TechNet Sicherheit > Sicherheitsempfehlungen

Microsoft-Sicherheitsempfehlung (922437)

Veröffentlichter Angreifercode beeinflusst Serverdienst

Veröffentlicht: 11. Aug 2006 | Aktualisiert: 13. Aug 2006

Microsoft sind öffentliche Meldungen bezüglich eines als Win32/Graweg bezeichneten Angriffs bekannt, durch den die Sicherheitsanfälligkeit ausgenutzt wird, die durch das Sicherheitsupdate MS06-040 behandelt wurde. Erste Untersuchungen von Microsoft bezüglich Win32/Graweg haben ergeben, das von diesem Angriff nur Systeme mit Windows 2000 betroffen sind, auf die das in MS06-040 beschriebene Update nicht angewendet wurde. Das Microsoft-Notfallverfahren wurde eingeleitet und die Untersuchung des Problems wird fortgesetzt.

Microsofts Partner innerhalb der Microsoft Security Response Alliance sowie unsere eigenen internen Teams haben festgestellt, dass keine ernsthaften Auswirkungen auf Kunden zu befürchten sind, und haben Win32/Graweb deshalb den Schweregrad „Niedrig“ zugeordnet. Derzeit scheint es sich nicht um einen selbstreplizierenden Internetwurm zu handeln.

Microsoft empfiehlt Kunden weiterhin, so bald wie möglich die Updates des Monats August und insbesondere die in MS06-040 beschriebenen Updates anzuwenden. Um sicherzustellen, dass die Updates installiert werden, können Benutzer die Funktion für automatische Updates aktivieren oder die Bereitstellungsinfrastruktur ihres Unternehmens nutzen.

Kunden, die glauben, dass ihr System mit Win32/Graweb infiziert ist, sollten die Website Safety.live.com aufrufen und die Option „Protection Scan“ wählen. Die Website Windows Live OneCare von Microsoft ermöglicht die Erkennung von Win32/Graweb und seinen bekannten Varianten.

Kunden in den USA, die befürchten, angegriffen worden zu sein, sollten sich an das örtliche FBI-Büro wenden oder den Angriff auf der Website www.ic3.gov melden. Kunden außerhalb der USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.

Kunden, die glauben, von der Sicherheitsanfälligkeit betroffen zu sein, können sich an die Microsoft Support Services wenden. Kunden in den USA, die Hilfe in Bezug auf Sicherheitsupdates oder Viren benötigen, können die Support Services in Nordamerika kostenlos unter der PC-Sicherheits-Hotline (1-866-PCSAFETY) erreichen. Kunden außerhalb der USA können die Supportangebote auf der folgenden Website nutzen: http://support.microsoft.com/security.

Schadensbegrenzende Faktoren:

Benutzer, die das Sicherheitsupdate MS06-040 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Obwohl die Installation des Updates der empfohlene Schritt ist, ist bei Benutzern, die die schadensbegrenzenden Maßnahmen aus MS06-040 angewendet haben, die Sicherheitsanfälligkeit und potenzielle Angreifbarkeit relativ gering.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Benachrichtigung über die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Sicherheitsbedrohung.

Status der Empfehlung: Da dieses Problem bereits im Security Bulletin MS06-040 behandelt wird, ist kein zusätzliches Update erforderlich.

Empfehlung: Installieren Sie das Sicherheitsupdate MS06-040, um den Schutz vor dieser Sicherheitsanfälligkeit zu verbessern.

ReferenzenIdentifizierung

CVE-Referenz

CVE-2006-3439

 

 

Security Bulletin

MS06-040

Diese Empfehlung betrifft die folgende Software.

Betroffene Software

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Top of sectionTop of section

Häufig gestellte Fragen (FAQs)

Was genau umfasst diese Empfehlung?
Microsoft ist bekannt, dass Angreifercode veröffentlicht wurde, der auf die im Microsoft-Sicherheitsupdate MS06-040 beschriebene Sicherheitsanfälligkeit abzielt. Die betroffene Software ist im Abschnitt „Übersicht“ aufgelistet.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Benutzer, die das Sicherheitsupdate MS06-040 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Es ist kein zusätzliches Update erforderlich.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird durch einen ungeprüften Puffer im Serverdienst verursacht.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er eine speziell gestaltete Nachricht erstellt und diese an ein betroffenes System sendet. Diese Nachricht könnte daraufhin bewirken, dass das betroffene System Code ausführt.

Was ist der Serverdienst?
Der Serverdienst bietet RPC-Unterstützung und ermöglicht das Drucken von Dateien sowie die Freigabe von Named Pipes über das Netzwerk. Der Serverdienst ermöglicht die Freigabe Ihrer lokalen Ressourcen (wie z. B. Festplatten und Drucker), sodass andere Benutzer im Netzwerk darauf zugreifen können. Er ermöglicht außerdem die Kommunikation mithilfe von Named Pipes zwischen Anwendungen, die auf anderen Computern und auf Ihrem Computer ausgeführt werden. Dies wird für RPC verwendet.

Was kann ein Angreifer über diese Funktion erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er die vollständige Kontrolle über das betroffene System erlangen.

Gibt es bekannte Probleme bei der Installation des Microsoft-Sicherheitsupdates MS06-040, das vor dieser Bedrohung schützt?
Nein. Microsoft ermutigt Benutzer weiter, das Update sofort zu installieren.

Top of sectionTop of section

Empfohlene Maßnahmen

Wenn Sie das im Security Bulletin MS06-040 veröffentlichte Update installiert haben, sind Sie bereits vor der im veröffentlichten Codebeispiel beschriebenen Angriffsmethode geschützt. Wenn Sie das Update nicht bereits installiert haben, wird Kunden empfohlen, die schadensbegrenzenden Maßnahmen aus MS06-040 umzusetzen.

Aktualisieren Sie Windows regelmäßig

Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Microsoft Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Blockieren Sie die TCP-Ports 139 und 445 an der Firewall.

Dieser Port wird zum Einleiten einer Verbindung mit dem betroffenen Protokoll verwendet. Das Blockieren dieser Ports an der Firewall (sowohl in eingehender als auch ausgehender Richtung) verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu Ports finden Sie auf der folgenden Website.

Aktivieren Sie erweiterte TCP/IP-Filter auf Systemen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

Blockieren Sie die betroffenen Ports mit IPSec auf den betroffenen Systemen.

Mithilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190 und im Microsoft Knowledge Base-Artikel 813878.

Schützen Sie Ihren PC

Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr zu diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website „Schützen Sie Ihren PC“.

Weitere Informationen zur Sicherheit im Internet finden Sie auf dem Microsoft Sicherheits-Portal.

Kunden in den USA, die befürchten, angegriffen worden zu sein, können sich an das örtliche FBI-Büro wenden oder ihre Beschwerde auf der Website Internet Fraud Complaint Center melden. Kunden außerhalb der USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.

Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Angriffen geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates erhalten Sie auf dem Microsoft Sicherheits-Portal.

Top of sectionTop of section

Ressourcen:

Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.

Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.

Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen: 

11. August 2006: Die Empfehlung wurde veröffentlicht.

13. August 2006: Die Empfehlung wurde mit Information in Bezug auf Win32/Graweg aktualisiert.


Zum SeitenanfangZum Seitenanfang