TechNet Sicherheit > Sicherheitsempfehlungen

Microsoft-Sicherheitsempfehlung (921923)

Informationen zur Veröffentlichung von Beispielcode für einen Angriff auf die RAS-Verbindungsverwaltung

Veröffentlicht: 23. Jun 2006

Microsoft wurde gemeldet, dass im Internet ausführlicher Angreifercode bezüglich der im Microsoft Security Bulletin MS06-025 behandelten Sicherheitsanfälligkeit veröffentlicht wurde. Soweit Microsoft bekannt, ist es noch zu keinen Angriffen unter Ausnutzung dieses Angreifercodes gekommen, und wir verfügen derzeit über keine Meldungen über etwaige Auswirkungen auf unsere Kunden. Microsoft beobachtet die Lage jedoch sehr genau, um seine Kunden auf dem Laufenden zu halten und ggf. entsprechende Anleitungen anzubieten.

Untersuchungen dieses Angreifercodes haben bestätigt, dass Benutzer, die die im Security Bulletin MS05-025 aufgeführten Updates auf ihren Computern installiert haben, nicht betroffen sind. Microsoft empfiehlt auch weiterhin, die Updates für die betroffenen Produkte anzuwenden, indem die automatischen Updates unter Windows aktiviert werden.

Microsoft ist enttäuscht, dass gewisse Sicherheitsforscher die branchenübliche Praxis verletzt haben, indem sie so kurz vor der Updateveröffentlichung Daten bezüglich einer Sicherheitsanfälligkeit zurückgehalten und Angreifercode veröffentlicht haben, der eine potenzielle Gefahr für Computerbenutzer darstellt. Wir fordern Sicherheitsforscher weiterhin dazu auf, Informationen bezüglich Sicherheitsanfälligkeiten verantwortungsbewusst offen zu legen und Benutzern Zeit für die Bereitstellung von Updates zu gewähren. Andernfalls unterstützen sie möglicherweise Kriminelle bei dem Versuch, softwarebezogene Sicherheitsanfälligkeiten auszunutzen.

Schadensbegrenzende Faktoren:

•	Benutzer, die das Sicherheitsupdate MS05-025 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
•	In erster Linie sind Windows 2000-Systeme von dieser Sicherheitsanfälligkeit betroffen. Benutzer, die Windows 2000 verwenden, sollten MS06-025 sobald wie möglich bereitstellen oder den RASMAN-Dienst deaktivieren.
•	Unter Windows XP Service Pack 2, Windows Server 2003 und Windows Server 2003 Service Pack 1 benötigt ein Angreifer gültige Anmeldeinformationen, um die Sicherheitsanfälligkeit ausnutzen zu können.
•	Windows 98, Windows 98 SE und Windows Millennium Edition sind von diesem Problem nicht betroffen.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Benachrichtigung über die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Sicherheitsbedrohung.

Status der Empfehlung: Da dieses Problem bereits im Security Bulletin MS05-025 behandelt wird, ist kein zusätzliches Update erforderlich.

Empfehlung: Installieren Sie das Sicherheitsupdate MS06-025, um den Schutz vor dieser Sicherheitsanfälligkeit zu verbessern.

Referenzen	Identifizierung
CVE-Referenz	CVE-2006-2370
	CVE-2006-2371
Security Bulletin	MS06-025

Diese Empfehlung betrifft die folgende Software.


Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 und Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 und Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
Microsoft Windows Server 2003 x64 Edition

Top of section

Häufig gestellte Fragen (FAQs)

Was genau umfasst diese Empfehlung?
Microsoft ist bekannt, dass Angreifercode veröffentlicht wurde, der auf die im Microsoft-Sicherheitsupdate MS06-025 beschriebenen Sicherheitsanfälligkeiten abzielt. Die betroffene Software ist im Abschnitt „Übersicht“ aufgelistet.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Benutzer, die das Sicherheitsupdate MS05-025 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Es ist kein zusätzliches Update erforderlich.

Wodurch wird diese Bedrohung verursacht?
Die Sicherheitsanfälligkeit entsteht durch einen ungeprüften Puffer in Routing- und RAS-Technologien mit spezieller Auswirkung auf die RAS-Verbindungsverwaltung (RASMAN).

Was bewirkt diese Funktion?
Die RAS-Verbindungsverwaltung ist ein Dienst, der die Details beim Aufbau einer Verbindung zum Remoteserver verarbeitet. Außerdem versorgt der Dienst den Client beim Verbindungsvorgang mit Statusinformationen. Die RAS-Verbindungsverwaltung wird automatisch gestartet, wenn eine Anwendung die Datei RASAPI32.DLL lädt.

Was kann ein Angreifer über diese Funktion erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Gibt es bekannte Probleme bei der Installation des Microsoft-Sicherheitsupdates MS06-025, das vor dieser Bedrohung schützt?
Die derzeit bekannten Probleme bei der Installation des Sicherheitsupdates werden im Microsoft Knowledge Base-Artikel 911280 beschrieben. Von den im Knowledge Base-Artikel beschriebenen Problemen sind Benutzer betroffen, die DFÜ-Verbindungen verwenden, bei denen das Gerät über Skripts für Parität, Stoppbits oder Datenbits, ein Terminalfenster nach Herstellen der Verbindung oder DFÜ-Skripterstellung konfiguriert wird. Wenn Benutzer keines der beschriebenen DFÜ-Szenarien verwenden, sollten sie das Update sofort installieren.

Top of section

Empfohlene Maßnahmen

Wenn Sie das im Security Bulletin MS05-025 veröffentlichte Update installiert haben, sind Sie bereits vor der im veröffentlichten Codebeispiel beschriebenen Angriffsmethode geschützt. Wenn Sie das Update nicht installiert haben oder von einem der im Microsoft Knowledge Base-Artikel 911280 beschriebenen Szenarios betroffen sind, sollten Sie die RAS-Verbindungsverwaltung deaktivieren.

•

Deaktivieren Sie die RAS-Verbindungsverwaltung.

Bei Deaktivierung der RAS-Verbindungsverwaltung ist das betroffene System besser vor der Ausnutzung dieser Sicherheitsanfälligkeit geschützt. Gehen Sie wie folgt vor, um die RAS-Verbindungsverwaltung (RASMAN) zu deaktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung .Oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2.	Doppelklicken Sie auf Verwaltung.
3.	Doppelklicken Sie auf Dienste.
4.	Doppelklicken Sie auf RAS-Verbindungsverwaltung
5.	Klicken Sie in der Liste Starttyp auf Deaktiviert.
6.	Klicken Sie auf Beenden und anschließend auf OK.

Sie können die RAS-Verbindungsverwaltung (RASMAN) auch deaktivieren, indem Sie an der Eingabeaufforderung folgenden Befehl eingeben:

sc stop rasman & sc config rasman start= disabled

Auswirkung der Problemumgehung: Wenn Sie die RAS-Verbindungsverwaltung deaktivieren, können Sie anderen Hosts in LAN- oder WAN-Umgebungen keine Routing-Dienste anbieten. Deshalb empfehlen wir diese Problemumgehung nur auf Systemen, die für RAS- und Routing-Dienste nicht RASMAN benötigen.

•

Blockieren Sie Folgendes an der Firewall:

•	Die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593.
•	Den unerwünschten eingehenden Datenverkehr mit Ports > 1024.
•	Alle weiteren speziell konfigurierten RPC-Ports.

Diese Ports dienen dazu, eine Verbindung mit RPC zu initiieren. Das Blockieren dieser Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Sie sollten außerdem sicherstellen, dass auch alle weiteren speziell konfigurierten RPC-Ports auf dem Remotesystem blockiert sind. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu von RPC verwendeten Ports finden Sie auf dieser Website.

•

Verwenden Sie zum Schutz vor netzwerkbasierten Versuchen zur Ausnutzung dieser Sicherheitsanfälligkeit eine persönliche Firewall, wie die Internetverbindungsfirewall, die im Lieferumfang von Windows XP und Windows Server 2003 enthalten ist.

Die Internetverbindungsfirewall unter Windows XP und Windows Server 2003 schützt standardmäßig Ihre Internetverbindung, indem sie unerwünscht eingehenden Datenverkehr blockiert. Microsoft empfiehlt das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. In Windows XP Service Pack 2 wird diese Funktion als Windows Firewall bezeichnet.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten zu aktivieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern. Die Komponente Internetverbindungsfirewall wird aktiviert, wenn Sie im Netzwerkinstallations-Assistenten eine Konfiguration auswählen, die angibt, dass Ihr System direkt mit dem Internet verbunden ist.

Führen Sie die folgenden Schritte durch, um die Internetverbindungsfirewall manuell für eine Verbindung zu konfigurieren:

1.	Klicken Sie auf Start und anschließend auf Systemsteuerung.
2.	Klicken Sie in der Kategorienansicht (Standardansicht) auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.
3.	Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie die Internetverbindungsfirewall aktivieren möchten, und klicken Sie dann auf Eigenschaften.
4.	Klicken Sie auf die Registerkarte Erweitert.
5.	Aktivieren Sie das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird, und klicken Sie dann auf OK.

Hinweis: Wenn Sie die Kommunikation einiger Programme und Dienste über die Firewall aktivieren möchten, klicken Sie auf der Registerkarte Erweitert auf Einstellungen, und wählen Sie die erforderlichen Programme, Protokolle und Dienste aus.

•	Kunden in den USA, die befürchten, angegriffen worden zu sein, können sich an das örtliche FBI-Büro wenden oder ihre Beschwerde auf der Website Internet Fraud Complaint Center melden. Kunden außerhalb der USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.
•	Kunden in den USA und Kanada, die denken, Sie könnten von dieser potenziellen Sicherheitsanfälligkeit betroffen sein, erhalten bei Microsoft Product Support Services unter 1-866-PCSAFETY technischen Support. Supportanfragen zu Sicherheitsupdates und Viren sind kostenlos. Kunden außerhalb Nordamerikas erhalten über die auf der Website Hilfe und Support – Sicherheit zu Hause beschriebenen Wege Support. Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Sicherheitsanfälligkeiten geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates erhalten Sie auf dem Microsoft Sicherheits-Portal.
•	Weitere Informationen zur Sicherheit im Internet finden Sie auf dem Microsoft Sicherheits-Portal.
•	Aktualisieren Sie Windows regelmäßig. Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Top of section

Ressourcen:

•	Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.
•	Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
•	Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.
•	Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

•	23. Juni 2006: Die Empfehlung wurde veröffentlicht.

Zum Seitenanfang