Microsoft Security Bulletin MS04-045

In WINS liegt eine Sicherheitsanfälligkeit hinsichtlich der Codeausführung von Remotestandorten aus vor, die durch die Art der Überprüfung von Computernamen entsteht. Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er ein böswilliges Netzwerkpaket sendet, das potenziell die Ausführung von Code von Remotestandorten aus auf dem betroffenen System ermöglicht. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.

•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.
•	WINS ist nicht standardmäßig unter Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server und Windows Server 2003 installiert. WINS ist jedoch standardmäßig unter Microsoft Small Business Server 2000 und Microsoft Windows Small Business Server 2003 installiert und wird dort auch ausgeführt. Bei allen Versionen von Microsoft Small Business Server sind die Kommunikationsports der WINS-Komponente jedoch standardmäßig für den Zugriff auf das Internet blockiert, und WINS ist lediglich im lokalen Netzwerk verfügbar.
•	Bei Windows Server 2003 würde der Versuch, diese Sicherheitsanfälligkeit auszunutzen, höchstwahrscheinlich zu einem Denial-of-Service führen. Wenn der WINS-Dienst ausfällt, wird er automatisch neu gestartet. Nach dem dritten automatischen Neustart verlangt WINS einen manuellen Neustart zur Wiederherstellung der Funktionalität.

Top of section

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im Folgenden genannt.

•	Blockieren von TCP-Port 42 und UDP-Port 42 an der Firewall. Diese Ports werden zum Einleiten einer Verbindung mit einem WINS-Remoteserver verwendet. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die versuchen, diese Sicherheitsanfälligkeit auszunutzen. Es ist möglich, dass weitere Ports ermittelt werden, die das Ausnutzen dieser Sicherheitsanfälligkeit erlauben. Die genannten Ports stellen die am häufigsten verwendeten Angriffsmethoden dar. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.
•	Entfernen des WINS-Dienstes, wenn dieser nicht benötigt wird. In vielen Unternehmen stellt WINS nur Dienste für Legacysysteme zur Verfügung. Falls WINS nicht mehr benötigt wird, kann der Dienst mit Hilfe des folgenden Verfahrens entfernt werden. Diese Schritte beziehen sich nur auf Windows 2000 und höher. Für Windows NT 4.0 befolgen Sie die in der Produktdokumentation beschriebenen Schritte. So konfigurieren Sie die WINS-Komponenten und -Dienste: 1. Klicken Sie auf „Start“, dann auf „Systemsteuerung“ und anschließend auf Software. 2. Klicken Sie in der Kategorieansicht (Standardansicht) auf Software. 3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 4. Klicken Sie auf der Seite des Assistenten für Windows-Komponenten unter Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details. 5. Deaktivieren Sie das Kontrollkästchen WINS (Windows Internet Naming Service), um WINS zu entfernen. 6. Schließen Sie den Assistenten für Windows-Komponenten ab, indem Sie die Anweisungen des Assistenten befolgen. Auswirkung der Problemumgehung: Zahlreiche Unternehmen benötigen WINS zum Durchführen der Namenregistrierungs- und Namenauflösungsfunktionen im Netzwerk. Administratoren sollten WINS nur entfernen, wenn die Auswirkungen dieses Vorgehens auf das Netzwerk im vollen Umfang bekannt sind. Weitere Informationen zu WINS finden Sie in der WINS-Produktdokumentation (englischsprachig). Wenn ein Administrator die WINS-Funktionen von einem Server entfernt, über den auch weiterhin freigegebene Ressourcen im Netzwerk bereitgestellt werden, so muss er eine einwandfreie Neukonfiguration des Systems sicherstellen, die gewährleistet, dass die verbleibenden Namenauflösungsdienste im lokalen Netzwerk verwendet werden. Weitere Informationen zu WINS finden Sie auf dieser Microsoft-Website (englischsprachig). Weitere Informationen zum Feststellen, ob Sie NETBIOS- oder WINS-Namensauflösungen und DNS-Konfigurationen benötigen, finden Sie auf der folgenden Microsoft-Website (englischsprachig).
•	Verwenden Sie unter Windows 2000 Server und Windows Server 2003 die IPSec-Kommunikation, um den Datenverkehr zwischen den Replikationspartnern für den WINS-Server zu sichern. Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen dazu, wie Sie WINS mit IPSec vor dieser Sicherheitsanfälligkeit schützen können, finden Sie im Microsoft Knowledge Base-Artikel 890710. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und Microsoft Knowledge Base-Artikel 813878. Auswirkung der Problemumgebung: Wenn Sie IPSec falsch einrichten, kann es zu schweren WINS-Replikationsfehlern in Ihrem Unternehmensnetzwerk kommen.

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten.

Unter Windows Server 2003 besteht das wahrscheinlichste Angriffsszenario in einem Denial-of-Service. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann ein Fehlschlagen des WINS-Dienstes unter Windows Server 2003 bewirken. Wenn der WINS-Dienst unter Windows Server 2003 ausfällt, wird er automatisch neu gestartet. Nach dem dritten automatischen Neustart verlangt WINS einen manuellen Neustart zur Wiederherstellung der Funktionalität. Nach dem Neustart des WINS-Dienstes funktioniert der Dienst wieder einwandfrei. Er bleibt jedoch potenziell vor einem weiteren Denial-of-Service-Angriff ungeschützt.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Ein ungeprüfter Puffer in der Methode, mit der WINS den Namenswert in einem speziell erstellten Paket überprüft.

Die Möglichkeit eines Denial-of-Service unter Windows Server 2003 kommt aufgrund einer Sicherheitsfunktion zustande, die in der Entwicklung von Windows Server 2003 verwendet wurde. Diese Sicherheitsfunktion erkennt Versuche zur Ausnutzung eines stackbasierten Pufferüberlaufs und erschwert die Ausnutzung der Sicherheitsanfälligkeit. Diese Sicherheitsfunktion kann dazu gezwungen werden, den Dienst zu beenden, um unerwünschte Codeausführung zu verhindern. Wenn unter Windows Server 2003 ein Versuch unternommen wird, den Pufferüberlauf auszunutzen, reagiert die Sicherheitsfunktion und beendet den Dienst. Dies führt zu einer Denial-of-Service-Bedingung von WINS. Möglicherweise werden in Zukunft Methoden gefunden, um diese Sicherheitsfunktion zu umgehen und Codeausführung zu ermöglichen. Benutzer sollten das Update aus diesem Grund installieren. Weitere Informationen zu diesen Sicherheitsfunktionen finden Sie auf der folgenden Website.

Was ist der WINS-Dienst (Windows Internet Naming Service)?
Der WINS-Dienst (Windows Internet Naming Service) ordnet IP-Adressen NetBIOS-Computernamen zu und umgekehrt. Mit WINS-Servern können Benutzer nach Ressourcen anhand des Computernamens suchen, anstatt die IP-Adresse verwenden zu müssen. Die Vorteile von WINS sind folgende:

•	Der NetBIOS-basierte Broadcastverkehr in Subnetzen wird verringert, indem Clients WINS-Server nach Remotesystemen abfragen.
•	Frühere Versionen von Windows- und NetBIOS-basierten Clients im Netzwerk werden unterstützt, indem diese Clients Listen nach Windows-Remotedomänen durchsuchen können, ohne dass in jedem Subnetz ein lokaler Domänencontroller vorhanden sein muss.
•	Auf DNS (Domain Name System) basierende Clients werden unterstützt, indem diese Clients für die Suche nach NetBIOS-Ressourcen aktiviert werden, wenn die WINS-Lookupintegration implementiert wird.

Weitere Informationen zu WINS finden Sie in der WINS-Produktdokumentation (englischsprachig).

Wie kann ich feststellen, ob der WINS-Dienst auf meinem Server ausgeführt wird?

WINS ist nicht standardmäßig unter Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server und Windows Server 2003 installiert. WINS ist jedoch standardmäßig unter Microsoft Small Business Server 2000 und Microsoft Windows Small Business Server 2003 installiert und wird dort auch ausgeführt. Anhand der folgenden Methode können Sie feststellen, ob WINS installiert ist. Diese Schritte beziehen sich nur auf Windows 2000 und höher. Für Windows NT 4.0 befolgen Sie die in der Produktdokumentation beschriebenen Schritte.

So überprüfen Sie die WINS-Komponenten und -Dienste:

1.	Klicken Sie auf „Start“, dann auf „Systemsteuerung“ und anschließend auf Software.
2.	Klicken Sie in der Kategorieansicht (Standardansicht) auf Software.
3.	Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
4.	Klicken Sie auf der Seite des Assistenten für Windows-Komponenten unter Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details.
5.	Anhand des Kontrollkästchens WINS (Windows Internet Naming Service) können Sie erkennen, ob WINS installiert ist.
6.	Klicken Sie mehrmals auf „Abbrechen“, um Windows-Komponenten hinzufügen/entfernen zu verlassen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen. Angreifer, die diese Sicherheitsanfälligkeit ausnutzen, könnten bewirken, dass WINS unter Windows Server 2003 nicht mehr auf Anforderungen reagiert.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an WINS auf einem betroffenen Server übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen. Jeder Benutzer, der eine Verbindung mit einem betroffenen System über die betroffenen Ports herstellen kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Netzwerknachricht erstellt und diese dann an ein betroffenes System sendet. Unter Windows Server 2003 kann der Empfang einer solchen Nachricht ein Fehlschlagen des Dienstes bewirken und zu einem Denial-of-Service-Angriff führen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows-Systeme, die als WINS-Server konfiguriert wurden, sind gefährdet. Windows 2000 Professional und Windows XP können nicht als WINS-Server konfiguriert werden. Von daher sind diese Betriebssysteme von der Sicherheitsanfälligkeit nicht betroffen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Sie sich vor Remoteangriffen aus dem Internet schützen. Microsoft stellt Informationen darüber zur Verfügung, wie Sie Ihren PC schützen können. Für IT-Profis und Entwickler steht das Microsoft Security Guidance Center zur Verfügung.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem das von WINS zum Überprüfen des Namenswerts verwendete Verfahren geändert wird, bevor der Wert an den zugewiesenen Puffer übergeben wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

In welcher Beziehung steht diese Sicherheitsanfälligkeit zu der durch MS04-006 behobenen Sicherheitsanfälligkeit bzgl. WINS?
Beide Sicherheitsanfälligkeiten stammen aus WINS. Dieses Update behebt jedoch eine neue Sicherheitsanfälligkeit, die nicht als Teil von MS04-006 behandelt wurde. MS04-006 bietet Schutz vor der in dem Bulletin beschriebenen Sicherheitsanfälligkeit, behebt aber nicht diese neue Sicherheitsanfälligkeit. Dieses Update ersetzt MS04-006. Sie können dieses Update installieren, um Ihr System vor beiden Sicherheitsanfälligkeiten zu schützen.

Top of section

In Internet Explorer liegt eine Sicherheitsanfälligkeit hinsichtlich der Codeausführung von Remotestandorten aus vor, die durch die Art der Überprüfung des Zuordnungskontexts entsteht. Ein Angreifer könnte die Sicherheitsanfälligkeit ausnutzen, indem er ein böswilliges Netzwerkpaket sendet, das potenziell die Ausführung von Code von Remotestandorten aus auf dem betroffenen System ermöglicht. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Bei Windows Server 2003 würde das Ausnutzen dieser Sicherheitsanfälligkeit jedoch höchstwahrscheinlich zu einem Denial-of-Service führen. Der Dienst müsste neu gestartet werden, um die Funktionalität wiederherzustellen.

•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.
•	WINS ist nicht standardmäßig unter Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server und Windows Server 2003 installiert. WINS ist jedoch standardmäßig unter Microsoft Small Business Server 2000 und Microsoft Windows Small Business Server 2003 installiert und wird dort auch ausgeführt. Bei allen Versionen von Microsoft Small Business Server sind die Kommunikationsports der WINS-Komponente jedoch standardmäßig für den Zugriff auf das Internet blockiert, und WINS ist lediglich im lokalen Netzwerk verfügbar.
•	Bei allen betroffenen Betriebssystemen würde das Ausnutzen dieser Sicherheitsanfälligkeit höchstwahrscheinlich zu einem Denial-of-Service führen. Wenn der WINS-Dienst unter Windows Server 2003 ausfällt, wird er automatisch neu gestartet. Nach dem dritten automatischen Neustart verlangt WINS einen manuellen Neustart zur Wiederherstellung der Funktionalität.

Top of section

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im Folgenden genannt.

•	Blockieren von TCP-Port 42 und UDP-Port 42 an der Firewall. Diese Ports werden zum Einleiten einer Verbindung mit einem WINS-Remoteserver verwendet. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die versuchen, diese Sicherheitsanfälligkeit auszunutzen. Es ist möglich, dass weitere Ports ermittelt werden, die das Ausnutzen dieser Sicherheitsanfälligkeit erlauben. Die genannten Ports stellen die am häufigsten verwendeten Angriffsmethoden dar. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.
•	Entfernen des WINS-Dienstes, wenn dieser nicht benötigt wird. In vielen Unternehmen stellt WINS nur Dienste für Legacysysteme zur Verfügung. Falls WINS nicht mehr benötigt wird, kann der Dienst mit Hilfe des folgenden Verfahrens entfernt werden. Diese Schritte beziehen sich nur auf Windows 2000 und höher. Für Windows NT 4.0 befolgen Sie die in der Produktdokumentation beschriebenen Schritte. So konfigurieren Sie die WINS-Komponenten und -Dienste: 1. Klicken Sie auf „Start“, dann auf „Systemsteuerung“ und anschließend auf Software. 2. Klicken Sie in der Kategorieansicht (Standardansicht) auf Software. 3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 4. Klicken Sie auf der Seite des Assistenten für Windows-Komponenten unter Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details. 5. Deaktivieren Sie das Kontrollkästchen WINS (Windows Internet Naming Service), um WINS zu entfernen. 6. Schließen Sie den Assistenten für Windows-Komponenten ab, indem Sie die Anweisungen des Assistenten befolgen. Auswirkung der Problemumgehung: Zahlreiche Unternehmen benötigen WINS zum Durchführen der Namenregistrierungs- und Namenauflösungsfunktionen im Netzwerk. Administratoren sollten WINS nur entfernen, wenn die Auswirkungen dieses Vorgehens auf das Netzwerk im vollen Umfang bekannt sind. Weitere Informationen zu WINS finden Sie in der WINS-Produktdokumentation (englischsprachig). Wenn ein Administrator die WINS-Funktionen von einem Server entfernt, über den auch weiterhin freigegebene Ressourcen im Netzwerk bereitgestellt werden, so muss er eine einwandfreie Neukonfiguration des Systems sicherstellen, die gewährleistet, dass die verbleibenden Namenauflösungsdienste im lokalen Netzwerk verwendet werden. Weitere Informationen zu WINS finden Sie auf dieser Microsoft-Website (englischsprachig). Weitere Informationen zum Feststellen, ob Sie NETBIOS- oder WINS-Namensauflösungen und DNS-Konfigurationen benötigen, finden Sie auf der folgenden Microsoft-Website (englischsprachig).
•	Verwenden Sie unter Windows 2000 Server und Windows Server 2003 die IPSec-Kommunikation, um den Datenverkehr zwischen den Replikationspartnern für den WINS-Server zu sichern. Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen dazu, wie Sie WINS mit IPSec vor dieser Sicherheitsanfälligkeit schützen können, finden Sie im Microsoft Knowledge Base-Artikel 890710. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und Microsoft Knowledge Base-Artikel 813878. Auswirkung der Problemumgebung: Wenn Sie IPSec falsch einrichten, kann es zu schweren WINS-Replikationsfehlern in Ihrem Unternehmensnetzwerk kommen.

Top of section

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Anschließend wäre er in der Lage, beliebige Aktionen auf dem System auszuführen. So könnte er beispielsweise Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Unter Windows Server 2003 besteht das wahrscheinlichste Angriffsszenario in einem Denial-of-Service. Wenn der WINS-Dienst unter Windows Server 2003 ausfällt, wird er automatisch neu gestartet. Nach dem dritten automatischen Neustart verlangt WINS einen manuellen Neustart zur Wiederherstellung der Funktionalität. Nach dem Neustart des WINS-Dienstes funktioniert der Dienst wieder einwandfrei. Er bleibt jedoch vor einem weiteren Denial-of-Service-Angriff ungeschützt.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Methode, mit der WINS die Daten des Zuordnungskontexts überprüft.

Was ist der WINS-Dienst (Windows Internet Naming Service)?
Der WINS-Dienst (Windows Internet Naming Service) ordnet IP-Adressen NetBIOS-Computernamen zu und umgekehrt. Mit WINS-Servern können Benutzer nach Ressourcen anhand des Computernamens suchen, anstatt die IP-Adresse verwenden zu müssen. Die Vorteile von WINS sind folgende:

•	Der NetBIOS-basierte Broadcastverkehr in Subnetzen wird verringert, indem Clients WINS-Server nach Remotesystemen abfragen.
•	Frühere Versionen von Windows- und NetBIOS-basierten Clients im Netzwerk werden unterstützt, indem diese Clients Listen nach Windows-Remotedomänen durchsuchen können, ohne dass in jedem Subnetz ein lokaler Domänencontroller vorhanden sein muss.
•	Auf DNS (Domain Name System) basierende Clients werden unterstützt, indem diese Clients für die Suche nach NetBIOS-Ressourcen aktiviert werden, wenn die WINS-Lookupintegration implementiert wird.

Weitere Informationen zu WINS finden Sie in der WINS-Produktdokumentation (englischsprachig).

Wie kann ich feststellen, ob der WINS-Dienst auf meinem Server ausgeführt wird?

WINS ist nicht standardmäßig unter Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server und Windows Server 2003 installiert. WINS ist jedoch standardmäßig unter Microsoft Small Business Server 2000 und Microsoft Windows Small Business Server 2003 installiert und wird dort auch ausgeführt. Anhand der folgenden Methode können Sie feststellen, ob WINS installiert ist. Diese Schritte beziehen sich nur auf Windows 2000 und höher. Für Windows NT 4.0 befolgen Sie die in der Produktdokumentation beschriebenen Schritte.

So überprüfen Sie die WINS-Komponenten und -Dienste:

1.	Klicken Sie auf „Start“, dann auf „Systemsteuerung“ und anschließend auf Software.
2.	Klicken Sie in der Kategorieansicht (Standardansicht) auf Software.
3.	Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
4.	Klicken Sie auf der Seite des Assistenten für Windows-Komponenten unter Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details.
5.	Anhand des Kontrollkästchens WINS (Windows Internet Naming Service) können Sie erkennen, ob WINS installiert ist.
6.	Klicken Sie mehrmals auf „Abbrechen“, um Windows-Komponenten hinzufügen/entfernen zu verlassen.

Was ist der Zuordnungskontext?
Der Zuordnungskontext ist eine Datenstruktur, in der WINS Verbindungsinformationen für die WINS-Replikationspartner speichert.

Welcher Fehler liegt bei der Überprüfung des Zuordnungskontexts in WINS vor?
Es besteht die Möglichkeit, dass ein Angreifer ein speziell gestaltetes Paket mit ungültigen Zuordnungskontextdaten sendet. Diese Daten werden ohne vollständige Überprüfung in WINS verwendet. Das kann zu einem Ausfall des WINS-Dienstes führen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen. Es wird jedoch eher dazu kommen, dass WINS unter Windows Server 2003 nicht mehr auf Anfragen reagiert.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Jeder anonyme Benutzer, der eine speziell gestaltete Nachricht an WINS auf einem betroffenen Server übermitteln kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen. Jeder Benutzer, der eine Verbindung mit einem betroffenen System über die betroffenen Ports herstellen kann, könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Netzwerknachricht erstellt und diese dann an ein betroffenes System sendet. Der Empfang einer solchen Nachricht kann ein Fehlschlagen des Dienstes bewirken und zu einem Denial-of-Service-Angriff führen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Nur Windows-Systeme, die als WINS-Server konfiguriert wurden, sind gefährdet. Windows 2000 Professional und Windows XP können nicht als WINS-Server konfiguriert werden. Von daher sind diese Betriebssysteme von der Sicherheitsanfälligkeit nicht betroffen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Sie sich vor Remoteangriffen aus dem Internet schützen. Microsoft stellt Informationen darüber zur Verfügung, wie Sie Ihren PC schützen können. Für IT-Profis und Entwickler steht das Microsoft Security Guidance Center zur Verfügung.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Methode geändert wird, mit der WINS den Zuordnungskontext vor der Verwendung überprüft.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Sie wurde der allgemeinen Sicherheitsanfälligkeit mit der Nummer CAN-2004-1080 zugewiesen. Microsoft erhielt jedoch durch verantwortungsvolle Offenlegung Informationen über diese Sicherheitsanfälligkeit, und der Forscher erfährt in diesem Security Bulletin Anerkennung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zwar zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins Codebeispiele für ein Angriffskonzept vor, aber keine Informationen, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde.

Werden die Benutzer durch die Installation dieses Sicherheitsupdates vor dem veröffentlichten Code geschützt, mit dem diese Sicherheitsanfälligkeit ausgenutzt wird?
Ja. Durch dieses Sicherheitsupdate wird die derzeit ausgenutzte Sicherheitsanfälligkeit behoben. Die beseitigte Sicherheitsanfälligkeit wurde der allgemeinen Sicherheitsanfälligkeit mit der Nummer CAN-2004-1080 zugewiesen.

In welcher Beziehung steht diese Sicherheitsanfälligkeit zu der durch MS04-006 behobenen Sicherheitsanfälligkeit bzgl. WINS?
Beide Sicherheitsanfälligkeiten stammen aus WINS. Dieses Update behebt jedoch eine neue Sicherheitsanfälligkeit, die nicht als Teil von MS04-006 behandelt wurde. MS04-006 bietet Schutz vor der in dem Bulletin beschriebenen Sicherheitsanfälligkeit, behebt aber nicht diese neue Sicherheitsanfälligkeit. Dieses Update ersetzt MS04-006. Sie können dieses Update installieren, um Ihr System vor beiden Sicherheitsanfälligkeiten zu schützen.

Top of section

Voraussetzungen:
Dieses Sicherheitsupdate erfordert eine veröffentlichte Version von Windows Server 2003.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem wird in Windows Server 2003 Service Pack 1 enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet                Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Unbeaufsichtigten Modus verwenden (nur Fortschrittsanzeige)

      /uninstall          Paket deinstallieren

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /l                        Auflisten der Windows-Hotfixes oder -Updatepakete

      /o                       Überschreiben von OEM-Dateien ohne Eingabeaufforderung

      /n                       Kein Sichern der für die Deinstallation benötigten Dateien

      /f                        Schließen anderer Programme beim Herunterfahren des Computers erzwingen

      /integrate:path  Integriert das Update in die Windows-Quelldateien, die sich im angegebenen Pfad befinden.

      /extract             Dateien extrahieren, ohne Setup zu starten

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsdienstprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet-Website.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsserver2003-kb870763-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windowsserver2003-kb870763-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services.

Neustartanforderung

In einigen Fällen erfordert dieses Update keinen Neustart des Computers. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Updates die Option „Software“ in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB870763$\Spuninst. Das Dienstprogramm Spuninst.exe unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet                Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Unbeaufsichtigten Modus verwenden (nur Fortschrittsanzeige)

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /f                        Schließen anderer Programme beim Herunterfahren des Computers erzwingen

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition und Windows Server 2003 Datacenter Edition:

Windows Server 2003 64-Bit Enterprise Edition und Windows Server 2003 64-Bit Datacenter Edition:

Hinweis: Wenn Sie dieses Sicherheitsupdate auf einem Computer mit Windows Server 2003 installieren, prüft das Installationsprogramm, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden. Wenn Sie kürzlich einen Hotfix installiert haben, um diese Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die RTMGDR-Dateien auf Ihr System.

Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 824994.

Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet-Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Überprüfen der Updateinstallation

Voraussetzungen:
Für Windows 2000 Server erfordert dieses Sicherheitsupdate Service Pack 3 (SP3) oder Service Pack 4 (SP4).

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Weitere Informationen zu den Bezugsquellen für aktuelle Service Packs finden Sie im Microsoft Knowledge Base-Artikel 260910.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem wird in Windows Server 2000 Service Pack 5 enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet                Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Unbeaufsichtigten Modus verwenden (nur Fortschrittsanzeige)

      /uninstall          Paket deinstallieren

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /l                        Auflisten der Windows-Hotfixes oder -Updatepakete

      /o                       Überschreiben von OEM-Dateien ohne Eingabeaufforderung

      /n                       Kein Sichern der für die Deinstallation benötigten Dateien

      /f                        Schließen anderer Programme beim Herunterfahren des Computers erzwingen

      /integrate:path  Integriert das Update in die Windows-Quelldateien, die sich im angegebenen Pfad befinden.

      /extract             Dateien extrahieren, ohne Setup zu starten

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsdienstprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet-Website. Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windows2000-kb870763-x86-enu /passive /quiet

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 3 oder Windows 2000 Service Pack 4, um das Sicherheitsupdate zu installieren, ohne einen Neustart des Systems zu erzwingen:

Windows2000-kb870763-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services.

Neustartanforderung

In einigen Fällen erfordert dieses Update keinen Neustart des Computers. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option „Software“ in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB870763$\Spuninst. Das Dienstprogramm Spuninst.exe unterstützt folgende Installationsoptionen:

      /help                 Befehlszeilenoptionen anzeigen

Installationsmodi

      /quiet                Stillen Modus verwenden (kein Benutzereingriff und keine Anzeige)

      /passive            Unbeaufsichtigten Modus verwenden (nur Fortschrittsanzeige)

Neustartoptionen

      /norestart          Kein Neustart nach Abschluss der Installation

      /forcerestart     Neustart nach der Installation

Besondere Optionen

      /f                        Schließen anderer Programme beim Herunterfahren des Computers erzwingen

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Hinweis: Die Informationen zu Datum, Uhrzeit, Dateiname oder Größe können sich während der Installation ändern. Einzelheiten zum Überprüfen einer Installation finden Sie im Abschnitt „Überprüfen der Updateinstallation“.

Für Windows 2000 Server Service Pack 3 und Windows 2000 Server Service Pack 4:

Überprüfen der Updateinstallation

Voraussetzungen:
Dieses Sicherheitsupdate erfordert Windows NT Server 4.0 Service Pack 6a (SP6a) oder Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6).

Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich, oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Weitere Informationen zu den Bezugsquellen für aktuelle Service Packs finden Sie im Microsoft Knowledge Base-Artikel 152734.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen:

   /y: Deinstallation durchführen (nur mit /m oder /q)

   /f: Schließen von Programmen beim Herunterfahren erzwingen

   /n: Keinen Deinstallationsordner erstellen

   /z: Nach der Installation des Updates keinen Neustart durchführen

   /q: Verwenden des stillen oder unbeaufsichtigten Modus ohne Benutzeroberfläche (diese Option ist eine Obermenge von /m)

   /m: Unbeaufsichtigten Modus mit Benutzeroberfläche verwenden

   /l: Installierte Hotfixes auflisten

   /x: Dateien ohne Ausführen von Setup extrahieren

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows NT Server 4.0, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsnt4server-kb870763-x86-enu /q

Für Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb870763-x86-enu /q

Beenden Sie den WINS-Dienst manuell und verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows NT Server 4.0, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems installieren möchten:

Windowsnt4server-kb870763-x86-enu /z

Für Windows NT Server 4.0 Terminal Server Edition:

Windowsnt4terminalserver-kb870763-x86-enu /z

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben. Sie können jedoch einen Neustart vermeiden, indem Sie die Anweisungen im Abschnitt „Informationen zur Bereitstellung“ in diesem Bulletin befolgen.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option Software in der Systemsteuerung.

Systemadministratoren können auch das Dienstprogramm Hotfix.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Hotfix.exe befindet sich im Ordner %Windir%\$NTUninstallKB870763$. Das Dienstprogramm Hotfix.exe unterstützt folgende Installationsoptionen:

/y: Deinstallation durchführen (nur mit der Option /m oder /q)

/f: Schließen von Programmen beim Herunterfahren erzwingen

/n: Keinen Deinstallationsordner erstellen

/z: Kein Neustart nach Abschluss der Installation

/q: Stillen oder unbeaufsichtigten Modus ohne Benutzeroberfläche verwenden (diese Option ist eine Obermenge der Option /m)

/m: Unbeaufsichtigten Modus mit Benutzeroberfläche verwenden

/l: Installierte Hotfixes auflisten

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder welche mit neuerem Datum), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone des Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Hinweis: Die Informationen zu Datum, Uhrzeit, Dateiname oder Größe können sich während der Installation ändern. Einzelheiten zum Überprüfen einer Installation finden Sie im Abschnitt „Überprüfen der Updateinstallation“.

Windows NT Server 4.0:

Windows NT Server 4.0 Terminal Server Edition:

Überprüfen der Updateinstallation