Microsoft-Sicherheitsempfehlung 3009008

Sicherheitsanfälligkeit in SSL 3.0 könnte die Offenlegung von Informationen zulassen

Veröffentlicht: 14. Oktober 2014 | Aktualisiert: 14. April 2015

Version: 3.0

Allgemeine Informationen

Kurzfassung

Microsoft ist sich der detaillierten Informationen bewusst, die veröffentlicht wurden, die eine neue Methode beschreiben, um eine Sicherheitsanfälligkeit in SSL 3.0 auszunutzen. Dies ist eine branchenweite Sicherheitsanfälligkeit, die das SSL 3.0-Protokoll selbst beeinflusst und nicht spezifisch für das Windows-Betriebssystem ist. Alle unterstützten Versionen von Microsoft Windows implementieren dieses Protokoll und sind von dieser Sicherheitsanfälligkeit betroffen. Microsoft kennt derzeit keine Angriffe, die versuchen, die gemeldete Sicherheitsanfälligkeit zu verwenden. In Anbetracht des Angriffsszenarios gilt diese Sicherheitsanfälligkeit nicht als hohes Risiko für Kunden.

Wir arbeiten aktiv mit Partnern in unserem Microsoft Active Protections Program (MAPP) zusammen, um Informationen bereitzustellen, die sie verwenden können, um Kunden umfassendere Schutzmaßnahmen bereitzustellen.

Microsoft kündigt an, dass mit der Veröffentlichung des Sicherheitsupdates 3038314 am 14. April 2015 SSL 3.0 standardmäßig in Internet Explorer 11 deaktiviert ist. Microsoft kündigt außerdem an, dass SSL 3.0 in den kommenden Monaten in Microsoft Onlinedienste deaktiviert wird. Wir empfehlen Kunden, Clients und Dienste zu sichereren Sicherheitsprotokollen wie TLS 1.0, TLS 1.1 oder TLS 1.2 zu migrieren.

Mildernde Faktoren:

• Der Angreifer muss mehrere hundert HTTPS-Anforderungen stellen, bevor der Angriff erfolgreich sein könnte.
• TLS 1.0, TLS 1.1, TLS 1.2 und alle Verschlüsselungssammlungen, die keinen CBC-Modus verwenden, sind nicht betroffen.

Empfehlung: Weitere Informationen zum Deaktivieren von SSL 3.0 finden Sie im Abschnitt "Vorgeschlagene Aktionen ". Microsoft empfiehlt Kunden, diese Problemumgehungen zu verwenden, um ihre Clients und Dienste für die Verwendung von SSL 3.0 zu testen und entsprechend zu migrieren.

Beratungsdetails

Problemverweise

Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:

Informationsquellen	Identifikation
Knowledge Base-Artikel	3009008
CVE-Referenz	CVE-2014-3566

Betroffene Software

In dieser Empfehlung wird die folgende Software erläutert.

Betroffene Software

|**Betriebssystem**| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2| |Windows Server 2003 mit SP2 für Itanium-basierte Systeme| |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2| |Windows Server 2008 für 32-Bit-Systeme Service Pack 2| |Windows Server 2008 für x64-basierte Systeme Service Pack 2| |Windows Server 2008 für Itanium-basierte Systeme Service Pack 2| |Windows 7 für 32-Bit-Systeme Service Pack 1| |Windows 7 für x64-basierte Systeme Service Pack 1| |Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1| |Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1| |Windows 8 für 32-Bit-Systeme| |Windows 8 für x64-basierte Systeme| |Windows 8.1 für 32-Bit-Systeme| |Windows 8.1 für x64-basierte Systeme| |Windows Server 2012| |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Server Core-Installationsoption**| |Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)| |Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)| |Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)| |Windows Server 2012 (Server Core-Installation)| |Windows Server 2012 R2 (Server Core-Installation)|

 

Häufig gestellte Fragen zu Beratungen

Ich verwende eine andere Version von Internet Explorer als 11. Wie kann ich mein System vor dieser Sicherheitsanfälligkeit schützen?
SSL 3.0 wurde nur in Internet Explorer 11 für alle unterstützten Editionen von Microsoft Windows deaktiviert. Wenn Sie eine andere Version von Internet Explorer verwenden, lesen Sie den Abschnitt "Vorgeschlagene Problemumgehungen" für Problemumgehungen, die Sie auf Ihr System anwenden können, um sie vor dieser Sicherheitsanfälligkeit zu schützen.

Was ist der Umfang der Beratung?
Der Zweck dieser Empfehlung besteht darin, Kunden darüber zu informieren, dass Microsoft detaillierte Informationen zur Beschreibung einer neuen Methode zur Ausnutzung einer Sicherheitsanfälligkeit, die SSL 3.0 betrifft, bekannt ist. Diese Sicherheitsanfälligkeit ist eine Sicherheitslücke zur Offenlegung von Informationen.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Bei einem Man-in-the-Middle-Angriff (MiTM) könnte ein Angreifer eine verschlüsselte TLS-Sitzung herabstufen, die Clients zwingt, SSL 3.0 zu verwenden, und dann den Browser zwingen, bösartigen Code auszuführen. Dieser Code sendet mehrere Anforderungen an eine ZIEL-HTTPS-Website, bei der Cookies automatisch gesendet werden, wenn eine vorherige authentifizierte Sitzung vorhanden ist. Dies ist eine erforderliche Bedingung, um diese Sicherheitsanfälligkeit auszunutzen. Der Angreifer könnte diesen HTTPS-Datenverkehr dann abfangen und durch Exploits einer Schwäche in der CBC-Blockchiffre in SSL 3.0 Teile des verschlüsselten Datenverkehrs entschlüsseln (z. B. Authentifizierungscookies).

Was kann ein Angreifer mit dieser Sicherheitsanfälligkeit tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte Teile des verschlüsselten Datenverkehrs entschlüsseln.

Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird durch das Fehlen der CBC-Blockchiffre-Abstandsprüfung in SSL 3.0 verursacht.

Was ist SSL?
Secure Sockets Layer (SSL) ist ein kryptografisches Protokoll, das Kommunikationssicherheit über das Internet bereitstellt. SSL verschlüsselt die über das Netzwerk transportierten Daten mithilfe von Kryptografie zum Datenschutz und einem Schlüsselnachrichtenauthentifizierungscode für die Zuverlässigkeit von Nachrichten.

Was ist TLS?
Transport Layer Security (TLS) ist ein Standardprotokoll, das verwendet wird, um sichere Webkommunikation im Internet oder intranets bereitzustellen. Damit können Clients Server oder optional Server authentifizieren, um Clients zu authentifizieren. Sie bietet auch einen sicheren Kanal durch Verschlüsseln der Kommunikation. TLS ist die neueste Version des SSL-Protokolls (Secure Sockets Layer).

Ist TLS von diesem Problem betroffen?
Nein Dieses Problem ist spezifisch für SSL 3.0.

Ist dies ein branchenweites Problem?
Ja. Die Sicherheitsanfälligkeit befindet sich im Entwurf des SSL 3.0-Protokolls und ist nicht auf die Implementierung von Microsoft beschränkt.

Vorgeschlagene Aktionen

Anwenden von Problemumgehungen

Problemumgehungen beziehen sich auf eine Einstellung oder Konfigurationsänderung, die das zugrunde liegende Problem nicht behebt, aber bekannte Angriffsvektoren blockieren würde, bevor ein Sicherheitsupdate verfügbar ist.

• Deaktivieren von SSL 3.0 und Aktivieren von TLS 1.0, TLS 1.1 und TLS 1.2 in Internet Explorer

  Sie können das SSL 3.0-Protokoll in Internet Explorer deaktivieren, indem Sie die Erweiterten Sicherheitseinstellungen in Internet Explorer ändern.

  Führen Sie die folgenden Schritte aus, um die Standardprotokollversion zu ändern, die für HTTPS-Anforderungen verwendet werden soll:

  1. Klicken Sie im Menü "Internet Explorer-Tools" auf "InternetOptions".
  2. Klicken Sie im Dialogfeld "InternetOptions " auf die Registerkarte "Erweitert ".
  3. Deaktivieren Sie in der Kategorie "Sicherheit " die Option "UseSSL3.0 ", und überprüfen Sie "Verwenden von TLS 1.0", "TLS 1.1" und "TLS 1.2 verwenden" (sofern verfügbar).
  4. Hinweis: Es ist wichtig, aufeinander folgende Versionen zu überprüfen. Die Auswahl aufeinander folgender Versionen (z. B. das Überprüfen von TLS 1.0 und 1.2, aber keine Überprüfung von 1.1) kann zu Verbindungsfehlern führen.
  5. Klicken Sie auf OK.
  6. Beenden Sie Internet Explorer, und starten Sie die Anwendung neu.

  Hinweis : Nach der Anwendung dieser Problemumgehung kann Internet Explorer keine Verbindung mit Webservern herstellen, die nur SSL bis 3.0 unterstützen und TLS 1.0, TLS 1.1 und TLS 1.2 nicht unterstützen. 

  Hinweis:
  Siehe Microsoft Knowledge Base-Artikel 3009008 , um die automatisierte Microsoft Fix it-Lösung zum Deaktivieren von SSL 3.0 nur in Internet Explorer zu verwenden.

  So können Sie die Problemumgehung rückgängig machen. Führen Sie die folgenden Schritte aus, um SSL 3.0 in Internet Explorer zu aktivieren.

  1. Klicken Sie im Menü "Internet Explorer-Tools" auf "InternetOptions".
  2. Klicken Sie im Dialogfeld "InternetOptions " auf die Registerkarte "Erweitert ".
  3. Überprüfen Sie in der Kategorie "Sicherheit " die Option "UseSSL3.0".
  4. Klicken Sie auf OK.
  5. Beenden Sie Internet Explorer, und starten Sie die Anwendung neu.

• Deaktivieren von SSL 3.0 und Aktivieren von TLS 1.0, TLS 1.1 und TLS 1.2 für Internet Explorer in der Gruppenrichtlinie

  Sie können die Unterstützung für das SSL 3.0-Protokoll in Internet Explorer über Gruppenrichtlinien deaktivieren, indem Sie das Gruppenrichtlinienobjekt "Verschlüsselungsunterstützung deaktivieren" ändern.

  1. Öffnen Sie die Gruppenrichtlinienverwaltung.

  2. Wählen Sie das zu ändernde Gruppenrichtlinienobjekt aus, klicken Sie mit der rechten Maustaste, und wählen Sie "Bearbeiten" aus .

  3. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor zu der folgenden Einstellung:
     Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Internet Explorer –> Internet Systemsteuerung – Erweiterte Seite –>> Deaktivieren der Verschlüsselungsunterstützung

  4. Doppelklicken Sie auf die Einstellung "Verschlüsselungsunterstützung deaktivieren", um die Einstellung zu bearbeiten.

  5. Klicken Sie auf Enabled (Aktiviert).

  6. Ändern Sie im Fenster "Optionen" die Einstellung für sicheres Protokoll in "TLS 1.0, TLS 1.1 und TLS 1.2 verwenden".

  7. Hinweis: Es ist wichtig, aufeinander folgende Versionen zu überprüfen. Die Auswahl aufeinander folgender Versionen (z. B. das Überprüfen von TLS 1.0 und 1.2, aber keine Überprüfung von 1.1) kann zu Verbindungsfehlern führen.

  8. Klicken Sie auf OK.

    Beachten Sie, dass Administratoren sicherstellen sollten, dass diese Gruppenrichtlinie entsprechend angewendet wird, indem Sie das Gruppenrichtlinienobjekt mit der entsprechenden ORGANISATIONSeinheit in ihrer Umgebung verknüpfen.

  Hinweis : Nach der Anwendung dieser Problemumgehung kann Internet Explorer keine Verbindung mit Webservern herstellen, die nur SSL bis 3.0 unterstützen und TLS 1.0, TLS 1.1 und TLS 1.2 nicht unterstützen. 

  So können Sie die Problemumgehung rückgängig machen. Führen Sie die folgenden Schritte aus, um die SSL 3.0-Richtlinieneinstellung zu deaktivieren:

  1. Öffnen Sie die Gruppenrichtlinienverwaltung.

  2. Wählen Sie das zu ändernde Gruppenrichtlinienobjekt aus, klicken Sie mit der rechten Maustaste, und wählen Sie "Bearbeiten" aus .

  3. Navigieren Sie im Gruppenrichtlinienverwaltungs-Editor zu der folgenden Einstellung:
     Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Internet Explorer –> Internet Systemsteuerung – Erweiterte Seite –>> Deaktivieren der Verschlüsselungsunterstützung

  4. Doppelklicken Sie auf die Einstellung "Verschlüsselungsunterstützung deaktivieren", um die Einstellung zu bearbeiten.

  5. Klicken Sie auf "Deaktiviert".

  6. Klicken Sie auf OK.

• Deaktivieren von SSL 3.0 in Windows

  Für Serversoftware

  Sie können die Unterstützung für das SSL 3.0-Protokoll unter Windows deaktivieren, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "regedt32" ein, oder geben Sie "regedit" ein, und klicken Sie dann auf "OK".
  2. Suchen Sie im Registrierungs-Editor den folgenden Registrierungsschlüssel:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

  Hinweis: Wenn der vollständige Registrierungsschlüsselpfad nicht vorhanden ist, können Sie ihn erstellen, indem Sie die verfügbaren Schlüssel erweitern und die Option "Neu ->Schlüssel" im Menü "Bearbeiten" verwenden.

  3. Klicken Sie im Menü "Bearbeiten " auf "AddValue".
  4. Klicken Sie in der Liste "Datentyp " auf DWORD.
  5. Geben Sie im Feld "Wertname" "Aktiviert" ein, und klicken Sie dann auf "OK". 

  Hinweis : Wenn dieser Wert vorhanden ist, doppelklicken Sie auf den Wert, um den aktuellen Wert zu bearbeiten.

  6. Geben Sie im Dialogfeld "DWORD-Wert bearbeiten" (32-Bit) "0" ein.
  7. Klicken Sie auf OK. Starten Sie den Computer neu.

   

  Hinweis : Diese Problemumgehung deaktiviert SSL 3.0 für alle Serversoftware, die auf einem System installiert ist, einschließlich IIS.

  Hinweis : Nach dem Anwenden dieser Problemumgehung können Clients, die nur auf SSL 3.0 basieren, nicht mit dem Server kommunizieren.

  So können Sie die Problemumgehung rückgängig machen. Führen Sie die folgenden Schritte aus, um SSL 3.0 in der Windows Server-Software zu deaktivieren:

  1. Öffnen Sie den Registrierungs-Editor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

  3. Klicken Sie im Menü "Bearbeiten" auf "Löschen".
  4. Klicken Sie auf Ja , wenn eine Aufforderung angezeigt wird.
  5. Beenden Sie den Registrierungs-Editor.
  6. Starten Sie das System neu.

  Für Clientsoftware

  Sie können die Unterstützung für das SSL 3.0-Protokoll unter Windows deaktivieren, indem Sie die folgenden Schritte ausführen:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "regedt32" ein, oder geben Sie "regedit" ein, und klicken Sie dann auf "OK".
  2. Suchen Sie im Registrierungs-Editor den folgenden Registrierungsschlüssel:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

  Hinweis: Wenn der vollständige Registrierungsschlüsselpfad nicht vorhanden ist, können Sie ihn erstellen, indem Sie die verfügbaren Schlüssel erweitern und die Option "Neu ->Schlüssel" im Menü "Bearbeiten" verwenden.

  3. Klicken Sie im Menü "Bearbeiten " auf "AddValue".
  4. Klicken Sie in der Liste "Datentyp " auf DWORD.
  5. Geben Sie im Feld "Wertname" "Aktiviert" ein, und klicken Sie dann auf "OK". 

  Hinweis : Wenn dieser Wert vorhanden ist, doppelklicken Sie auf den Wert, um den aktuellen Wert zu bearbeiten.

  6. Geben Sie im Dialogfeld "DWORD-Wert bearbeiten" (32-Bit) "0" ein.
  7. Klicken Sie auf OK. Starten Sie den Computer neu.

   

  Hinweis : Diese Problemumgehung deaktiviert SSL 3.0 für alle auf einem System installierten Clientsoftware.

  Hinweis : Nachdem Sie diese Problemumgehung angewendet haben, können Clientanwendungen auf diesem Computer nicht mit anderen Servern kommunizieren, die nur SSL 3.0 unterstützen.

  So können Sie die Problemumgehung rückgängig machen. Führen Sie die folgenden Schritte aus, um SSL 3.0 in der Windows-Clientsoftware zu deaktivieren:

  1. Öffnen Sie den Registrierungs-Editor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann auf den folgenden Registrierungsunterschlüssel:

  HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

  3. Klicken Sie im Menü "Bearbeiten" auf "Löschen".
  4. Klicken Sie auf Ja , wenn eine Aufforderung angezeigt wird.
  5. Beenden Sie den Registrierungs-Editor.
  6. Starten Sie das System neu.

Weitere vorgeschlagene Aktionen

• Schützen Ihres PCs

  Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.

• Aktualisieren der Microsoft-Software

  Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.

Danksagungen

Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:

• Bodo Möller vom Google Security Team für die Zusammenarbeit mit uns zu diesem Thema

Sonstige Informationen

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Feedback

• Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.

Unterstützung

• Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen finden Sie unter Microsoft-Hilfe und -Support.
• Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen finden Sie unter "Internationaler Support".
• Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (14. Oktober 2014): Empfehlung veröffentlicht.
• V1.1 (15. Oktober 2014): Überarbeitete Empfehlung, um eine Problemumgehung zum Deaktivieren des SSL 3.0-Protokolls in Windows einzuschließen.
• V2.0 (29. Oktober 2014): Überarbeitete Empfehlung zur Ankündigung der Veraltetkeit von SSL 3.0, zur Klärung der Problemumgehungsanweisungen zum Deaktivieren von SSL 3.0 auf Windows-Servern und auf Windows-Clients sowie zur Ankündigung der Verfügbarkeit einer Microsoft Fix it-Lösung für Internet Explorer. Weitere Informationen finden Sie im Knowledge Base-Artikel 3009008.
• V2.1 (9. Dezember 2014): Microsoft kündigt die Verfügbarkeit von SSL 3.0-Fallbackwarnungen in Internet Explorer 11 an. Weitere Informationen finden Sie im Knowledge Base-Artikel 3013210.
• V2.2 (10. Februar 2015): Microsoft kündigt an, dass SSL 3.0-Fallbackversuche in Internet Explorer 11 standardmäßig deaktiviert sind. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3021952.
• V2.3 (16. Februar 2015): Überarbeitete Empfehlung, um das geplante Datum zum Deaktivieren von SSL 3.0 standardmäßig in Internet Explorer 11 bekanntzugeben.
• V3.0 (14. April 2015) Überarbeitete Empfehlung, mit der Veröffentlichung des Sicherheitsupdates 3038314 am 14. April 2015 SSL 3.0 standardmäßig in Internet Explorer 11 zu kündigen und Anweisungen zum Rückgängigmachen der Problemumgehungen hinzuzufügen.

Seite generiert 2015-04-07 14:32Z-07:00.