Microsoft Security Bulletin MS05-051

Sicherheitsanfälligkeiten in MSDTC und COM+ können Remotecodeausführung ermöglichen (902400)

Veröffentlicht: 11. Okt 2005 | Aktualisiert: 25. Okt 2005

Version: 1.2

Zusammenfassung

Zielgruppe dieses Dokuments: Benutzer von Microsoft Windows

Auswirkung der Sicherheitsanfälligkeit: Codeausführung von Remotestandorten aus

Bewertung des maximalen Schweregrads: Kritisch

Empfehlung: Wir empfehlen Benutzern die sofortige Installation des Updates.

Ersetzung von Sicherheitsupdates: Dieses Bulletin ersetzt mehrere frühere Sicherheitsupdates. Lesen Sie den Abschnitt „Häufig gestellte Fragen (FAQs)“ in diesem Bulletin, um eine vollständige Liste zu erhalten.

Vorsichtsmaßnahmen: Systeme, bei denen im Verzeichnis %windir%\registration die Standardeinstellungen für Access Control Lists (ACLs) geändert wurden, zeigen nach der Installation des Updates unter Umständen ein nicht erwartetes Verhalten. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 909444.

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

•	Microsoft Windows 2000 Service Pack 4 – Update herunterladen
•	Microsoft Windows XP Service Pack 1 und Microsoft Windows XP Service Pack 2 – Update herunterladen.
•	Microsoft Windows XP Professional x64 Edition – Update herunterladen
•	Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1 – Update herunterladen
•	Microsoft Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme – Update herunterladen
•	Microsoft Windows Server 2003 x64 Edition – Update herunterladen

Nicht betroffene Software:

•	Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)

Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Top of section

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt mehrere neue, von Privatanwendern entdeckte Sicherheitsanfälligkeiten. Jede Sicherheitsanfälligkeit wird in diesem Bulletin in einem eigenen Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dokumentiert.

Ein Angreifer, dem es gelingt, die schwerste dieser Sicherheitsanfälligkeiten auszunutzen, kann die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen.

Benutzern von Windows 2000 und Windows XP Service Pack 1 wird empfohlen, das Update umgehend zu installieren. Kunden, die andere Betriebssystemversionen verwenden, sollten das Update so schnell wie möglich installieren.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der Sicherheitsanfälligkeit	Auswirkung der Sicherheitsanfälligkeit	Windows 2000	Windows XP Service Pack 1	Windows XP Service Pack 2	Windows Server 2003	Windows Server 2003 Service Pack 1
MSDTC-Sicherheitsanfälligkeit – CAN-2005-2119	Remotecodeausführung und lokale Erhöhung von Berechtigungen	Kritisch	Hoch	Keine	Hoch	Keine
COM+-Sicherheitsanfälligkeit – CAN-2005-1978	Remotecodeausführung und lokale Erhöhung von Berechtigungen	Kritisch	Kritisch	Hoch	Hoch	Hoch
TIP-Sicherheitsanfälligkeit – CAN-2005-1979	DoS (Denial-of-Service)	Mittel	Gering	Gering	Gering	Gering
Verteilte TIP-Sicherheitsanfälligkeit – CAN-2005-1980	DoS (Denial-of-Service)	Mittel	Gering	Gering	Gering	Gering
Gemeinsamer Schweregrad aller Sicherheitsanfälligkeiten		Kritisch	Kritisch	Hoch	Hoch	Hoch

Die Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Hinweis: Die Schweregrade für die nicht auf x86 basierenden Betriebssysteme werden den auf x86 basierenden Betriebssystemen wie folgt zugeordnet:

•	Der Schweregrad für Microsoft XP Professional x64 Edition ist der gleiche wie der für Windows Server 2003 Service Pack 1.
•	Der Schweregrad für Microsoft Windows Server 2003 für Itanium-basierte Systeme ist der gleiche wie der für Windows Server 2003.
•	Der Schweregrad für Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme ist der gleiche wie der für Windows Server 2003 Service Pack 1.
•	Der Schweregrad für Microsoft Windows Server 2003 x64 Edition ist der gleiche wie der für Windows Server 2003 Service Pack 1.

Top of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Warum behandelt dieses Update mehrere gemeldete Sicherheitsanfälligkeiten?
Dieses Update bietet Unterstützung für mehrere Sicherheitsanfälligkeiten, da die Änderungen, die zum Beheben dieser Probleme erforderlich sind, in zueinander in Beziehung stehenden Dateien enthalten sind. Auf diese Weise müssen Benutzer nicht mehrere Updates installieren, die beinahe identisch sind, sondern nur dieses eine Update.

Welche Updates ersetzt diese Version?
Dieses Sicherheitsupdate ersetzt mehrere frühere Sicherheitsupdates. Die Kennungen der Security Bulletins sowie die betroffenen Betriebssysteme werden in der folgenden Tabelle aufgelistet.

Kennung des Bulletins	Windows 2000	Windows XP Service Pack 1	Windows XP Service Pack 2	Windows Server 2003	Windows Server 2003 Service Pack 1
MS03-010	Nicht anwendbar	Ersetzt	Nicht anwendbar	Nicht anwendbar	Nicht anwendbar
MS03-026	Ersetzt	Ersetzt	Nicht anwendbar	Ersetzt	Nicht anwendbar
MS03-039	Ersetzt	Ersetzt	Nicht anwendbar	Ersetzt	Nicht anwendbar
MS04-012	Nicht ersetzt	Ersetzt	Nicht anwendbar	Ersetzt	Nicht anwendbar
MS05-012	Ersetzt	Ersetzt	Ersetzt	Ersetzt	Nicht anwendbar

Sind Probleme bekannt, die auftreten können, nachdem das Update installiert wurde?
Systeme, bei denen im Verzeichnis %windir%\registration die Standardeinstellungen für Access Control Lists (ACLs) geändert wurden, zeigen nach der Installation des Updates unter Umständen ein nicht erwartetes Verhalten. Weitere Informationen sowie Anleitungen für die Problemumgehung finden Sie im Microsoft Knowledge Base-Artikel 909444.

Enthält dieses Update sicherheitsbezogene Funktionsänderungen?
Ja. Neben den Änderungen, die im Abschnitt „Einzelheiten zu dieser Sicherheitsanfälligkeit“ in diesem Bulletin aufgeführt werden, umfasst dieses Update die folgenden Änderungen in der Sicherheitsfunktionalität. Diese Registrierungsschlüssel werden im Microsoft Knowledge Base-Artikel 908620 beschrieben.

•

Das TIP-Protokoll wurde unter Windows 2000 deaktiviert. Um das Protokoll zu aktivieren, setzen Sie den folgenden Registrierungseintrag auf 1. Wenn dieser Registrierungseintrag nicht vorhanden oder der Wert auf 0 gesetzt ist, ist TIP deaktiviert. Dies ist ein neuer Registrierungsschlüssel unter Windows 2000. Sie können TIP erst direkt deaktivieren, wenn Sie dieses Sicherheitsupdate installiert haben.

HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccessTip

•

Um die Auswirkungen künftiger Sicherheitsanfälligkeiten im Zusammenhang mit TIP zu reduzieren, wurden vier zusätzliche Registrierungswerte erstellt.

•	DisableTipTmIdVerfication. Wenn dieser Registrierungseintrag nicht vorhanden oder sein Wert auf 0 gesetzt ist, werden Pakete blockiert, falls die TM-ID mit der IP-Adresse des Quellcomputers nicht übereinstimmt. Wenn der Wert dieses Registrierungseintrags auf 1 gesetzt ist, werden Pakete akzeptiert, die von einer beliebigen IP-Adresse stammen. HKLM\Software\Microsoft\MSDTC\DisableTipTmIdVerification
•	DisableTipTmIdPortVerification. Wenn dieser Registrierungseintrag nicht vorhanden oder sein Wert auf 0 gesetzt ist, werden Pakete blockiert, falls sie nicht 3372 als Port angeben. Wenn der Wert dieses Registrierungseintrags auf 1 gesetzt ist, werden Pakete von einem beliebigen Port akzeptiert. HKLM\Software\Microsoft\MSDTC\DisableTipTmIdPortVerification
•	DisableTipBeginCheck. Wenn dieser Registrierungseintrag nicht vorhanden oder sein Wert auf 0 gesetzt ist, werden „BEGIN“-TIP-Befehle immer blockiert. Wenn der Wert dieses Registrierungseintrags auf 1 gesetzt ist, werden „BEGIN“-TIP-Befehle immer akzeptiert. HKLM\Software\Microsoft\MSDTC\DisableTipBeginCheck
•	DisableTipPassThruCheck. Wenn dieser Registrierungseintrag nicht vorhanden oder sein Wert auf 0 gesetzt ist, werden „PULL“-TIP-Befehle für Transaktionen zurückgewiesen, die an den Computer weitergegeben wurden und keine lokale Arbeit für die Transaktion durchgeführt haben. Wenn dieser Registrierungseintrag auf 1 gesetzt ist, werden „PULL“-TIP-Befehle für Transaktionen akzeptiert, die an den Computer weitergegeben wurden und keine lokale Arbeit für die Transaktion durchgeführt haben. HKLM\Software\Microsoft\MSDTC\DisableTipPassThruCheck

Hinweis: Nach dem Ändern dieser Registrierungsschlüssel ist kein Neustart des Systems erforderlich. Sie müssen jedoch den MSDTC-Dienst (Microsoft Distributed Transaction Coordinator) neu starten.

Die Extended Support-Phase für Sicherheitsupdates für Microsoft Windows NT Workstation 4.0 Service Pack 6a und Windows 2000 Service Pack 2 ist am 30. Juni 2004 abgelaufen. Die Extended Support-Phase für Sicherheitsupdates für Microsoft Windows NT Server 4.0 Service Pack 6a ist am 31. Dezember 2004 abgelaufen. Die Extended Support-Phase für Sicherheitsupdates für Microsoft Windows 2000 Service Pack 3 ist am 30. Juni 2005 abgelaufen. Ich verwende noch eines dieser Betriebssysteme, was soll ich tun?

Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a, Windows 2000 Service Pack 2 und Windows 2000 Service Pack 3 haben das Ende ihres Lebenszyklus erreicht. Benutzer dieser Betriebssystemversionen sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Weitere Informationen zu den Windows-Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle. Weitere Informationen zur Extended Support-Phase und der Bereitstellung von Sicherheitsupdates für diese Betriebssystemversionen finden Sie auf der Website Microsoft Support Services.

Benutzer, die zusätzlichen Support für Windows NT 4.0 Service Pack 6a benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support.

Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Supportlebenszyklus für Windows.

Der Support für Sicherheitsupdates für Windows XP 64-Bit Edition Service Pack 1 (Itanium) und Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) ist am 30. Juni 2005 abgelaufen. Ich verwende noch eines dieser Betriebssysteme, was soll ich tun?

Mit Veröffentlichung von Windows XP Professional x64 Edition wird für Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) und Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) in Zukunft kein Support für Sicherheitsupdate mehr angeboten. Benutzer dieser Betriebssystemversionen sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Microsoft bietet weiterhin vollen Support für Windows Server 2003 für Itanium-basierte Systeme, Windows XP Professional x64 Edition und Windows Server 2003 x64 Edition für 64-Bit-Rechneranforderungen. Microsoft bietet weiterhin Lizenzen und Support für Windows Server 2003 Enterprise und Datacenter für Itanium-basierte Systeme sowie die 64-Bit-Version von SQL Server 2000 Enterprise Edition. In Zukunft wird Microsoft den Itanium-Support auf Visual Studio 2005, .NET Framework 2005 und SQL Server 2005 erweitern.

Benutzer, die zusätzliche Unterstützung in dieser Sache benötigen, werden gebeten, ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner nach Informationen zu den verfügbaren Migrationsoptionen zu fragen. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 1.2.1 überprüfen, ob dieses Update erforderlich ist?

Ja. MBSA 1.2.1 kann feststellen, ob dieses Update erforderlich ist. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) 2.0 überprüfen, ob dieses Update erforderlich ist?

Ja. MBS 2.0 kann feststellen, ob dieses Update erforderlich ist. MBSA 2.0 erkennt erforderliche Sicherheitsupdates für von Microsoft Update unterstützte Produkte. Weitere Informationen zu MBSA finden Sie auf der MBSA-Website.

Kann ich mit Systems Management Server (SMS) überprüfen, ob dieses Update erforderlich ist?

Ja. SMS kann Sie bei der Erkennung und Bereitstellung dieses Sicherheitsupdates unterstützen. Weitere Informationen zu SMS finden Sie auf der SMS-Website. Das Sicherheitsupdate-Inventurprogramm kann von SMS zum Auffinden von unter Windows Update angebotenen Sicherheitsupdates, die von den Software Update Services unterstützt werden, und anderen von MBSA 1.2.1 unterstützten Sicherheitsupdates verwendet werden. Weitere Informationen über das Sicherheitsupdate-Inventurprogramm finden Sie auf der folgenden Microsoft-Website. Weitere Informationen zu den Einschränkungen des Sicherheitsupdate-Inventurprogramms finden Sie im Microsoft Knowledge Base-Artikel 306460. Das SMS 2003-Inventurprogramm für Microsoft-Updates kann von SMS zum Auffinden von unter Microsoft Update erhältlichen Sicherheitsupdates und Updates, die von den Windows Server Update Services unterstützt werden, verwendet werden. Weitere Informationen über das SMS 2003-Inventurprogramm für Microsoft Updates finden Sie auf der folgenden Microsoft-Website.

Top of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

MSDTC-Sicherheitsanfälligkeit – CAN-2005-2119:

Microsoft Distributed Transaction Coordinator weist eine Sicherheitsanfälligkeit auf, die das Ausführen von Code von Remotestandorten aus sowie eine lokale Erhöhung von Berechtigungen (Privilege Elevation) ermöglichen kann. Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die MSDTC-Sicherheitsanfälligkeit – CAN-2005-2119:

•	Unter Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 ausgeführte Systeme sind für dieses Problem nicht anfällig.
•	Standardmäßig wird Microsoft Distributed Transaction Coordinator unter Windows Server 2003 gestartet, ist jedoch nicht für DTC-Netzwerkzugriff konfiguriert. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Wenn ein Administrator jedoch die Unterstützung von DTC-Netzwerkzugriff aktiviert hat, könnte ein unter Windows Server 2003 ausgeführtes System für Remotecodeausführungs-Angriffe durch anonyme Benutzer anfällig sein. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website.
•	Microsoft Distributed Transaction Coordinator wird unter Windows XP Service Pack 1 und Windows 2000 Professional standardmäßig nicht gestartet. Die Möglichkeit eines Remoteangriffs besteht nur, wenn dieser Dienst ausgeführt wird. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Jedoch kann dieser Dienst von einem beliebigen lokalen Benutzer gestartet werden, sofern er nicht von einem Administrator deaktiviert wurde. Sobald dieser Dienst gestartet wird, könnten Systeme unter Windows XP Service Pack 1 für Remotecodeausführungs-Angriffe durch anonyme Benutzer anfällig werden. Dies liegt daran, dass Microsoft Distributed Transaction Coordinator unter Windows XP Service Pack 1 so konfiguriert ist, dass DTC-Netzwerkzugriff zugelassen wird. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website.
•	Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mit Hilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Top of section

Problemumgehungen für die MSDTC-Sicherheitsanfälligkeit – CAN-2005-2119:

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

•

Deaktivieren von DTC (Distributed Transaction Coordinator)

Das Deaktivieren von Distributed Transaction Coordinator trägt zum Schutz vor Angriffen bei, mit denen diese Sicherheitsanfälligkeit ausgenutzt wird. Gehen Sie wie folgt vor, um DTC zu deaktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung.
3.	Doppelklicken Sie auf Komponentendienste.
4.	Klicken Sie auf Dienste.
5.	Doppelklicken Sie auf Distributed Transaction Coordinator.
6.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
7.	Klicken Sie auf Beenden, und klicken Sie dann auf OK.

Sie können Distributed Transaction Coordinator auch deaktivieren, indem Sie den folgenden Befehl in die Befehlszeile eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

Auswirkung der Problemumgehung: Wenn Sie Distributed Transaction Coordinator deaktivieren, können Sie keine Dienste oder Anwendungen verwenden, die von DTC abhängig sind. Dies könnte andere Anwendungen wie SQL Server, BizTalk Server, Exchange Server oder Message Queuing umfassen. Außerdem ist dieser Dienst in den meisten Clusterkonfigurationen erforderlich. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

•

Verwenden von Gruppenrichtlinien-Einstellungen zum Deaktivieren von Distributed Transaction Coordinator auf allen betroffenen Systemen, die diese Komponente nicht benötigen
Da Distributed Transaction Coordinator einen möglichen Angriffspunkt darstellt, sollten Sie es über die Einstellungen für Gruppenrichtlinien deaktivieren. Sie können den Start dieses Dienstes mit der Gruppenrichtlinienobjekt-Funktion in Windows 2000- oder Server 2003-Domänenumgebungen wahlweise auf lokaler, Site-, Domänen- oder Organisationseinheitsebene deaktivieren. Weitere Informationen zum Deaktivieren dieses Dienstes durch Anmeldeskripts finden Sie im Microsoft Knowledge Base-Artikel 297789

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren von Diensten.

Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

•	Schrittweise Anleitung zu den Grundlagen der Gruppenrichtlinienfunktionen
•	Windows 2000-Gruppenrichtlinie
•	Gruppenrichtlinien in Windows Server 2003

•

Deaktivieren von DTC-Netzwerkzugriff

Wenn Sie das Sicherheitsupdate nicht installieren und Distributed Transaction Coordinator nicht deaktivieren können, sollten Sie eventuell DTC-Netzwerkzugriff deaktivieren. Diese Option ist nur unter Windows XP und späteren Betriebssystemversionen verfügbar. Diese Methode ermöglicht, dass lokale Transaktionen weiterhin durchgeführt werden können, trägt jedoch zum Schutz vor netzwerkbasierten Angriffen bei, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website. Gehen Sie wie folgt vor, um DTC-Netzwerkzugriff zu deaktivieren:

Warnung: Bei Durchführung dieses Verfahrens wird der betroffene Dienst gestartet, falls er zuvor noch nicht ausgeführt wurde. Stoppen Sie den MSDTC-Dienst auf der Registerkarte „MSDTC“, bevor Sie die Konfigurationsdialogfelder schließen.

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung .Oder klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung.
3.	Doppelklicken Sie auf Komponentendienste, erweitern Sie Komponentendienste, erweitern Sie Computer, klicken Sie mit der rechten Maustaste auf Arbeitsplatz , und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf die Registerkarte MSDTC und dann auf Sicherheitskonfiguration.
5.	Deaktivieren Sie im Dialogfeld Sicherheitskonfiguration das Kontrollkästchen DTC-Netzwerkzugriff. Hinweis: Dadurch wird der folgende DWORD-Registrierungseintrag für Nicht-Clusterumgebungen auf 0 gesetzt. In Clusterumgebungen wird dieser Registrierungsschlüssel nicht gelesen. Führen Sie für Clusterumgebungen die unter dem Aufzählungspunkt „Deaktivieren von Distributed Transaction Coordinator“ aufgeführten Schritte durch. HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccess Hinweis: Sie können diese Einstellungen auch mithilfe von Gruppenrichtlinien mehreren Systemen zuweisen. Weitere Informationen zu Gruppenrichtlinien finden Sie auf dieser Microsoft-Website.
6.	Klicken Sie auf OK, schließen Sie das Dialogfeld Komponentendienste und dann das Dialogfeld Verwaltung.

Auswirkung der Problemumgehung: Wenn Sie DTC-Netzwerkzugriff deaktivieren, kann es sein, dass verteilte Transaktionen fehlschlagen. Dies könnte sich auf andere Anwendungen wie SQL Server, BizTalk Server oder Message Queuing auswirken. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann.

•

Blockieren Sie Folgendes an der Firewall:

•	Den unerwünschten eingehenden Datenverkehr mit Ports > 1024.
•	Alle weiteren speziell konfigurierten RPC-Ports.

Diese Ports können zum Initiieren einer Verbindung mit MSDTC verwendet werden. Das Blockieren dieser Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Während RPC die UDP-Ports 135, 137, 138, 445 und die TCP-Ports 135, 139, 445 und 593 verwenden kann, ist der MSDTC-Dienst über diese Ports nicht anfällig.

Hinweis: Andere Protokolle wie Sequenced Packet Exchange (SPX) oder NetBEUI könnten zur Kommunikation mit dem MSDTC-Dienst verwendet werden. Falls Sie diese Protokolle verwenden, sollten Sie die entsprechenden Ports für diese Protokolle blockieren. Weitere Informationen über IPX und SPX finden Sie auf der Microsoft-Website.

•

Verwenden Sie zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, eine persönliche Firewall, beispielsweise die Internetverbindungsfirewall, die im Lieferumfang von Windows XP und Windows Server 2003 enthalten ist.

Die Internetverbindungsfirewall unter Windows XP und Windows Server 2003 schützt standardmäßig Ihre Internetverbindung, indem sie unerwünscht eingehenden Datenverkehr blockiert. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern. Die Komponente Internetverbindungsfirewall wird aktiviert, wenn Sie im Netzwerkinstallations-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen. (Windows Server 2003 zeigt dies als Netzwerkverbindungen an.)
3.	Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf die Registerkarte Erweitert.
5.	Klicken Sie unter Windows-Firewall auf Einstellungen.
6.	Klicken Sie auf Ein und dann auf OK.
7.	Klicken Sie auf die Registerkarte Ausnahmen. Eventuell müssen Sie auf Einstellungen klicken, um die Ausnahmen-Registerkarte anzuzeigen.
8.	Überprüfen Sie, dass MSDTC.exe in der Liste der Firewallausnahmen nicht aufgeführt wird, und klicken Sie auf OK.

Hinweis: Wenn Sie die Kommunikation einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen, und wählen Sie dann die notwendigen Programme, Protokolle und Dienste aus.

•

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

•

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen blockieren.

Mit Hilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878. RPC verwendet ein breites Spektrum von Ports. Deshalb ist es schwierig, diese alle durch IPSec abzusichern. Im Microsoft Knowledge Base-Artikel 908472 wird beschrieben, wie Sie RPC-Kommunikation auf bestimmte fixe Ports beschränken können und wie diese Ports durch IPSec gesichert werden.

Top of section

Häufig gestellte Fragen (FAQs) zur MSDTC-Sicherheitsanfälligkeit – CAN-2005-2119:

Worin genau besteht diese Sicherheitsanfälligkeit?
Unter Windows 2000 kann diese Sicherheitsanfälligkeit die Codeausführung von Remotestandorten aus ermöglichen. Unter Windows XP Service Pack 2 und Windows Server 2003 handelt es bei dieser Sicherheitsanfälligkeit um eine lokale Erhöhung von Berechtigungen (Privilege Elevation). Unter Windows XP Service Pack 1 kann diese Sicherheitsanfälligkeit außerdem zur Codeausführung von Remotestandorten aus führen, wenn Microsoft Distributed Transaction Coordinator gestartet wird. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Ein ungeprüfter Puffer in Microsoft Distributed Transaction Coordinator.

Was ist Microsoft Distributed Transaction Coordinator?
Microsoft Distributed Transaction Coordinator (MSDTC) ist eine Einrichtung für verteilte Transaktionen für Microsoft Windows-Plattformen. MSDTC nutzt bewährte Transaktionstechnologie. Es ist trotz System-, Verfahrens- und Kommunikationsfehler robust und nutzt locker gekoppelte Systeme, um skalierbare Leistung bereitzustellen. Es lässt sich einfach installieren, konfigurieren und verwalten. Der DTC-Dienst bietet die folgenden Vorteile:

•	Reduziert die Kosten des Computereinsatzes in Unternehmen. DTC bietet eine hochentwickelte, kostengünstige Einrichtung für verteilte Transaktionen für Benutzer in vernetzten PC- und Serverumgebungen.
•	Vereinfacht die Anwendungsentwicklung. DTC-Transaktionen erleichtern in hohem Maße die Aufgabe von Anwendungen, trotz der Fehler, die bei der Aktualisierung von Anwendungsdaten entstehen können, die Konsistenz zu erhalten.
•	Stellt ein einheitliches Transaktionsmodell bereit. DTC unterstützt eine Reihe von Ressourcenmanagern, einschließlich relationale Datenbanken, objektorientierte Datenbanken, Dateisysteme, Dokumentspeichersysteme und Nachrichtenwarteschlangen.
•	Ermöglicht die Softwareentwicklung mithilfe verteilter Softwarekomponenten. DTC bietet eine einfache, objektorientierte Anwendungsprogrammierschnittstelle zum Initiieren und Steuern von Transaktionen.

Weitere Informationen zu MSDTC finden Sie auf dieser Microsoft-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Unter Windows 2000 könnte jeder anonyme Benutzer, der eine speziell gestaltete Netzwerknachricht an das betroffene System übermitteln kann, diese Sicherheitsanfälligkeit ausnutzen. Unter Windows XP Service Pack 1 und Windows Server 2003 muss sich ein Angreifer lokal bei einem System anmelden und ein Programm ausführen können, um diese Sicherheitsanfälligkeit auszunutzen. Windows XP Service Pack 1 und Windows Server 2003 sind in den Standardszenarien nicht für anonyme Remoteangriffe anfällig. Auf diesen Betriebssystemen muss eine Konfiguration durch den Benutzer erfolgen, um die Möglichkeit für einen Remoteangriff zu schaffen. Bei einem lokalen Angriff könnte ein Angreifer dann eine speziell gestaltete Anwendung ausführen, die die Sicherheitsanfälligkeit ausnutzt, und auf diese Weise die vollständige Kontrolle über ein betroffenes System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
In erster Linie sind Windows 2000-Systeme von dieser Sicherheitsanfälligkeit betroffen. Unter Windows XP Service Pack 1 und Windows Server 2003 benötigt ein Angreifer gültige Anmeldeinformationen, um diese Sicherheitsanfälligkeit ausnutzen zu können, sofern nicht eine bestimmte Konfiguration durch den Benutzer vorgenommen wurde, durch die anonyme Remoteangriffe zugelassen werden. Wenn ein Administrator unter Windows Server 2003 die Unterstützung von DTC-Netzwerkzugriff aktiviert hat, könnte ein unter Windows Server 2003 ausgeführtes System für die Codeausführung durch anonyme Benutzer von Remotestandorten aus anfällig sein. Informationen zur Konfiguration von DTC-Netzwerkzugriff finden Sie auf der folgenden Microsoft-Website. Administratoren können mithilfe des auf dieser Microsoft-Website beschriebenen Registrierungsschlüssels überprüfen, dass der DTC-Netzwerkzugriff nicht aktiviert wurde.

Könnte diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Unter Windows 2000 könnte ein Angreifer versuchen, diese Sicherheitsanfälligkeit über das Internet auszunutzen. Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Sie sich vor Remoteangriffen aus dem Internet schützen. Microsoft stellt Informationen darüber zur Verfügung, wie Sie Ihren PC schützen können:

•	Für Heimanwender
•	Für IT-Profis und Entwickler

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Längenüberprüfung einer Nachricht durch MSDTC vor der Übergabe an den zugewiesenen Puffer geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen über diese Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich bekannt war.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit für Angriffe auf Benutzer ausgenutzt wurde. Auch gab es keine Codebeispiele für ein Angriffskonzept.

Top of section

COM+-Sicherheitsanfälligkeit – CAN-2005-1978:

COM+ weist eine Sicherheitsanfälligkeit auf, die das Ausführen von Code von Remotestandorten aus sowie eine lokale Erhöhung von Berechtigungen (Privilege Elevation) ermöglichen kann. Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die COM+-Sicherheitsanfälligkeit – CAN-2005-1978:

•	Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 benötigt ein Angreifer gültige Anmeldeinformationen, um sich lokal anmelden und diese Sicherheitsanfälligkeit ausnutzen zu können. Diese Sicherheitsanfälligkeit kann nur dann von einem Remotestandort aus ausgenutzt werden, wenn der Angreifer bereits über administrative Berechtigungen verfügt.
•	Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Top of section

Problemumgehungen für die COM+-Sicherheitsanfälligkeit – CAN-2005-1978:

•

Deaktivieren von COM+
Das Deaktivieren von COM+ trägt zum Schutz vor Angriffen bei, bei denen diese Sicherheitsanfälligkeit ausgenutzt wird. Abhängig von der von Ihnen verwendeten Plattform gibt es verschiedene Methoden, um COM+ zu deaktivieren.

Wichtig: In diesem Bulletin sind Informationen zum Ändern der Registrierung enthalten. Vor dem Ändern müssen Sie jedoch eine Sicherung der Registrierung erstellen. Vergewissern Sie sich, dass Sie die Registrierung im Falle eines Problems wiederherstellen können. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie im Microsoft Knowledge Base-Artikel 256986.

Warnung: Eine inkorrekte Änderung der Registrierung mithilfe des Registrierungs-Editors oder einer anderen Methode kann zu ernsthaften Problemen führen. Diese Probleme können u. U. eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft übernimmt keine Garantie dafür, dass diese Probleme gelöst werden können. Sie ändern die Registrierung auf eigene Gefahr.

•

Erstellen Sie unter Windows 2000 eine Datei namens ~clbcatq.dll im Ordner %windir%\system32. Mithilfe der folgenden Schritte wird eine ähnliche Umgebung geschaffen wie für das im Microsoft Knowledge Base-Artikel 246499 diskutierte Problem. Gehen Sie wie folgt vor, um COM+ unter Windows 2000 zu deaktivieren:

Melden Sie sich als Administrator an.

Klicken Sie auf Start und dann auf Ausführen, und geben Sie Folgendes ein:

echo “Workaround for KB902400” >%windir%\system32\~clbcatq.dll

Starten Sie das System neu.
Hinweis: Um COM+ erneut zu aktivieren, löschen Sie die Datei ~clbcatq.dll, und starten Sie das System neu.

•

Zur Deaktivierung von COM+ unter Windows XP und Windows Server 2003 erstellen Sie einen Registrierungsschlüssel, und starten Sie das System neu, um COM+ zu deaktivieren:

Bei diesen Betriebssystemversionen können Sie zur Deaktivierung von COM+ einen Registrierungsschlüssel erstellen und einen Neustart des Computers durchführen.

1.	Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie „regedt32“ ein (ohne die Anführungszeichen), und klicken Sie dann auf OK.
2.	Suchen Sie im Registrierungs-Editor folgenden Registrierungsschlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\COM3
3.	Doppelklicken Sie auf den Registrierungseintrag „COM+Enabled“, und ändern Sie den Wert in 0. Hinweis: Notieren Sie sich den aktuellen Wert, so dass Sie dieses Verfahren ggf. rückgängig machen können.
4.	Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.

•

Alternativ können Sie auch den folgenden Text in eine .reg-Datei einfügen. Doppelklicken Sie anschließend auf die .reg-Datei, während Sie lokal als Administrator angemeldet sind:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3]
"Com+Enabled"=dword:00000000

Hinweis: Sie können diese Einstellungen auch mithilfe von Gruppenrichtlinien mehreren Systemen zuweisen. Weitere Informationen zu Gruppenrichtlinien finden Sie auf der folgenden Microsoft-Website.

Auswirkung der Problemumgehung: Wenn Sie COM+ deaktivieren, können Sie keine Anwendungen verwenden, die von COM+ abhängig sind. Vor Anwenden dieser Problemumgehungen sollte beurteilt werden, ob geschäftskritische Anwendungen von COM+ abhängen. Diese Problemumgehung wird nur für Systeme empfohlen, auf denen das Sicherheitsupdate nicht installiert werden kann. Weitere Informationen zu COM+ finden Sie auf dieser Microsoft-Website.

•

Blockieren Sie Folgendes an der Firewall:

•	Die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593.
•	Ggf. CIS (COM Internet Services) oder RPC über HTTP – diese Protokolle überwachen die Ports 80 und 443.

Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu von RPC verwendeten Ports finden Sie auf dieser Website. Weitere Informationen zum Deaktivieren von CIS finden Sie im Microsoft Knowledge Base-Artikel 825819.

•

Deaktivieren von DCOM
Das Deaktivieren von DCOM trägt zum Schutz vor Angriffen bei, bei denen diese Sicherheitsanfälligkeit ausgenutzt wird. Das betroffene System könnte jedoch dennoch für Angriffe anfällig sein, die versuchen , diese Sicherheitsanfälligkeit auszunutzen, um eine lokale Erhöhung von Berechtigungen zu bewirken. Anweisungen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.

Als Alternative zu den im Microsoft Knowledge Base-Artikel 825750 beschriebenen Schritten können Sie auch den folgenden Text in eine .reg-Datei einfügen. Doppelklicken Sie anschließend auf die .reg-Datei, während Sie lokal als Administrator angemeldet sind:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"

Auswirkung der Problemumgehung: Wenn Sie DCOM deaktivieren, können Sie keine von DCOM abhängigen Anwendungen verwenden. Vor Anwenden dieser Problemumgehungen sollte beurteilt werden, ob geschäftskritische Anwendungen von DCOM abhängen. Bei Deaktivieren von DCOM sind potenziell zahlreiche integrierte Komponenten und Anwendungen von Drittherstellern betroffen. Bevor Sie DCOM in Ihrer Umgebung deaktivieren, empfehlen wir dringend, dass Sie testen, welche Anwendungen davon betroffen sein werden. DCOM kann möglicherweise nicht in allen Umgebungen deaktiviert werden. Daher wird diese Problemumgehung nur für Systeme empfohlen, auf denen dieses Sicherheitsupdate nicht installiert werden kann. Informationen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.

Top of section

Häufig gestellte Fragen (FAQs) zur COM+-Sicherheitsanfälligkeit – CAN-2005-1978:

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann die Codeausführung von Remotestandorten aus sowie die lokale Erhöhung von Berechtigungen (Privilege Elevation) ermöglichen. Unter Windows 2000 und Windows XP Service Pack 1 könnte ein anonymer Angreifer versuchen, diese Sicherheitsanfälligkeit von einem Remotestandort aus auszunutzen. Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 handelt es sich bei dieser Sicherheitsanfälligkeit ausschließlich um eine lokale Erhöhung von Berechtigungen, da nur ein Administrator von einem Remotestandort auf die betroffene Komponente zugreifen kann. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerberechtigungen erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den Prozess, mit dem COM+ Speicherstrukturen erstellt und verwendet.

Was ist COM+?
COM+ ist der nächste Schritt in der Entwicklung von Microsoft Component Object Model und Microsoft Transaction Server (MTS). COM+ handhabt Aufgaben der Ressourcenverwaltung, wie etwa Thread-Zuweisung und -Sicherheit. Durch die Bereitstellung von Thread-Pooling, Objekt-Pooling und die Aktivierung von Objekten genau zum richtigen Zeitpunkt sorgt es automatisch für eine höhere Skalierbarkeit von Anwendungen. COM+ trägt darüber hinaus zum Schutz der Datenintegrität bei, indem es Transaktionsunterstützung bereitstellt, selbst wenn eine Transaktion sich über mehrere Datenbanken in einem Netzwerk erstreckt. Weitere Informationen zu COM+ finden Sie auf dieser Microsoft-Website.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Unter Windows 2000 und Windows XP Service Pack 1 könnte ein Angreifer versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete Netzwerknachricht erstellt und diese dann an ein betroffenes System sendet. Diese Nachricht könnte daraufhin bewirken, dass das betroffene System Code ausführt. Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 muss sich ein Angreifer lokal bei einem System anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Ist ein Angreifer lokal bei einem System angemeldet, könnte er eine speziell gestaltete Anwendung ausführen, um administrative Berechtigungen für dieses System erlangen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Systeme unter Windows 2000 und Windows XP Service Pack 1 sind durch diese Sicherheitsanfälligkeit hauptsächlich betroffen. Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 kann die Sicherheitsanfälligkeit nicht von einem Remotestandort aus ausgenutzt werden.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja, von anonymen Benutzern unter Windows 2000 und Windows XP Service Pack 1. Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Sie sich vor Remoteangriffen aus dem Internet schützen. Microsoft stellt Informationen darüber zur Verfügung, wie Sie Ihren PC schützen können:

•	Für Heimanwender
•	Für IT-Profis und Entwickler

Unter Windows XP Service Pack 2 , Windows Server 2003 und Windows Server 2003 Service Pack 1 muss ein Angreifer in der Lage sein, sich am jeweiligen System anzumelden, das angegriffen werden soll. Bei diesen Betriebssystemversionen kann ein anonymer Angreifer die Sicherheitsanfälligkeit nicht ausnutzen, um von einem Remotestandort aus ein Programm zu laden und auszuführen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Methode geändert wird, mit der COM+ interne Speicherstrukturen erstellt und verwendet.

Top of section

TIP-Sicherheitsanfälligkeit – CAN-2005-1979:

Schadensbegrenzende Faktoren für die TIP-Sicherheitsanfälligkeit – CAN-2005-1979:

•	Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Dieses Problem ermöglicht einem Angreifer zwar keine Codeausführung oder Erhöhung von Berechtigungen, könnte aber bewirken, dass der betroffene Dienst keine Anforderungen mehr annimmt.
•	Unter Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 ist das TIP-Protokoll nicht aktiviert, selbst wenn Microsoft Distributed Transaction Coordinator gestartet wird. Ein Administrator muss das TIP-Protokoll manuell für Distributed Transaction Coordinator aktivieren, um für dieses Problem anfällig zu werden.
•	Wenn Microsoft Distributed Transaction Coordinator aufgrund eines Angriffs nicht mehr reagiert, funktionieren Dienste, die nicht von MSDTC abhängen, auch weiterhin normal.
•	Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mit Hilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Top of section

Problemumgehungen für die TIP-Sicherheitsanfälligkeit – CAN-2005-1979:

•

Deaktivieren von DTC (Distributed Transaction Coordinator)

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung.
3.	Doppelklicken Sie auf Komponentendienste.
4.	Klicken Sie auf Dienste.
5.	Doppelklicken Sie auf Distributed Transaction Coordinator.
6.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
7.	Klicken Sie auf Beenden, und klicken Sie dann auf OK.

Sie können Distributed Transaction Coordinator auch deaktivieren, indem Sie den folgenden Befehl in die Befehlszeile eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

•

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren von Diensten.

Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

•	Schrittweise Anleitung zu den Grundlagen der Gruppenrichtlinienfunktionen
•	Windows 2000-Gruppenrichtlinie
•	Gruppenrichtlinien in Windows Server 2003

•

Blockieren von TCP-Port 3372 an der Firewall:

Dieser Port wird zur Initiierung einer Verbindung mit TIP verwendet. Das Blockieren dieses Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass alle weiteren speziell konfigurierten TIP-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden.

•

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

•

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen blockieren.

Top of section

Häufig gestellte Fragen (FAQs) zur TIP-Sicherheitsanfälligkeit – CAN-2005-1979:

Worin genau besteht diese Sicherheitsanfälligkeit?
Bei der Sicherheitsanfälligkeit des Typs Denial-of-Service kann ein Angreifer eine speziell gestaltete Netzwerknachricht an ein betroffenes System senden. Ein Angreifer könnte bewirken, dass Distributed Transaction Coordinator nicht mehr reagiert. Beachten Sie, dass eine Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Benutzerberechtigungen ermöglicht, sondern dazu führt, dass das betroffene System keine Anforderungen mehr annimmt.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich durch den von Distributed Transaction Coordinator verwendeten Prozess zum Überprüfen von TIP-Anforderungen.

•	Reduziert die Kosten des Computereinsatzes in Unternehmen. DTC bietet eine hochentwickelte, kostengünstige Einrichtung für verteilte Transaktionen für Benutzer in vernetzten PC- und Serverumgebungen.
•	Vereinfacht die Anwendungsentwicklung. DTC-Transaktionen erleichtern in hohem Maße die Aufgabe von Anwendungen, trotz der Fehler, die bei der Aktualisierung von Anwendungsdaten entstehen können, die Konsistenz zu erhalten.
•	Stellt ein einheitliches Transaktionsmodell bereit. DTC unterstützt eine Reihe von Ressourcenmanagern, einschließlich relationale Datenbanken, objektorientierte Datenbanken, Dateisysteme, Dokumentspeichersysteme und Nachrichtenwarteschlangen.
•	Ermöglicht die Softwareentwicklung mithilfe verteilter Softwarekomponenten. DTC bietet eine einfache, objektorientierte Anwendungsprogrammierschnittstelle zum Initiieren und Steuern von Transaktionen.

Weitere Informationen zu MSDTC finden Sie auf dieser Microsoft-Website.

Was ist TIP?
MSDTC unterstützt Transaction Internet Protocol (TIP). TIP-Transaktionen setzen implizit eine Architektur mit zwei Pipes voraus. In dieser Architektur gibt es Nachrichten, die den Workflow auf einer Pipe beschreiben, der Anwendung-zu-Anwendung-Pipe, und Nachrichten, die den Transaktionsfluss auf einer anderen Pipe steuern, der Transaktions-Manager-zu Transaktions-Manager-Pipe. MSDTC wählt TIP, wenn ein Anwendungsprogramm oder ein Ressourcenmanager ausdrücklich die COM-Schnittstellen von TIP verwendet. MSDTC verwendet TIP außerdem dann, wenn es sich bei TIP um das einzige Kommunikationsprotokoll handelt, dass beide Plattformen gemein haben. TIP wird in der Regel dann eingesetzt, wenn MSDTC zusammen mit Transaktions-Managern anderer Firmen verwendet wird. Weitere Informationen über TIP finden Sie auf dieser Microsoft-Website. TIP ist ein IETF-Standard, der auf dieser IETF-Website dokumentiert ist. Weitere Informationen zu Sicherheitserwägungen im Zusammenhang mit TIP finden Sie auf dieser Microsoft-Website.

Wer könnte diese Sicherheitsanfälligkeit ausnutzen?
Wenn das TIP-Protokoll verfügbar ist, könnte jeder anonyme Benutzer, der eine speziell gestaltete Netzwerknachricht an das betroffene System übermitteln kann, diese Sicherheitsanfälligkeit ausnutzen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete Netzwerknachricht erstellt und diese dann an ein betroffenes System sendet. Die Nachricht könnte bewirken, dass der betroffene Dienst nicht mehr reagiert.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Hauptsächlich sind Windows 2000-basierte Versionen von Microsoft Distributed Transaction Coordinator durch diese Sicherheitsanfälligkeit gefährdet, da TIP standardmäßig aktiviert ist. Wenn TIP auf anderen Betriebssystemversionen manuell aktiviert wird, sind diese gleichermaßen für dieses Problem anfällig.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Sie sich vor Remoteangriffen aus dem Internet schützen. Microsoft stellt Informationen darüber zur Verfügung, wie Sie Ihren PC schützen können:

•	Für Heimanwender
•	Für IT-Profis und Entwickler

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung von TIP-Anforderungen durch MSDTC geändert wird.

Top of section

Verteilte TIP-Sicherheitsanfälligkeit – CAN-2005-1980

Bei der Sicherheitsanfälligkeit des Typs Denial-of-Service kann ein Angreifer eine speziell gestaltete Netzwerknachricht an ein betroffenes System senden. Ein Angreifer könnte so bewirken, dass Microsoft Distributed Transaction Coordinator (MSDTC) nicht mehr reagiert. Die speziell gestaltete Nachricht könnte auch über das betroffene System an einen anderen TIP-Server übertragen werden. Dieser verteilte Angriff könnte bewirken, dass MSDTC auf beiden Systemen nicht mehr reagiert

Schadensbegrenzende Faktoren für die verteilte TIP-Sicherheitsanfälligkeit – CAN-2005-1980:

•	Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff. Dieses Problem ermöglicht einem Angreifer zwar keine Codeausführung oder Erhöhung von Berechtigungen, könnte aber bewirken, dass die betroffenen Dienste keine Anforderungen mehr annehmen.
•	Unter Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 ist das TIP-Protokoll nicht aktiviert, selbst wenn Microsoft Distributed Transaction Coordinator gestartet wird. Ein Administrator muss das TIP-Protokoll manuell für Distributed Transaction Coordinator aktivieren, um für dieses Problem anfällig zu werden.
•	Wenn Microsoft Distributed Transaction Coordinator aufgrund eines Angriffs nicht mehr reagiert, funktionieren Dienste, die nicht von MSDTC abhängen, auch weiterhin normal.
•	Kunden, bei denen der Einsatz der betroffenen Komponente erforderlich ist, können Netzwerke mit Hilfe bewährter Firewallmethoden und standardisierter Firewallkonfigurationen vor Remoteangriffen schützen. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen.

Top of section

Problemumgehungen für die verteilte TIP-Sicherheitsanfälligkeit – CAN-2005-1980:

•

Deaktivieren von DTC (Distributed Transaction Coordinator)

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung. Oder klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung.
3.	Doppelklicken Sie auf Komponentendienste.
4.	Klicken Sie auf Dienste.
5.	Doppelklicken Sie auf Distributed Transaction Coordinator.
6.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
7.	Klicken Sie auf Beenden, und klicken Sie dann auf OK.

Sie können Distributed Transaction Coordinator auch deaktivieren, indem Sie den folgenden Befehl in die Befehlszeile eingeben:

sc stop MSDTC & sc config MSDTC start= disabled

•

Hinweis: Sie können auch das Handbuch Windows 2000 Security Hardening Guide zurate ziehen. Dieses Handbuch enthält Informationen zum Deaktivieren von Diensten.

Weitere Informationen zu Gruppenrichtlinien finden Sie auf den folgenden Websites:

•	Schrittweise Anleitung zu den Grundlagen der Gruppenrichtlinienfunktionen
•	Windows 2000-Gruppenrichtlinie
•	Gruppenrichtlinien in Windows Server 2003

•

Blockieren von TCP-Port 3372 an der Firewall:

•

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie erweiterte TCP/IP-Filter auf Systemen aktivieren, die diese Funktion unterstützen.

•

Zum Schutz vor netzwerkbasierten Versuchen, diese Sicherheitsanfälligkeit auszunutzen, sollten Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen blockieren.

Top of section

Häufig gestellte Fragen (FAQs) zur verteilten TIP-Sicherheitsanfälligkeit – CAN-2005-1980:

Worin genau besteht diese Sicherheitsanfälligkeit?
Bei der Sicherheitsanfälligkeit des Typs Denial-of-Service kann ein Angreifer eine speziell gestaltete Netzwerknachricht an ein betroffenes System senden. Ein Angreifer könnte so bewirken, dass Microsoft Distributed Transaction Coordinator (MSDTC) nicht mehr reagiert. Die speziell gestaltete Nachricht könnte auch über das betroffene System an einen anderen TIP-Server übertragen werden. Dieser verteilte Angriff könnte bewirken, dass MSDTC auf beiden Systemen nicht mehr reagiert Beachten Sie, dass diese Sicherheitsanfälligkeit vom Typ Denial-of-Service einem Angreifer keine Codeausführung oder Erhöhung von Berechtigungen ermöglicht.

•	Reduziert die Kosten des Computereinsatzes in Unternehmen. DTC bietet eine hochentwickelte, kostengünstige Einrichtung für verteilte Transaktionen für Benutzer in vernetzten PC- und Serverumgebungen.
•	Vereinfacht die Anwendungsentwicklung. DTC-Transaktionen erleichtern in hohem Maße die Aufgabe von Anwendungen, trotz der Fehler, die bei der Aktualisierung von Anwendungsdaten entstehen können, die Konsistenz zu erhalten.
•	Stellt ein einheitliches Transaktionsmodell bereit. DTC unterstützt eine Reihe von Ressourcenmanagern, einschließlich relationale Datenbanken, objektorientierte Datenbanken, Dateisysteme, Dokumentspeichersysteme und Nachrichtenwarteschlangen.
•	Ermöglicht die Softwareentwicklung mithilfe verteilter Softwarekomponenten. DTC bietet eine einfache, objektorientierte Anwendungsprogrammierschnittstelle zum Initiieren und Steuern von Transaktionen.

Weitere Informationen zu MSDTC finden Sie auf dieser Microsoft-Website.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte bewirken, dass der betroffene Dienst auf den betroffenen Systemen nicht mehr reagiert. Die speziell gestaltete Nachricht könnte auch über das betroffene System an einen anderen TIP-Server übertragen werden und so bewirken, das MSDTC auf diesem System nicht mehr reagiert.

•	Für Heimanwender
•	Für IT-Profis und Entwickler

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Überprüfung von TIP-Anforderungen durch MSDTC geändert wird.

Top of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Windows Server 2003 (alle Versionen)

Voraussetzungen:
Dieses Sicherheitsupdate erfordert Windows Server 2003 oder Windows Server 2003 Service Pack 1.

Aufnahme in zukünftige Service Packs:
Das Update für dieses Problem wird in zukünftige Service Packs oder Update-Rollups aufgenommen.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Abschluss der Installation
/forcerestart	Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.
/warnrestart[:x]	Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmtenAnzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quiet oder /passive verwendet werden.
/promptrestart	Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.
Besondere Optionen
/overwriteoem	Überschreibt OEM-Dateien ohne Bestätigung.
/nobackup	Erstellt keine Sicherungskopien der Dateien für die Deinstallation.
/forceappsclose	Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.
/log: Pfad	Speichert die Installationsprotokolldateien im angegebenen Pfad.
/integrate:Pfad	Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.
/extract[:Pfad]	Extrahiert Dateien, ohne das Setup-Programm zu starten.
/ER	Aktiviert erweiterte Fehlerberichterstattung.
/verbose	Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis: Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch zahlreiche Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet-Website.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsserver2003-kb902400-x86-enu /quiet

Hinweis: Durch die Verwendung der Installationsoption /quiet werden alle Meldungen unterdrückt. Dies gilt auch für Fehlermeldungen. Bei Verwendung der Installationsoption /quiet sollten Administratoren anhand einer der empfohlenen Methoden überprüfen, ob die Installation erfolgreich war. Administratoren sollten bei Verwendung dieser Option außerdem in der Protokolldatei KB902400.log überprüfen, ob Fehlermeldungen vorliegen.

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windowsserver2003-kb902400-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Hilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website. Dieses Update ist auch über die Microsoft Update-Website verfügbar.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Updates die Option „Software“ in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB902400$\Spuninst.

Unterstützte Installationsoptionen für Spuninst.exe
Option	Beschreibung
/help	Zeigt die Befehlszeilenoptionen an.
Installationsmodi
/passive	Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.
/quiet	Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.
Neustartoptionen
/norestart	Kein Neustart nach Absc