Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Nach einem März ohne Bulletins behebt Microsoft diesen Monat eine Reihe schwer wiegender Fehler. Betroffen sind die Windows Shell, der TCP/IP-Stack, der Windows Kernel, MSN Messenger, Exchange und Office. Die meisten Lücken erlauben das Ausführen beliebigen Codes. Als oberste Grundregel gilt also, niemals Dateien von Unbekannten entgegenzunehmen und zu öffnen.
Auch wenn das kumulative Sicherheits-Update einige Bugs im Internet Explorer behebt, gilt für den IE weiterhin:
Surfen Sie nur mit einem eingeschränkten Account.
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser wie Firefox ernsthaft in Erwägung ziehen.
MS05-016: Windows Shell erlaubt Codeausführung
Durch einen Fehler bei der Ermittlung des Programms, das bei Dateien mit einer bestimmten Endung zu starten ist, kann ein Angreifer diesen nutzen, um bei unbekannten Endungen mit der HTML-Application-Host (mshta.exe) zu starten.
Ist der Benutzer mit administrativen Rechten eingeloggt und startet (etwa durch Doppelklick) ein per E-Mail erhaltenes Attachment, kann der Angreifer beliebigen Code auf dem System ausführen.
Zusätzlich zur Installation des Patches empfiehlt es sich, den HTML-Application-Host abzuschalten. Das erledigen Sie, indem Sie über "Start/Ausführen" folgenden Befehl ausführen:
"%windir%\\system32\\mshta.exe /unregister
Gleichzeitig wird dadurch die Bindung von .hta-Dateien, die schon häufiger für Angriffe ausgenutzt wurden, gelöst. Klickt ein Benutzer nun doppelt auf eine solche Datei, muss er das Programm mshta.exe als zu startende Applikation manuell angeben.
Dieses Bulletin ersetzt MS05-008.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Wichtig |
Betrifft | Windows 2000 bis SP4, Windows XP bis SP2, Windows Server 2003 |
Auswirkung | Ausführen beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-017: Pufferüberlauf in Message Queuing
Microsoft Message Queuing ist eine Technologie, die es Applikationen ermöglicht, miteinander zu kommunizieren, auch wenn sie auf verschiedenen Rechnern und zu verschiedenen Zeiten laufen. Dazu werden Nachrichten in Queues geschrieben und vom Empfänger aus diesen Queues ausgelesen. Der Biztalk Server verwendet dieses Verfahren beispielsweise, per Default wird Message Queuing allerdings nicht installiert.
Indem ein Angreifer eine speziell präparierte Nachricht an eine solche Message Queue schickt, kann er einen Pufferüberlauf verursachen und darüber beliebigen Code auf dem betroffenen System ausführen. Ist der RPC-Port auch zum Internet hin offen, kann der Angriff auch von remote ausgeführt werden.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Wichtig |
Betrifft | Windows 2000 bis SP4, Windows XP bis SP1 - jeweils sofern MSMQ installiert ist |
Auswirkung | Ausführung beliebigen Codes |
Work-around | Keiner |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-018: Rechteausweitung und DoS im Kernel
Gleich vier Lücken im Windows-Kernel behebt dieses Update.
1.) Durch einen Fehler bei der Verarbeitung von Fonts kann ein lokal angemeldeter Benutzer seine Rechte ausweiten. Grund ist ein ungeprüfter Puffer, über den der Angreifer mittels einer speziell vorbereiteten Font-Datei beliebigen Code mit erweiterten Rechten ausführen kann. Damit kann er sich beispielsweise zusätzliche Accounts mit Administratorrechten verschaffen.
2.) Bei der Validierung von bestimmten Zugriffsanfragen tritt im Kernel ein Fehler auf. Diesen kann ein lokal angemeldeter Benutzer mittels eines speziell erstellten Programms ausnutzen, um sich erweiterte Rechte zu verschaffen.
3.) Über einen ungeprüften Puffer kann ein lokal angemeldeter Benutzer das System dazu veranlassen, neu zu starten. Dazu muss er nur eine speziell geformte Anfrage an das Betriebssystem schicken.
4.) Ein Fehler im Client Server Runtime System (CSRSS) lässt sich von einem lokal angemeldeten Benutzer ausnutzen, um sich erweiterte Rechte zu verschaffen. Dazu muss er mittels eines Programms eine speziell aufgebaute Zugriffsanfrage an das CSRSS schicken.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Wichtig |
Betrifft | Windows 2000 bis SP4, Windows XP bis SP2, Windows Server 2003 |
Auswirkung | Rechteausweitung, DoS |
Work-around | Keiner |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-019: DoS und Ausführung von Code über TCP/IP
Fünf Fehler im TCP/IP-Stack adressiert dieses Security Bulletin.
1.) Ein Fehler bei der Validierung von eingehenden TCP/IP-Paketen lässt sich von einem Angreifer dazu ausnutzen, um mittels eines speziell aufgebauten (ungültigen) TCP/IP-Pakets beliebigen Code auf dem angegriffenen System auszuführen. Der Fehler liegt augenscheinlich in den IP-Options begründet, da Microsoft als Work-around empfiehlt, mit Hilfe des ISA-Servers Pakete anhand der IP-Options zu filtern.
Laut Microsoft ist ein Systemabsturz allerdings die wahrscheinlichere Folge eines Angriffs. Steht der Rechner hinter einem Router, muss der Router ungültige TCP/IP-Pakete weiterleiten, damit der Angriff funktioniert.
2.) Über ein speziell aufgebautes ICMP-Paket kann ein Angreifer das System dazu bringen, beliebige bestehende TCP-Verbindungen zu unterbrechen. Normalerweise dürften diese Meldungen nur die mit dem Angreifer bestehenden Verbindungen unterbrechen. Der Fehler sorgt aber dafür, dass damit beliebige Verbindungen gestoppt werden können.
3.) Ein weiterer - ähnlicher - Fehler betrifft ICMP-Meldungen zur Path-MTU-Discovery. Normalerweise versenden Router entsprechende Meldungen, wenn ein Paket zu groß ist und fragmentiert werden müsste, damit die sendende Station die MTU für diese spezielle TCP-Verbindung optimieren kann. Auch hier ist es einem Angreifer möglich, andere TCP-Verbindungen zu beeinflussen. Indem er ein Paket mit einem entsprechend niedrigen MTU-Wert schickt, sorgt er dafür, dass die Netzwerk-Performance erheblich gestört wird oder überhaupt kein Datenverkehr mehr stattfinden kann.
4.) Ohne Umweg über den in Punkt 2.) beschriebenen ICMP-Mechanismus kann ein Angreifer auch mittels eines speziell geformten TCP-Pakets die Maschine des Opfers dazu bringen, bestehende TCP-Verbindungen abzubauen.
5.) Der TCP/IP-Stack von Windows ist anfällig für so genannte LAND-Angriffe. Die Sicherheitslücke beruht auf der falschen Verarbeitung von IP-Paketen, bei denen Quell- und Zieladresse identisch sind und das SYN-Flag gesetzt ist. Dadurch verbraucht das System alle CPU-Ressourcen für eine bestimmte Zeit.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows 2000 bis SP4, Windows XP bis SP2, Windows Server 2003 |
Auswirkung | DoS, Ausführen von Code |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | CAN-2005-0048, CAN-2004-0790, CAN-2004-1060, CAN-2005-0688, CAN-2004-0230 |
tecCHANNEL-Security | - |
MS05-020: Kumulatives Update für den Internet Explorer
Drei Sicherheitslücken im Internet Explorer, die zur Ausführung von beliebigem Code führen können, behebt Microsoft mit diesem Update.
1.) Bei der Verarbeitung von DHTML-Objekten kann es zu einer Wettbewerbssituation zwischen zwei Threads kommen, in Folge derer der Angreifer beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen kann. Dazu muss er das Opfer lediglich dazu bringen, per Browser oder Mail-Client eine speziell gestaltete Webseite zu betrachten.
2.) Einen Pufferüberlauf beim Parsen von URLs kann ein Angreifer dazu missbrauchen, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Er muss das Opfer nur dazu bewegen, eine speziell aufgebaute URL anzuklicken.
3.) Ein Pufferüberlauf im "Inhaltsratgeber" des Internet Explorer lässt sich von einem Angreifer dazu missbrauchen, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Er muss das Opfer nur dazu veranlassen, eine speziell präparierte Webseite aufzurufen.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Windows XP bis SP2, Windows XP 64-Bit, Windows 2000 bis SP4, Windows Server 2003 - Internet Explorer bis Version 6 Service Pack 1 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-021: Codeausführung im Exchange-Server
Ein ungeprüfter Puffer im SMTP-Server von Exchange lässt sich von einem Angreifer mittels eines speziell geformten SMTP-Kommandos für einen Pufferüberlauf ausnutzen, in dessen Folge der Angreifer beliebigen Code auf dem System ausführen kann.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Exchange 2000 bis SP3, Exchange 2003 bis SP1 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-022: MSN-Messenger-Fehler bei GIF-Bildern
Ein Fehler bei der Verarbeitung von GIF-Bildern im MSN Messenger lässt sich von einem Angreifer dazu ausnutzen, auf dem System des Opfers beliebigen Code auszuführen. Dazu muss er dem Opfer lediglich ein entsprechend präpariertes Bild mit ungültigen Höhen- und Breitenangaben schicken.
Die Beta-Version des MSN Messenger 7 ist ebenfalls betroffen, nicht jedoch die Release-Version.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | MSN Messenger 6.2 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-023: Pufferüberlauf in Microsoft Word
Zwei ungeprüfte Puffer in Microsoft Word lassen sich von einem Angreifer dazu ausnutzen, beliebigen Code auf dem System des Opfers auszuführen. Microsoft macht keine näheren Angaben zum genauen Fehler und rät lediglich dazu, nur Dokumente aus vertrauenswürdigen Quellen zu öffnen.
Insbesondere das Öffnen von Word-Dokumenten im Internet Explorer stellt eine erhebliche Gefahr dar. Zwar fragt der IE bei Office-Dokumenten per Default nach, ob das Dokument gespeichert oder geöffnet werden soll, aber viele Benutzer lassen Word-Dokumente direkt im Browser anzeigen. Um dieses Verhalten wieder zurückzustellen, öffnen Sie den Arbeitsplatz und rufen dort das Menü "Extras/Ordneroptionen" auf. Wechseln Sie auf den Tab "Dateitypen" und führen für jeden Office-Dateityp die folgende Aktion aus:
Klicken Sie auf "Erweitert" und wählen "Öffnen nach Download bestätigen" sowie "Im selben Fenster durchsuchen" aus.
Datum | 12.04.2005 |
|---|---|
| |
Warnstufe | Kritisch |
Betrifft | Word 2000/2002/2003, Works Suite 2001/2002/2003/2004 |
Auswirkung | Ausführung beliebigen Codes |
Work-around | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security | - |
MS05-002 und MS05-009: Re-Release
Nach dem Release des MS05-002 hat sich herausgestellt, dass es einige Computer mit Windows 98, 98SE oder ME zu unerwarteten Neustarts veranlasst hat. Daher gibt es nun aktualisierte Patches für diese Betriebssysteme.
MS05-009 ließ sich nicht via SMS oder Auto-Update installieren. Die neue Version dieses Patches behebt den Fehler. (mha)