen Weg erfolgen. Der Zugriff könnte z. B. durch interaktives Anmelden des Angreifers am System oder durch Verwenden eines anderen Programms, das die Parameter (lokal oder remote) an die gefährdete Komponente übergibt, erfolgen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle Programme, die SSL verwenden, können betroffen sein. Im Allgemeinen ist SSL zwar Internetinformationsdienste über HTTPS und Port 443 zugeordnet, jeder Dienst, der SSL auf einer betroffenen Plattform implementiert, ist jedoch wahrscheinlich gefährdet. Dies sind z. B. Internet Information Server 4.0, Internet-Informationsdienste 5.0, Internet-Informationsdienste 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (im Lieferumfang von SQL Server 2000 enthalten) sowie alle Anwendungen von Drittanbietern, die PCT verwenden. Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. SQL Server 2000 ist von dieser Sicherheitsanfälligkeit nicht betroffen, weil diese Anwendung PCT-Verbindungen ausdrücklich blockiert.

Windows Server 2003 und Internetinformationsdienste 6.0 sind über diese Sicherheitsanfälligkeit nur angreifbar, wenn ein Administrator PCT manuell aktiviert hat (selbst wenn SSL aktiviert wurde).
Active Directory-Domänen, auf denen eine Stammzertifizierungsstelle des Unternehmens installiert ist, sind ebenfalls von dieser Sicherheitsanfälligkeit betroffen, da Windows 2000-Domänencontroller SSL-Verbindungen automatisch überwachen.

Auf welche Weise ist Windows Server 2003 betroffen?
Die Windows Server 2003-Implementierung von PCT weist den gleichen Pufferüberlauf auf, der auch auf anderen Plattformen vorliegt. PCT ist jedoch standardmäßig deaktiviert. Wenn das PCT-Protokoll über einen Registrierungsschlüssel aktiviert würde, wäre auch Windows Server 2003 von diesem Problem betroffen. Microsoft veröffentlicht aus diesem Grund ein Sicherheitsupdate für Windows Server 2003, das den Pufferüberlauf korrigiert, obwohl PCT auch weiterhin deaktiviert bleibt.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Überprüfung der an die PCT-Implementierung übergebenen Informationen durch diese Implementierung geändert und außerdem das PCT-Protokoll deaktiviert wird.

Ergeben sich aus diesem Update irgendwelche geänderten Verhaltensweisen?
Ja. Das Update beseitigt nicht nur die Sicherheitsanfälligkeit in PCT, sondern deaktiviert außerdem das PCT-Protokoll, weil dieses nicht mehr verwendet wird und durch SSL 3.0 ersetzt wurde. Dieses Verhalten ist mit den Standardeinstellungen von Windows Server 2003 konsistent. Wenn Administratoren PCT verwenden müssen, können sie den im Abschnitt "Problemumgehung" dieses Bulletins beschriebenen Registrierungsschlüssel verwenden, um das Protokoll zu aktivieren.

Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

Der Windows-Anmeldevorgang (Winlogon) weist eine Sicherheitsanfälligkeit durch einen Pufferüberlauf (Buffer Overrun) auf. Dabei wird die Größe eines Wertes, der während des Anmeldevorgangs verwendet wird, vor dem Einfügen in den zugewiesenen Puffer nicht überprüft. Der sich ergebende Pufferüberlauf könnte einem Angreifer ermöglichen, Code von einem Remotestandort aus auf dem betroffenen System auszuführen. Systeme, die nicht Mitglied einer Domäne sind, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

•	Nur Windows NT 4.0-, Windows 2000- und Windows XP-Systeme, die Mitglieder einer Domäne sind, sind von dieser Sicherheitsanfälligkeit betroffen. Windows Server 2003 ist von dieser Sicherheitsanfälligkeit nicht betroffen.
•	Ein Angreifer müsste über Berechtigungen zum Bearbeiten von Benutzerobjekten in einer Domäne verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Normalerweise besitzen nur Mitglieder der Gruppen Administratoren oder Konten-Operatoren diese Berechtigung. Die Berechtigung wurde jedoch möglicherweise an andere Benutzerkonten in der Domäne delegiert.
•	Domänen unterstützen normalerweise die Überwachung von Änderungen an Benutzerobjekten. Diese Überwachungsdatensätze könnten überprüft werden, wenn Sie feststellen möchten, welches Benutzerkonto andere Benutzerkonten bearbeitet hat, um diese Sicherheitsanfälligkeit auszunutzen.

Problemumgehungen für die Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

•

Ein Angreifer muss Benutzerobjekte in der Domäne bearbeiten können, um diese Sicherheitsanfälligkeit auszunutzen. Einige Organisationen fügen den Gruppen Administratoren oder Konten-Operatoren unnötigerweise Konten hinzu. Wenn z. B. ein Helpdeskmitarbeiter nur in der Lage sein muss, Benutzerkennwörter zurückzusetzen, sollte der Administrator diese Berechtigung direkt delegieren, ohne den Mitarbeiter der Gruppe Konten-Operatoren hinzuzufügen.
Das Verringern der Anzahl der Benutzerkonten in administrativen Gruppen hilft bei der Blockierung bekannter Angriffsmethoden. Nur vertrauenswürdige Mitarbeiter sollten Mitglieder administrativer Gruppen sein. Weitere Informationen zu bewährten Methoden für Domänen finden Sie auf dieser Webseite.

FAQs zur Winlogon-Sicherheitsanfälligkeit - CAN-2003-0806

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der Windows-Anmeldevorgang (Winlogon) liest einen Wert aus der Domäne, überprüft jedoch nicht dessen Größe, bevor der Wert in den zugewiesenen Puffer eingefügt wird.

Was ist Winlogon?
Der Windows-Anmeldevorgang (Winlogon) ist die Komponente des Betriebssystems Windows, die interaktive Anmeldeunterstützung zur Verfügung stellt. Winlogon.exe ist der Prozess, der sicherheitsbezogene Benutzerinteraktionen in Windows verwaltet. Er verarbeitet An- und Abmeldeanforderungen, das Sperren und Aufheben der Sperre des Systems, das Ändern des Kennworts und andere Anforderungen. Der Prozess liest während des Anmeldevorgangs Daten aus der Domäne und verwendet diese Daten dann zum Konfigurieren der Umgebung eines Benutzers. Weitere Informationen zu Winlogon finden Sie auf der amerikanischen MSDN-Website.

Was ist eine Domäne?
Eine Domäne kann zum Speichern von Informationen zu beinahe allen Netzwerkobjekten wie z. B. Druckern, Dateifreigabepfaden sowie persönlichen Informationen verwendet werden. Weitere Informationen zum Erstellen von Domänen mit Windows 2000 Server oder Windows Server 2003 finden Sie hier (englischsprachig).

Wie können Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer müsste über Berechtigungen zum Bearbeiten von Benutzerobjekten in einer Domäne verfügen, um diese Sicherheitsanfälligkeit ausnutzen zu können. Normalerweise besitzen nur Mitglieder der Gruppen Administratoren oder Konten-Operatoren diese Berechtigung. Die Berechtigung wurde jedoch möglicherweise an andere Benutzerkonten in der Domäne delegiert. Benutzerkonten, die nicht über diese Berechtigung verfügen, oder anonyme Benutzer können diese Sicherheitsanfälligkeit nicht auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte einen in einer Domäne gespeicherten Wert auf besondere Weise so bearbeiten, dass er Schaden verursachende Daten enthält. Wenn dieser Wert während des Anmeldevorgangs an einen ungeprüften Puffer in Winlogon übergeben wird, könnte Winlogon die Ausführung von Code erlauben.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows NT 4.0-, Windows 2000- und Windows XP-Systeme, die Mitglieder einer Domäne sind, sind von dieser Sicherheitsanfälligkeit betroffen.

Was bewirkt das Update?
Dieses Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass der Winlogon-Prozess die Länge eines Wertes einwandfrei überprüft, bevor dieser an den zugewiesenen Puffer übergeben wird.

Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

Die Darstellung der Windows Metafile-Bildformate (WMF) und der Enhanced Metafile-Bildformate (EMF) weist eine Sicherheitsanfälligkeit vom Typ Pufferüberlauf (Buffer Overrun) auf, die die Codeausführung von Remotestandorten aus auf dem betroffenen System ermöglichen kann. Alle Programme , die WMF- oder EMF-Bilder auf den betroffenen Systemen darstellen, können von diesem Angriff betroffen sein. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

•	Die Sicherheitsanfälligkeit kann nur von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet, eine speziell gestaltete Datei zu öffnen oder ein Verzeichnis anzuzeigen, welches das speziell gestaltete Bild enthält. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.
•	Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.
•	Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Privilegien wie der betreffende Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.
•	Windows Server 2003 ist von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

•

Lesen Sie E-Mail-Nachrichten im Nur-Text-Format, wenn Sie Outlook 2002 oder höher oder Outlook Express 6 SP1 oder höher verwenden, um sich vor Angriffen über HTML-E-Mail-Nachrichten zu schützen.
Benutzer von Microsoft Outlook 2002, die Office XP Service Pack 1 oder höher installiert haben, und Benutzer von Microsoft Outlook Express 6, die Internet Explorer 6 Service Pack 1 installiert haben, können diese Einstellung aktivieren und alle nicht digital signierten oder nicht verschlüsselten E-Mail-Nachrichten als Nur-Text anzeigen.

Weitere Informationen zu dieser Einstellung in Outlook Express 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.

Auswirkung der Problemumgehung:
E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Außerdem gilt Folgendes:

•	Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
•	Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
•	Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

FAQs zur Metafile-Sicherheitsanfälligkeit - CAN-2003-0906

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
In der Darstellung der Windows Metafile-Bildformate (WMF) und der Enhanced Metafile-Bildformate (EMF) liegt ein ungeprüfter Puffer vor.

Was sind Windows Metafile-Bildformate (WMF) und Enhanced Metafile-Bildformate (EMF)?
Ein WMF-Bild ist ein 16-Bit-Metafile-Format, das sowohl Vektor- als auch Bitmapinformationen enthalten kann. Es ist für das Betriebssystem Windows optimiert.
Ein EMF-Bild ist ein 32-Bit-Format, das sowohl Vektor- als auch Bitmapinformationen enthalten kann. Dieses Format ist eine Optimierung des Windows-Metafile-Formats; es enthält erweiterte Features.

Weitere Informationen zu Bildtypen und -formaten finden Sie im Microsoft Knowledge Base-Artikel 320314. Weitere Informationen zu diesen Dateiformaten sind auch auf der amerikanischen MSDN-Website verfügbar.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Alle Programme, die die betroffenen Bildtypen darstellen, können von diesem Angriff betroffen sein. Beispiele:

•	Ein Angreifer könnte eine Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer 6 ausnutzt, und dann einen Benutzer zum Besuch der Webseite verleiten.
•	Ein Angreifer könnte eine HTML-E-Mail-Nachricht erstellen, die mit einem speziell gestalteten Bild als Anhang versehen ist. Das speziell gestaltete Bild könnte so konzipiert sein, dass diese Sicherheitsanfälligkeit über Outlook 2002 oder Outlook Express 6 ausgenutzt wird. Ein Angreifer könnte einen Benutzer dazu verleiten, die HTML-E-Mail-Nachricht anzuzeigen.
•	Ein Angreifer könnte ein speziell gestaltetes Bild in ein Office-Dokument einbetten und dann den Benutzer zur Anzeige dieses Dokuments verleiten.
•	Ein Angreifer könnte dem lokalen Dateisystem oder einer Netzwerkfreigabe ein speziell gestaltetes Bild hinzufügen und dann den Benutzer zur Anzeige einer Vorschau des Verzeichnisses mit Windows Explorer in Windows XP verleiten.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Die Sicherheitsanfälligkeit kann auf den betroffenen Systemen nur von einem Angreifer ausgenutzt werden, der einen Benutzer dazu verleitet, eine speziell gestaltete Datei zu öffnen oder ein Verzeichnis anzuzeigen, welches das speziell gestaltete Bild enthält. Ein Angreifer verfügt nicht über die Möglichkeit, einen Benutzer zum Öffnen einer Datei zu zwingen.

Für ein Angriffsszenario im Web muss ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Überprüfung der betroffenen Bildtypen durch Windows geändert wird.

Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

Im Hilfe- und Supportcenter liegt eine Sicherheitsanfälligkeit hinsichtlich der Codeausführung von Remotestandorten aus vor, die durch die Art der HCP-URL-Überprüfung entsteht. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er einen HCP-URL erstellt, der potenziell die Ausführung von Code von Remotestandorten aus ermöglicht, sobald ein Benutzer eine Website besucht oder eine entsprechende E-Mail-Nachricht anzeigt. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

•

Outlook Express 6, Outlook 2002 und Outlook 2003 öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites. Außerdem öffnen Outlook 98 und Outlook 2000 HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites, wenn das Outlook-E-Mail-Sicherheitsupdate installiert wurde. Die Zone für eingeschränkte Sites verringert Angriffe, die diese Sicherheitsanfälligkeit ausnutzen.
Das Risiko eines Angriffs durch HTML-E-Mails kann erheblich reduziert werden, wenn die folgenden Bedingungen ausnahmslos erfüllt sind:

•	Installation des in Microsoft Security Bulletin MS04-004 enthaltenen Updates.
•	Verwenden von Internet Explorer 6 oder höher.
•	Verwenden des Microsoft Outlook-E-Mail-Sicherheitsupdates oder von Microsoft Outlook Express 6 oder höher bzw. Microsoft Outlook 2000 Service Pack 2 oder höher in der jeweiligen Standardkonfiguration.

•

Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Privilegien wie der betreffende Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert sind, besteht ein geringeres Risiko als für Benutzer, die mit Administratorberechtigungen arbeiten.

•

Windows NT 4.0 und Windows 2000 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

•

Heben Sie die Registrierung des HCP-Protokolls auf.
Heben Sie zum Schutz vor einem Angriff die Registrierung des HCP-Protokolls auf, indem Sie den folgenden Schlüssel aus der Registrierung löschen: HKEY_CLASSES_ROOT\HCP. Führen Sie zu diesem Zweck die folgenden Schritte durch:

1.	Klicken Sie auf Start, und klicken Sie dann auf Ausführen.
2.	Geben Sie regedit ein, und klicken Sie dann auf OK. Der Registrierungs-Editor wird gestartet.
3.	Erweitern Sie HKEY_CLASSES_ROOT, und markieren Sie dann den Schlüssel HCP.
4.	Klicken Sie mit der rechten Maustaste auf den Schlüssel HCP, und klicken Sie dann auf Löschen. Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation von Windows erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Auswirkung der Problemumgehung: Das Aufheben der Registrierung des HCP-Protokolls unterbricht alle lokalen, gültigen Hilfelinks, die hcp:// verwenden. Beispielsweise funktionieren Links in der Systemsteuerung möglicherweise nicht mehr.

•

Installieren Sie das Outlook-E-Mail-Sicherheitsupdate, wenn Sie Outlook 2000 SP1 oder eine frühere Version verwenden.
Outlook Express 6, Outlook 2002 und Outlook 2003 öffnen HTML-E-Mail-Nachrichten standardmäßig in der Zone für eingeschränkte Sites. Außerdem öffnen Outlook 98 und Outlook 2000 HTML-E-Mail-Nachrichten in der Zone für eingeschränkte Sites, wenn das Outlook-E-Mail-Sicherheitsupdate installiert wurde.
Benutzer, die eines dieser Produkte verwenden, gehen nur dann das Risiko eines Angriffs über eine E-Mail-Nachricht ein, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen, wenn der Benutzer in der E-Mail-Nachricht auf einen entsprechenden Link klickt.

•

Digital signierte oder verschlüsselte E-Mail-Nachrichten sind von dieser Einstellung nicht betroffen und können im Originalformat gelesen werden. Weitere Informationen zum Aktivieren dieser Einstellung in Outlook 2002 finden Sie im Microsoft Knowledge Base-Artikel 307594.
Weitere Informationen zu dieser Einstellung in Outlook 6 finden Sie im Microsoft Knowledge Base-Artikel 291387.
Auswirkung der Problemumgehung:
E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, speziellen Schriftarten, Animationen oder andere umfassende Inhalte. Außerdem gilt Folgendes:

•	Die Änderungen werden für das Vorschaufenster sowie für geöffnete Nachrichten übernommen.
•	Bilder werden zu Dateianlagen, um ihren Verlust zu vermeiden.
•	Da die Nachricht im Speicher noch immer im Rich Text- oder HTML-Format vorliegt, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

FAQs zur Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter - CAN-2003-0907

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den vom Hilfe- und Supportcenter verwendeten Prozess zum Überprüfen von Dateneingaben.

Was ist das Hilfe- und Supportcenter?
Das Hilfe- und Supportcenter (HSC) ist ein Feature von Windows, das Unterstützung zu zahlreichen Themen bietet. Das Hilfe- und Supportcenter kann Benutzer z. B. über bestimmte Windows-Features informieren, Informationen dazu bereitstellen, wie Softwareupdates per Download übertragen und installiert werden, wie die Windows-Kompatibilität bestimmter Hardwaregeräte ermittelt werden kann und wo Unterstützung durch Microsoft erhältlich ist. Benutzer und Programme können über URL-Verknüpfungen zum Hilfe- und Supportcenter gelangen, indem sie in einer URL-Verknüpfung anstelle von http:// das Präfix hcp:// verwenden.

Was ist das HCP-Protokoll?
Ähnlich wie das HTTP-Protokoll Verknüpfungen zum Ausführen von URLs zum Öffnen eines Webbrowsers verwenden kann, kann das HCP-Protokoll Verknüpfungen zum Ausführen von URLs zum Öffnen des Hilfe- und Supportcenters verwenden.

Welcher Fehler liegt im Hilfe- und Supportcenter vor?
Bei der Eingabeüberprüfung tritt ein Fehler auf.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer müsste eine Website einrichten und dann einen Benutzer zum Anzeigen dieser Webseite verleiten, um diese Sicherheitsanfälligkeit auszunutzen. Ein Angreifer kann auch eine HTML-E-Mail-Nachricht mit einem speziell gestalteten Link erstellen und den Benutzer zum Anzeigen dieser HTML-E-Mail-Nachricht sowie zum Klicken auf den betreffenden Link verleiten. Wenn der Benutzer auf diesen Link klickt, wird möglicherweise ein Internet Explorer-Fenster mit einem vom Angreifer ausgewählten HCP-URL geöffnet, und die Ausführung beliebigen Codes könnte möglich sein.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Windows XP und Windows Server 2003 enthalten die betroffene Version des Hilfe- und Supportcenters. Windows NT 4.0 und Windows 2000 sind nicht betroffen, da beide Produkte das Hilfe- und Supportcenter nicht enthalten.

Ich verwende Internet Explorer unter Windows Server 2003. Verringert Windows Server 2003 die Sicherheitsanfälligkeit?
Nein. Internet Explorer wird unter Windows Server 2003 standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration für Internet Explorer bezeichnet wird. Das HCP-Protokoll kann jedoch standardmäßig auf das Hilfe- und Supportcenter zugreifen. Aus diesem Grund kann ein Angriff auf Windows Server 2003 erfolgen.
Weitere Informationen zur verstärkten Sicherheitskonfiguration für Internet Explorer finden Sie auf dieser Webseite (englischsprachig).

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem es die Überprüfung der an das Hilfe- und Supportcenter übergebenen Daten ändert.

Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) führt dazu, dass der Hilfsprogramm-Manager Anwendungen startet. Ein angemeldeter Benutzer könnte den Hilfsprogramm-Manager zwingen, eine Anwendung mit Systemberechtigungen zu starten, und so die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

•	Ein Angreifer benötigt gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht von anonymen Benutzern ausgenutzt werden.
•	Windows NT 4.0, Windows XP und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen. Windows NT 4.0 implementiert den Hilfsprogramm-Manager nicht.
•	Das Handbuch Windows 2000 Security Hardening Guide (englischsprachig) empfiehlt das Deaktivieren des Hilfsprogramm-Managers. Umgebungen, die diesen Richtlinien genügen, tragen hinsichtlich dieser Sicherheitsanfälligkeit möglicherweise ein geringeres Risiko.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

•

Verwenden Sie Gruppenrichtlinien, um den Hilfsprogramm-Manager auf allen betroffenen Systemen zu deaktivieren, die dieses Feature nicht benötigen.
Da der Hilfsprogramm-Manager einen möglichen Angriffspunkt darstellt, deaktivieren Sie ihn unter Einsatz von Gruppentichtlinien. Der Name des Prozesses des Hilfsprogramm-Managers lautet Utilman.exe. Das folgende Handbuch stellt Informationen dazu zur Verfügung, wie Sie mit Gruppenrichtlinien festlegen können, dass Benutzer nur freigegebene Anwendungen ausführen:

•	Windows 2000 Group Policy (englischsprachig)

•

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide (englischsprachig) zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren des Hilfsprogramm-Managers.

Auswirkung der Problemumgehung: Der Hilfsprogramm-Manager stellt einfachen Zugriff auf viele der Eingabehilfen des Betriebssystems zur Verfügung. Dieser Zugriff ist erst wieder verfügbar, nachdem die Einschränkungen entfernt wurden. Informationen zum manuellen Starten zahlreicher Eingabehilfen finden Sie auf dieser Website (englischsprachig).

FAQs zur Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um eine Erhöhung der Berechtigungen (Privilege Elevation). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Der vom Hilfsprogramm-Manager zum Starten von Anwendungen verwendete Prozess ist die Ursache dieser Sicherheitsanfälligkeit. Es ist möglich, dass der Hilfsprogramm-Manager Anwendungen mit Systemrechten startet.

Was ist der Hilfsprogramm-Manager?
Der Hilfsprogramm-Manager ist ein Eingabehilfen-Dienstprogramm (englischsprachig), das Benutzern das Überprüfen des Status von Eingabehilfen (z. B. Microsoft Bildschirmlupe, Sprachausgabe, Bildschirmtastatur) sowie das Starten und Beenden dieser Programme ermöglicht.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer müsste in der Lage sein, sich am System anzumelden und nach dem Starten des Hilfsprogramm-Managers ein Programm auszuführen, das eine speziell gestaltete Nachricht an den Hilfsprogramm-Manager sendet und so versucht, die Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit erfolgreich auszunutzen, müsste ein Angreifer zuerst den Hilfsprogramm-Manager unter Windows 2000 starten und dann eine speziell konzipierte Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzen kann. In Standardkonfigurationen von Windows 2000 wird der Hilfsprogramm-Manager zwar installiert, jedoch nicht ausgeführt. Durch diese Sicherheitsanfälligkeit kann ein Angreifer die vollständige Kontrolle über ein Windows 2000-System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows 2000 ist von dieser Sicherheitsanfälligkeit betroffen. Arbeitsstationen und Terminalserver, die auf Windows 2000 basieren, sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich an Servern anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Ich verwende zwar Windows 2000, jedoch nicht den Hilfsprogramm-Manager oder die Eingabehilfen. Bin ich trotzdem von der Sicherheitsanfälligkeit betroffen?
Ja. Der Hilfsprogramm-Manager wird standardmäßig installiert und aktiviert. Der Hilfsprogramm-Manager wird jedoch nicht standardmäßig ausgeführt.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Nein. Zum Durchführen eines Angriffs müsste ein Angreifer in der Lage sein, sich am jeweiligen System anzumelden, das angegriffen werden soll. Ein Angreifer kann ein Programm bei dieser Sicherheitsanfälligkeit nicht remote laden und ausführen.

Was bewirkt das Update?
Dieses Update behebt die Sicherheitsanfälligkeit, indem der Start von Anwendungen durch den Hilfsprogramm-Manager geändert wird.

Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) ergibt sich aus der Erstellung von Tasks unter Windows XP. Unter bestimmten Bedingungen könnte ein nicht berechtigter Benutzer einen Task erstellen, der mit Systemberechtigungen ausgeführt wird, und die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909

•	Ein Angreifer benötigt gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht von einem anonymen Benutzer ausgenutzt werden.
•	Windows NT 4.0, Windows 2000 und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager - CAN-2003-0908

•

Löschen Sie den betroffenen WMI-Anbieter (Windows Management Interface).
Ein Administrator mit lokalen Verwaltungsrechten kann den betroffenen WMI-Anbieter (Windows Management Interface) löschen, indem er folgendes Skript in eine Textdatei mit der Dateinamenerweiterung VBS einfügt und diese Datei dann ausführt.

So löschen Sie den betroffenen WMI-Anbieter:
set osvc = getobject("winmgmts:root\cimv2")
set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")
otrigger.delete_

Die Installation des Updates registriert den WMI-Anbieter, auf den oben verwiesen wird, automatisch erneut. Sie müssen keine zusätzlichen Schritte durchführen, um die normale Funktionalität des Systems wiederherzustellen, nachdem das Update installiert wurde.

Auswirkung der Problemumgehung: Tasks, die als ereignisbasierte Auslöser erstellt wurden, funktionieren nicht, während der betreffende Anbieter nicht registriert ist. Weitere Informationen zu ereignisbasierten Auslösern finden Sie auf der folgenden englischsprachigen Website.

Hinweis: In einigen seltenen Fällen ist es möglich, dass Windows XP diesen WMI-Anbieter erneut registriert. Wenn Windows XP z. B. erkennt, dass das WMI-Repository beschädigt wurde, versucht das Betriebssystem möglicherweise, den betroffenen WMI-Anbieter erneut zu registrieren.

FAQs zur Sicherheitsanfälligkeit bzgl. Windows-Verwaltung - CAN-2003-0909

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Unter bestimmten Bedingungen könnte ein nicht berechtigter Benutzer von Microsoft Windows XP einen Task erstellen, der mit Systemberechtigungen ausgeführt wird.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer am System anmelden und einen Task erstellen. Da ein Angreifer über gültige Anmeldeinformationen verfügen muss, um diese Sicherheitsanfälligkeit auszunutzen, unterliegen Remotesysteme keinem Risiko.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows XP ist von dieser Sicherheitsanfälligkeit betroffen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem verhindert wird, dass Benutzer Tasks erstellen können, die eine erhöhte Berechtigungsstufe besitzen.

Enthält dieses Update weitere Verhaltensänderungen?
Ja. Dieses Update enthält außerdem mehrere Funktionsänderungen, die unten dokumentiert werden:

•	Vor diesem Update konnte ein Benutzer in einigen Fällen ereignisbasierte Auslöser erstellen, indem er das Befehlszeilenprogramm Eventtriggers.exe verwendete, ohne einen Benutzernamen und ein Kennwort angeben zu müssen. Nachdem diesem Update installiert wurde, muss ein Benutzer einen gültigen Benutzernamen und ein Kennwort angeben, um ereignisbasierte Auslöser mit dem Befehlszeilenprogramm Eventtriggers.exe zu erstellen. Ausführliche Informationen zu den Befehlszeilenoptionen von Eventtriggers.exe finden Sie hier (englischsprachig).
•	Vor dem Update konnten Administratoren ereignisbasierte Auslöser erstellen, obwohl der Taskplanerdienst angehalten oder deaktiviert war. Nun muss der Taskplanerdienst dazu ausgeführt werden. Weitere Informationen zum Taskplanerdienst finden Sie auf dieser Webseite (englischsprachig).
•	Als Teil dieses Updates wurde außerdem eine neue Beschränkung auf 1.000 Auslöser eingerichtet. Vorhandene ereignisbasierte Auslöser, deren Anzahl diesen Wert überschreitet, funktionieren nach der Installation des Updates auch weiterhin. Es können jedoch keine weiteren ereignisbasierten Auslöser erstellt werden.
•	Die Berechtigungen für ereignisbasierte Auslöser, die nach der Installation des Updates erstellt werden, wurden verstärkt.

Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

Eine Sicherheitsanfälligkeit des Typs Erhöhung von Berechtigungen (Privilege Elevation) liegt in einer Programmierschnittstelle vor, die zum Erstellen von Einträgen in der lokalen Deskriptortabelle (Local Descriptor Table oder LDT) verwendet wird. Diese Einträge enthalten Informationen zu Speichersegmenten. Ein lokal angemeldeter Angreifer, der einen Eintrag erstellen und auf diese Weise Zugriff auf geschützten Speicher erlangen kann, könnte die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

•	Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Dies kann nicht remote geschehen.
•	Windows XP und Windows Server 2003 sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Problemumgehungen für die Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

•

Keine

FAQs zur Sicherheitsanfälligkeit bzgl. der Lokalen Deskriptortabelle - CAN-2003-0910

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die zum Erstellen von Einträgen in der Lokalen Deskriptortabelle (Local Descriptor Table oder LDT) verwendete Programmierschnittstelle verursacht diese Sicherheitsanfälligkeit. Diese Einträge enthalten Informationen zu Speichersegmenten. Ein Angreifer könnte einen Eintrag erstellen, um Zugriff auf geschützten Kernelspeicher zu erhalten.

Was ist die Lokale Deskriptortabelle (Local Descriptor Table oder LDT)?
Die Lokale Deskriptortabelle (Local Descriptor Table oder LDT) enthält Einträge, die als Deskriptoren bezeichnet werden. Diese Deskriptoren enthalten Informationen, die ein bestimmtes Speichersegment definieren.

Worin liegt der Fehler bei der Erstellung eines Deskriptoreintrags in der LDT?
Die Programmierschnittstelle sollte Programmen nicht erlauben, Deskriptoreinträge in der Lokalen Deskriptortabelle zu erstellen, die auf Bereiche geschützten Speichers verweisen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss sich der Angreifer lokal am System anmelden und ein Programm ausführen können.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst am System anmelden. Ein Angreifer könnte dann ein speziell konzipiertes Programm ausführen, das die Sicherheitsanfälligkeit ausnutzt, und möglicherweise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Arbeitsstationen und Terminalserver sind am meisten gefährdet. Server sind nur gefährdet, wenn Benutzern ohne ausreichende Verwaltungsberechtigungen erlaubt wird, sich anzumelden und Programme auszuführen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Was bewirkt das Update?
Das Update beseitigt die Sicherheitsanfälligkeit, indem die Art der Erstellung von Deskriptoreinträgen in der LDT geändert wird.

H.323-Sicherheitsanfälligkeit - CAN-2004-0117

In der Microsoft-Implementierung des H.323-Protokolls liegt eine Sicherheitsanfälligkeit hinsichtlich der Verarbeitung ungültiger Anforderungen vor. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

Schadensbegrenzende Faktoren für die H.323-Sicherheitsanfälligkeit - CAN-2004-0117

•	In den am häufigsten vorkommenden Szenarien muss NetMeeting (dieses Produkt verwendet das H.323-Protokoll) ausgeführt werden, damit das System angreifbar wird.
•	In den am häufigsten vorkommenden Szenarien sind Systeme, die die Internetverbindungsfirewall verwenden und keine auf H.323 basierenden Anwendungen ausführen, nicht gefährdet.
•	Windows NT 4.0 ist nur dann von dieser Sicherheitsanfälligkeit betroffen, wenn die eigenständige Version von NetMeeting manuell durch einen Administrator installiert wurde.

Problemumgehungen für die H.323-Sicherheitsanfälligkeit - CAN-2004-0117

•

Blockieren Sie die TCP-Ports 1720 und 1503 an der Firewall für ein- und ausgehenden Datenverkehr.
Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

Auswirkung der Problemumgehung: Wenn die TCP-Ports 1503 und 1720 für ein- und ausgehenden Datenverkehr blockiert wurden, können Benutzer keine Verbindung zu ILS (Internet Locator Service) oder anderen NetMeeting-Clients herstellen.

FAQs zur H.323-Sicherheitsanfälligkeit - CAN-2004-0117

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf (Buffer Overrun). Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er z. B. Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Ungeprüfte Puffer in der Microsoft-Implementierung des H.323-Protokolls sind für dieses Problem verantwortlich.

Was ist H.323?
H.323 ist ein ITU-Standard, der angibt, wie PCs, Ausrüstung und Dienste für Multimediaanwendungen über Netzwerke kommunizieren, die keine garantierte Dienstebene bereitstellen (wie z. B. das Internet). H.323-Terminals und -Ausrüstung können Echtzeitvideo, Sprachdaten, Daten oder eine beliebige Kombination dieser Elemente übertragen. Produkte, die das H.323-Protokoll für Audio- und Videoübertragungen verwenden, ermöglichen Benutzern das Herstellen von Verbindungen und Kommunizieren mit anderen Personen über das Internet, ähnlich wie die Benutzer verschiedener Telefonmodelle telefonisch miteinander kommunizieren können.

Welche betroffenen Anwendungen verwenden das H.323-Protokoll?
Das H.323-Protokoll wird in einer Vielzahl von Microsoft-Anwendungen und -Betriebssystemkomponenten implementiert. Dieses Problem kann Systeme betreffen, auf denen einer oder mehrere der folgenden Dienste ausgeführt werden:

•	TAPI-basierte (Telephony Application Programming Interface) Anwendungen
•	NetMeeting
•	Internetverbindungsfirewall (ICF)
•	Gemeinsame Nutzung der Internetverbindung (Internet Connection Sharing oder ICS)
•	Microsoft Routing- und RAS-Dienst (Routing and Remote Access Service oder RRAS)

Was ist TAPI?
Windows TAPI (Telephony Applications Programming Interface) ist ein Teil der Windows Open System Architecture. Mit TAPI können Entwickler Telefonieanwendungen erstellen. TAPI ist ein offener Branchenstandard, der durch erhebliche und kontinuierliche Beiträge von der weltweiten Telefonie- und Computing-Community definiert wird. Da TAPI hardwareunabhängig ist, können kompatible Anwendungen auf einer Vielzahl von PC- und Telefoniehardware ausgeführt werden; diese Anwendungen können eine Vielzahl von Netzwerkdiensten unterstützen. TAPI implementiert das H.323-Protokoll. Anwendungen, die TAPI verwenden, sind möglicherweise durch die in diesem Bulletin beschriebene Sicherheitsanfälligkeit gefährdet.

Werden TAPI-basierte H.323-Anwendungen standardmäßig auf einem der betroffenen Systeme installiert?
Microsoft Wählhilfe ist die einzige TAPI-basierte H.323-Anwendung, die standardmäßig unter Windows 2000 und Windows XP installiert wird. Anwendungen von Drittanbietern könnten die H.323-Funktionen in TAPI aktivieren und verwenden.
Hinweis: Microsoft Wählhilfe ist nicht im Lieferumfang von Windows Server 2003 enthalten.

Was ist NetMeeting?
NetMeeting bietet eine vollständige Internet- und Unternehmenskonferenzlösung für alle Benutzer von Windows. Das Produkt umfasst Multipoint-Datenkonferenzen, Textchat, Whiteboard und Dateiübertragung sowie Punkt-zu-Punkt-Audio- und Videoübertragung. NetMeeting implementiert das H.323-Protokoll und wird standardmäßig auf allen betroffenen Systemen installiert, jedoch nicht standardmäßig ausgeführt.

Ich verwende NetMeeting, jedoch nicht die gemeinsame Nutzung der Internetverbindung, die Internetverbindungsfirewall oder den Routing- und RAS-Dienst. Bin ich von der Sicherheitsanfälligkeit betroffen?
Ja. Wenn Sie NetMeeting ausführen, sind Sie durch diese Sicherheitsanfälligkeit gefährdet.

Ich führe NetMeeting aus, bin jedoch nicht mit einem ILS-Server verbunden und verwende keine Peer-to-Peer-NetMeeting-Sitzung. Bin ich durch diese Sicherheitsanfälligkeit gefährdet?
Ja, wenn die TCP-Ports 1720 und 1503 nicht auf dem System blockiert sind.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich die eigenständige Version von NetMeeting niemals installiert habe?
NetMeeting war im Lieferumfang von Windows 2000, Windows XP und Windows Server 2003 enthalten. Dieses Update betrifft die Versionen von NetMeeting, die im Lieferumfang dieser Betriebssysteme enthalten waren. NetMeeting ist außerdem als eigenständiger Download für andere Betriebssysteme sowie als Teil anderer Anwendungen verfügbar, die ebenfalls von dieser Sicherheitsanfälligkeit betroffen sein können. Wenn Sie die eigenständige Version von NetMeeting installiert haben, installieren Sie eine aktualisierte Version, die diese Sicherheitsanfälligkeit behebt. Sie können die aktualisierte Version von dieser Webseite (englischsprachig) downloaden.

Sind Windows 98, Windows 98 Second Edition oder Windows Millennium Edition auf kritische Weise von dieser Sicherheitsanfälligkeit betroffen?
Nein. Diese Betriebssysteme enthalten zwar möglicherweise NetMeeting, die Sicherheitsanfälligkeit ist bei diesen Betriebssystemen jedoch nicht als kritisch zu bewerten. Zum Beheben dieser Sicherheitsanfälligkeit können Sie die eigenständige Version von NetMeeting für diese Betriebssysteme von dieser Webseite (englischsprachig) downloaden und installieren. Weitere Informationen zu den Bewertungen des Schweregrads finden Sie hier.

Was ist die Internetverbindungsfirewall?
Die Internetverbindungsfirewall (Internet Connection Firewall oder ICF) stellt grundlegende Funktionen zum Schutz vor Angriffen für Systeme zur Verfügung, auf denen Windows XP oder Windows Server 2003 ausgeführt wird. Sie wurde für Systeme konzipiert, die direkt mit einem öffentlichen Netzwerk verbunden sind, sowie für Systeme, die Teil eines privaten Netzwerks sind, wenn die Verwendung zusammen mit der gemeinsamen Nutzung der Internetverbindung erfolgt.

Bin ich von dieser Sicherheitsanfälligkeit betroffen, wenn ich die Internetverbindungsfirewall unter Windows XP oder Windows Server 2003 ausführe?
Nein, nicht automatisch. Wenn Sie jedoch NetMeeting verwenden, können Sie selbst dann von dieser Sicherheitsanfälligkeit betroffen sein, wenn die Internetverbindungsfirewall ausgeführt wird. NetMeeting öffnet Ports in ICF, die zu dieser Sicherheitsanfälligkeit führen können.
Das manuelle Öffnen der TCP-Ports 1720 und 1503 kann ebenfalls zu dieser Sicherheitsanfälligkeit führen. Anwendungen von Drittanbietern können ICF ebenfalls veranlassen, Ports als Reaktion auf H.323-Kommunikation zu öffnen.

Was ist die gemeinsame Nutzung der Internetverbindung?
Mit der gemeinsamen Nutzung der Internetverbindung (Internet Connection Sharing oder ICS) können Benutzer ein System mit dem Internet verbinden und den Internetdienst dann mit mehreren anderen Systeme