Sicherheitsempfehlung

Microsoft-Sicherheitsempfehlung 899588

Sicherheitsanfälligkeit in Plug and Play kann Remotecodeausführung und Rechteerweiterung ermöglichen

Veröffentlicht: 11. August 2005 | Aktualisiert: 17. August 2005

Zotob ist ein Wurm, der auf Windows 2000-basierte Computer abzielt und ein Sicherheitsproblem nutzt, das vom Microsoft Security Bulletin MS05-039 behoben wurde. Dieser Wurm und seine Varianten installieren Schadsoftware und suchen dann nach anderen Computern, um zu infizieren.
Wenn Sie das mit dem Security Bulletin MS05-039 veröffentlichte Update installiert haben, sind Sie bereits vor Zotob und seinen Varianten geschützt. Wenn Sie eine andere unterstützte Version von Windows als Windows 2000 verwenden, sind Sie von Zotob und seinen Varianten nicht gefährdet. Im Rahmen unseres Software Security Incident Response-Prozesses hat unsere Untersuchung ergeben, dass nur eine kleine Anzahl von Kunden betroffen ist, und Microsoft-Sicherheitsexperten arbeiten direkt mit ihnen zusammen. Wir haben keinen Hinweis auf weit verbreitete Auswirkungen auf das Internet gesehen. Kunden, die glauben, dass sie angegriffen wurden, sollten sich an ihr lokales FBI-Büro wenden oder ihre Beschwerde auf der Internet Fraud Complaint Center-Website einreichen. Kunden außerhalb des USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden.
Weitere Informationen zu diesen Würmern, um festzustellen, ob Sie mit diesen Würmern infiziert wurden, und Anweisungen zur Reparatur Ihres Systems, wenn Sie von diesen Würmern infiziert wurden, finden Sie auf der Zotob Security Incident-Website oder in der Microsoft Virus Encyclopedia. Informationen zu Microsoft Virus Encyclopedia-Referenzen finden Sie im Abschnitt "Übersicht". Sie können auch das Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden, um den Zotob-Wurm und seine Varianten von Ihrer Festplatte zu suchen und zu entfernen.

Andere Versionen von Windows, einschließlich Windows XP Service Pack 2 und Windows Server 2003, sind nicht von Worm:Win32/Zotob.A, seinen Varianten und ähnlichen Würmern betroffen, die versuchen, die Windows Plug and Play-Sicherheitsanfälligkeit auszunutzen, es sei denn, sie wurden bereits von anderer Schadsoftware kompromittiert. Kunden können sich vor Angriffen schützen, die versuchen, diese Sicherheitsanfälligkeit zu nutzen, indem sie sofort die Sicherheitsupdates installieren, die vom Microsoft Security Bulletin MS05-039 bereitgestellt werden. Das Security Bulletin MS05-039 ist auf der folgenden Website verfügbar.

Microsoft ist enttäuscht, dass einige Sicherheitsforscher gegen die allgemein akzeptierte Branchenpraxis verstoßen haben, sicherheitsrelevante Daten so kurz vor der Updateveröffentlichung zurückzuhalten und Exploit-Code veröffentlicht zu haben, was Computerbenutzern potenziell schaden könnte. Wir fordern Sicherheitsforscher weiterhin auf, Sicherheitsinformationen verantwortungsvoll offenzulegen und Kunden Zeit für die Bereitstellung von Updates zu geben, damit sie Kriminellen nicht bei ihrem Versuch helfen, Software-Sicherheitsrisiken zu nutzen.

Schadensbegrenzende Faktoren:

  • Windows 2000-Systeme sind in erster Linie durch dieses Sicherheitsrisiko gefährdet. Windows 2000-Kunden, die das Sicherheitsupdate MS05-039 installiert haben, sind von diesem Sicherheitsrisiko nicht betroffen. Wenn ein Administrator anonyme Verbindungen deaktiviert hat, indem er die Standardeinstellung des Registrierungsschlüssels RestrictAnonymous auf den Wert 2 ändert, sind Windows 2000-Systeme nicht remote von anonymen Benutzern anfällig. Aufgrund eines großen Anwendungskompatibilitätsrisikos wird kunden jedoch davon abgeraten, diese Einstellung in Produktionsumgebungen zu aktivieren, ohne die Einstellung zuvor in ihrer Umgebung umfassend zu testen. Weitere Informationen finden Sie auf der Microsoft-Website für Hilfe und Support nach RestrictAnonymous.
  • Auch wenn es nicht das aktuelle Ziel dieser Angriffe ist, ist es wichtig zu beachten, dass ein Angreifer unter Windows XP Service Pack 2 und Windows Server 2003 über gültige Anmeldeinformationen verfügen muss und sich lokal anmelden kann, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte nicht remote von anonymen Benutzern oder von Benutzern mit Standardbenutzerkonten unter Windows XP Service Pack 2 oder Windows Server 2003 ausgenutzt werden. Dies liegt an der erweiterten Sicherheit, die direkt in die betroffene Komponente integriert ist. Selbst wenn ein Administrator anonyme Verbindungen durch Ändern der Standardeinstellung des Registrierungsschlüssels RestrictAnonymous aktiviert hat, sind Windows XP Service Pack 2 und Windows Server 2003 nicht remote durch anonyme Benutzer oder Benutzer mit Standardbenutzerkonten anfällig. Die betroffene Komponente ist jedoch remote für Benutzer mit Administratorberechtigungen verfügbar.
  • Es ist zwar nicht das aktuelle Ziel dieser Angriffe, aber es ist wichtig zu beachten, dass ein Angreifer unter Windows XP Service Pack 1 über gültige Anmeldeinformationen verfügen muss, um zu versuchen, diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte von anonymen Benutzern nicht remote ausgenutzt werden. Die betroffene Komponente ist jedoch remote für Benutzer verfügbar, die über Standardbenutzerkonten unter Windows XP Service Pack 1 verfügen. Die vorhandenen Angriffe sind nicht so konzipiert, dass sie die Authentifizierung bereitstellen, die erforderlich ist, um dieses Problem auf diesen Betriebssystemen auszunutzen. Selbst wenn ein Administrator anonyme Verbindungen durch Ändern der Standardeinstellung des Registrierungsschlüssels RestrictAnonymous aktiviert hat, sind Windows XP Service Pack 1-Systeme nicht remote von anonymen Benutzern anfällig.
  • Dieses Problem betrifft nicht Windows 98, Windows 98 SE oder Windows Millennium Edition.

Allgemeine Informationen

Übersicht

Zweck der Beratung: Benachrichtigung über aktive Kundenangriffe und die Verfügbarkeit eines Sicherheitsupdates zum Schutz vor dieser potenziellen Bedrohung.

Beratungsstatus: Empfehlung veröffentlicht. Da dieses Problem bereits im Rahmen des Security Bulletins MS05-039 behoben wurde, ist kein zusätzliches Update erforderlich.

Empfehlung: Kunden sollten das Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden, um die Zotob-Infektion zu überprüfen und zu entfernen und das Sicherheitsupdate MS05-039 zu installieren, um sich vor diesem Sicherheitsrisiko zu schützen.

Referenzen Identifikation
Verweise auf Sicherheitsrisiken
CVE-Referenz CAN-2005-1983
Security Bulletin MS05-039
Exploit- und Wurmdetails
Zotob-Sicherheitsvorfall Website
Tool zum Entfernen bösartiger Software Website
Microsoft Virus Encyclopedia Worm:Win32/Zotob.A, Worm:Win32/Zotob.B, Worm:Win32/Zotob.C, Worm:Win32/Zotob.D, Worm:Win32/Zotob.EWorm:Win32/Esbot.A, Worm:Win32/Rbot.MA, Worm:Win32/Rbot.MB, Worm:Win32/Rbot.MC, Bobax.O
Symantec W32. Zotob.A, W32. Zotob.B, W32. Zotob.D, W32. Zotob.E,W32. Zotob.G
F-Secure Zotob.A, Zotob.B, Zotob.C, Bozori.A, Bozori.B, Bozori.C
McAfee W32/Zotob.worm,W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm! MS05-039, W32/Sdbot.worm! MS05-039,W32/Sdbot.worm!51326

Hinweis Diese Empfehlung wird nicht für zukünftige Variationen aktualisiert, es sei denn, sie unterscheiden sich wesentlich von den vorhandenen Versionen.

In dieser Empfehlung wird die folgende Software erläutert.

Verwandte Software
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 für Itanium-basierte Systeme
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME)

Häufig gestellte Fragen

Was ist der Umfang der Beratung?
Zotob ist ein Wurm, der auf Windows 2000-basierte Computer abzielt und ein Sicherheitsproblem nutzt, das vom Microsoft Security Bulletin MS05-039 behoben wurde. Dieser Wurm und seine Varianten installieren Schadsoftware und suchen dann nach anderen Computern, um zu infizieren. Wenn Sie das mit dem Security Bulletin MS05-039 veröffentlichte Update installiert haben, sind Sie bereits vor Zotob und seinen Varianten geschützt. Wenn Sie eine andere unterstützte Version von Windows als Windows 2000 verwenden, sind Sie von Zotob und seinen Varianten nicht gefährdet.

Handelt es sich um ein Sicherheitsrisiko, bei dem Microsoft ein zusätzliches Sicherheitsupdate ausgibt?
Nein. Kunden, die die Sicherheitsupdates MS05-039 installiert haben, sind von diesem Sicherheitsrisiko nicht betroffen.

Was verursacht diese Bedrohung?
Ein nicht aktivierter Puffer im Plug-and-Play-Dienst. Weitere Informationen zu Sicherheitsrisiken finden Sie unter Security Bulletin MS05-039 .

Was kann ein Angreifer mit dieser Funktion tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Vorgeschlagene Aktionen

  • Überprüfen Und entfernen Sie die Zotob-Infektion.

    Sie können das Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden, um den Zotob-Wurm und seine Varianten von Ihrer Festplatte zu suchen und zu entfernen.

  • Kunden sollten die SicherheitsupdatesMS05-039 installieren, um sich vor diesem Sicherheitsrisiko zu schützen.

    Windows 2000-Systeme sind in erster Linie durch dieses Sicherheitsrisiko gefährdet. Kunden, die das Sicherheitsupdate MS05-039 installiert haben, sind von diesem Sicherheitsrisiko nicht betroffen.

  • Kunden, die glauben, dass sie angegriffen wurden, sollten sich an ihr lokales FBI-Büro wenden oder ihre Beschwerde auf der Internet Fraud Complaint Center-Website einreichen. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden.

  • Kunden in den USA und Kanada, die glauben, dass sie von dieser möglichen Sicherheitslücke betroffen sein könnten, erhalten technischen Support von Microsoft Product Support Services unter 1-866-PCSAFETY. Es fallen keine Gebühren für den Support an, der mit Sicherheitsupdateproblemen oder Viren verbunden ist." Internationale Kunden können Support erhalten, indem sie eine der Methoden verwenden, die auf der Website "Sicherheitshilfe und Support für Heimbenutzer" aufgeführt sind. Alle Kunden sollten die neuesten von Microsoft veröffentlichten Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Systeme vor versuchter Ausnutzung geschützt sind. Kunden, die automatische Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie auf der Microsoft-Sicherheitswebsite.

  • Schützen Ihres PCs

    Wir empfehlen Kunden weiterhin, unsere Anleitung zum Schutz Ihres PCs zu befolgen, um eine Firewall zu aktivieren, Softwareupdates zu erhalten und Ant-Virus-Software zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie die Website Schützen Ihres PCs besuchen.

  • Windows auf dem neuesten Stand halten

    Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Windows Update-Website, überprüfen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle Updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden. Sie müssen jedoch sicherstellen, dass Sie sie installieren.

Sonstige Informationen

Ressourcen:

Haftungsausschluss:

Die in dieser Empfehlung bereitgestellten Informationen werden ohne jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen:

  • 11. August 2005: Advisory veröffentlicht
  • 14. August 2005: Die Empfehlung wurde aktualisiert, um Kunden darüber zu informieren, dass Microsoft aktiv analysiert und Anleitungen zu einem böswilligen Wurm bereitstellt, der als "Worm:Win32/Zotob.A" identifiziert wurde.
  • 15. August 2005: Die Empfehlung wurde aktualisiert, um zusätzliche Varianten von Worm:Win32/Zotob.A zu dokumentieren. Wir haben auch die Empfehlung aktualisiert, um Informationen über die Auswirkungen des RestrictAnonymous-Registrierungsschlüssels zu dokumentieren.
  • 16. August 2005: Die Empfehlung wurde aktualisiert, um zusätzliche Informationen zu Variationen von Worm:Win32/Zotob.A und zusätzliche Informationen zur laufenden Untersuchung zu dokumentieren.
  • 17. August 2005: Die Empfehlung wurde aktualisiert, um zusätzliche Informationen zu Variationen von Worm:Win32/Zotob.A zu dokumentieren. Wir kündigen auch die Verfügbarkeit einer überarbeiteten Version des Microsoft Windows-Tools zum Entfernen bösartiger Software an, das hilft, diese Angriffe zu beheben.

Gebaut am 2014-04-18T13:49:36Z-07:00