Microsoft Security Bulletin MS14-025 – Wichtig

Artikel
08/11/2023

Sicherheitsrisiko in Gruppenrichtlinie Einstellungen kann Rechteerweiterung ermöglichen (2962486)

Veröffentlicht: 13. Mai 2014

Version: 1.0

Allgemeine Informationen

Kurzfassung

Dieses Sicherheitsupdate behebt ein öffentlich offenbartes Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann Rechteerweiterungen ermöglichen, wenn Active Directory-Gruppenrichtlinie-Einstellungen verwendet werden, um Kennwörter in der gesamten Domäne zu verteilen. Eine Vorgehensweise, die es einem Angreifer ermöglichen könnte, das mit Gruppenrichtlinie Einstellungen gespeicherte Kennwort abzurufen und zu entschlüsseln.

Dieses Sicherheitsupdate wird für Die Remoteserververwaltungstools als wichtig eingestuft, wenn es unter den betroffenen Editionen von Windows Vista, Windows 7, Windows 8 und Windows 8.1 installiert wird. Das Update wird auch für alle betroffenen Editionen von Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene und nicht betroffene Software .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Möglichkeit zum Konfigurieren und Verteilen von Kennwörtern, die bestimmte erweiterungen für Gruppenrichtlinie Einstellungen verwenden, entfernt wird. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQ) zu dem spezifischen Sicherheitsrisiko weiter unten in diesem Bulletin.

Zusätzliche Aktion erforderlich. Um vollständig vor der in diesem Bulletin behandelten Sicherheitsanfälligkeit geschützt zu werden, müssen Kunden mit vorhandenen Gruppenrichtlinien, die Gruppenrichtlinie Einstellungen verwenden, zusätzliche Maßnahmen ergreifen, um diese Richtlinien zu entfernen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Sicherheitsrisiken in diesem Bulletin.

Empfehlung. Microsoft empfiehlt Kunden, das Update so früh wie möglich anzuwenden und die zusätzlichen Aktionen auszuführen, die oben und in den zugehörigen häufig gestellten Fragen beschrieben sind.

Das Update ist nur im Microsoft Download Center und im Microsoft Update-Katalog verfügbar.

Weitere Informationen finden Sie im Abschnitt Erkennungs- und Bereitstellungstools und Anleitungen weiter unten in diesem Bulletin.

Knowledge Base-Artikel

Knowledge Base-Artikel: 2962486
Dateiinformation: Ja
SHA1/SHA2-Hashes: Ja
Bekannte Probleme: Keine

Betroffene und nicht betroffene Software

Die folgende Software wurde getestet, um festzustellen, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.

Betroffene Software

Betriebssystem	Komponente	Maximale Sicherheitsbeeinträchtigung	Bewertung des Aggregierten Schweregrads	Updates ersetzt
Windows Vista
Windows Vista Service Pack 2^[1]	Remoteserververwaltungstools (2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows Vista x64 Edition Service Pack 2^[1]	Remoteserververwaltungstools (2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2^[2](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2008 für x64-basierte Systeme Service Pack 2^[2](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2^[2](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1^[1]	Remoteserververwaltungstools (2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows 7 für x64-basierte Systeme Service Pack 1^[1]	Remoteserververwaltungstools (2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1^[2](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1^[2](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows 8 und Windows 8.1
Windows 8 für 32-Bit-Systeme^[1]	Remoteserververwaltungstools (2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows 8 für x64-basierte Systeme^[1]	Remoteserververwaltungstools (2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows 8.1 für 32-Bit-Systeme^[1]	Remoteserververwaltungstools^[3](2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows 8.1 für 32-Bit-Systeme^[1]	Remoteserver-Verwaltungstools^[4] (2961899)	Erhöhung von Rechten	Wichtig	Keine
Windows 8.1 für x64-basierte Systeme^[1]	Remoteserver-Verwaltungstools^[3](2928120)	Erhöhung von Rechten	Wichtig	Keine
Windows 8.1 für x64-basierte Systeme^[1]	Remoteserver-Verwaltungstools^[4] (2961899)	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012^[2](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2012 R2^[2]^[3](2928120)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine
Windows Server 2012 R2^[2]^[4] (2961899)	Nicht verfügbar	Erhöhung von Rechten	Wichtig	Keine

^[1]Clientsysteme sind nur betroffen, wenn Die Remoteserver-Verwaltungstools installiert wurden.
^[2]Serversysteme sind nur betroffen, wenn Gruppenrichtlinie Management auf dem Server konfiguriert ist.
^[3]Dieses Update ist für Systeme vorgesehen, auf denen das 2919355-Update installiert ist. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Aktualisieren .
^[4]Dieses Update ist für Systeme vorgesehen, auf denen das 2919355 Update nicht installiert ist. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Aktualisieren .

Nicht betroffene Software

Betriebssystem
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows RT
Windows RT 8.1
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
Windows Server 2012 (Server Core-Installation)
Windows Server 2012 R2 (Server Core-Installation)

Häufig gestellte Fragen zum Aktualisieren

Welche Verhaltensänderungen verursacht dieses Update für Gruppenrichtlinie Einstellungen?
Ausführliche Informationen dazu, wie sich das Update Gruppenrichtlinie Verhalten der Einstellungen ändert, finden Sie im Microsoft Knowledge Base-Artikel 2962486.

Warum sind die Updates nur im Microsoft Download Center und im Microsoft Update-Katalog verfügbar?
Microsoft veröffentlicht diese Updates für das Microsoft Download Center und den Microsoft Update-Katalog , damit Kunden so schnell wie möglich mit der Aktualisierung ihrer Systeme beginnen können.

Enthält dieses Update sicherheitsbezogene Änderungen an der Funktionalität?
Ja. Durch das Update wird das Fenster des Gruppenrichtlinie-Verwaltungs-Editors der Gruppenrichtlinie Management Console (GPMC) geändert, indem die Möglichkeit zum Konfigurieren und Verteilen von Kennwörtern mit den folgenden Gruppenrichtlinie Einstellungen entfernt wird:

Lokaler Benutzer und Gruppe
Zugeordnete Laufwerke
Dienste
Geplante Aufgaben (Uplevel)
Geplante Aufgaben (Downlevel)
Sofortige Aufgaben (Uplevel)
Sofortige Aufgaben (Downlevel)
Datenquellen

Für Windows 8.1 und Windows Server 2012 R2 sind mehrere Updates aufgeführt. Muss ich beide Updates installieren?
Nein. Je nachdem, wie Ihr System für den Empfang von Updates konfiguriert ist, gilt nur eines der Updates für eine bestimmte Edition von Windows 8.1 oder Windows Server 2012 R2.

Für Systeme, auf denen Windows 8.1 oder Windows Server 2012 R2 ausgeführt wird:

Das 2928120-Update gilt für Systeme, auf denen das 2919355 Update bereits installiert ist.
Das 2961899-Update gilt für Systeme ohne installiertes 2919355 Update.

Ich verwende Windows 8.1 oder Windows Server 2012 R2. Gibt es eine Voraussetzung für die Installation des 2928120 Updates?
Ja. Kunden, die Windows 8.1- oder Windows Server 2012 R2-Systeme ausführen, müssen zuerst das im April 2014 veröffentlichte 2919355 Update installieren, bevor sie das 2928120 Update installieren. Weitere Informationen zum Erforderlichen Update finden Sie im Microsoft Knowledge Base-Artikel 2919355.

Wie sind Server Core-Installationen von den in diesem Bulletin behandelten Sicherheitsrisiken betroffen?
Die von diesem Update behobenen Sicherheitsrisiken wirken sich nicht auf unterstützte Editionen von Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 oder Windows Server 2012 R2 aus, wie in der Tabelle Nicht betroffene Software angegeben, wenn sie mit der Server Core-Installationsoption installiert werden. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln Verwalten einer Server Core-Installation: Übersicht, Wartung einer Server Core-Installation und Übersicht über die Integration von Server Core und vollständigen Servern.

Ich verwende eine ältere Version der In diesem Security Bulletin beschriebenen Software.   Wie sollte ich vorgehen?
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Releases betroffen sind. Andere Releases haben ihren Supportlebenszyklus hinter sich. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Website Microsoft-Support Lifecycle.

Es sollte für Kunden mit älteren Versionen der Software prioritätsberechtigt sein, zu unterstützten Releases zu migrieren, um potenzielle Sicherheitsrisiken zu vermeiden. Informationen zum Ermitteln des Supportlebenszyklus für Ihr Softwarerelease finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.

Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, ihren Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne , Premier- oder Authorized-Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , wählen Sie das Land in der Liste Kontaktinformationen aus, und klicken Sie dann auf Gehe , um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support-Vertriebsleiter zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Microsoft-Support Lifecycle-Richtlinie.

Schweregradbewertungen und Bezeichner für Sicherheitsrisiken

Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom Mai. Weitere Informationen finden Sie unter Microsoft Exploitability Index.

Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software
Betroffene Software	Sicherheitsanfälligkeit in Gruppenrichtlinie Einstellungen: Kennworterweiterung – CVE-2014-1812	Bewertung des Aggregierten Schweregrads
Windows Vista
Remoteserver-Verwaltungstools bei Installation unter Windows Vista Service Pack 2 (2928120)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation unter Windows Vista x64 Edition Service Pack 2 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows 7
Remoteserver-Verwaltungstools bei Installation unter Windows 7 für 32-Bit-Systeme Service Pack 1 (2928120)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation unter Windows 7 für x64-basierte Systeme Service Pack 1 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows 8 und Windows 8.1
Remoteserver-Verwaltungstools bei Installation unter Windows 8 für 32-Bit-Systeme (2928120)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation unter Windows 8 für x64-basierte Systeme (2928120)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation auf Windows 8.1 für 32-Bit-Systeme (2928120)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation auf Windows 8.1 für 32-Bit-Systeme (2961899)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation auf Windows 8.1 für x64-basierte Systeme (2928120)	Wichtig Rechteerweiterung	Wichtig
Remoteserver-Verwaltungstools bei Installation auf Windows 8.1 für x64-basierte Systeme (2961899)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2012 R2 (2928120)	Wichtig Rechteerweiterung	Wichtig
Windows Server 2012 R2 (2961899)	Wichtig Rechteerweiterung	Wichtig

Sicherheitsanfälligkeit in Gruppenrichtlinie Einstellungen: Kennworterweiterung – CVE-2014-1812

Ein Sicherheitsrisiko aufgrund von Rechteerweiterungen liegt in der Art und Weise vor, wie Active Directory Kennwörter verteilt, die mit Gruppenrichtlinie Einstellungen konfiguriert wurden. Ein authentifizierter Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die Kennwörter entschlüsseln und sie verwenden, um Berechtigungen für die Domäne zu erhöhen.

Informationen zum Anzeigen dieses Sicherheitsrisikos als Standardeintrag in der Liste allgemeiner Sicherheitsrisiken finden Sie unter CVE-2014-1812.

Schadensbegrenzende Faktoren

Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.

Problemumgehungen

Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber dazu beitragen würde, bekannte Angriffsvektoren zu blockieren, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:

Informationen zur Problemumgehung finden Sie im Microsoft Knowledge Base-Artikel 2962486.

Häufig gestellte Fragen

Was ist der Umfang der Sicherheitslücke?
Dies ist eine Sicherheitslücke bei rechteerweiterungen.

Was verursacht das Sicherheitsrisiko?
Die Sicherheitsanfälligkeit wird durch die Art und Weise verursacht, wie Active Directory Kennwörter verteilt, die mit Gruppenrichtlinie Einstellungen konfiguriert wurden.

Was sind Gruppenrichtlinie Einstellungen?
Gruppenrichtlinie Einstellungen umfassen mehr als 20 neue Gruppenrichtlinie-Erweiterungen, die den Bereich der konfigurierbaren Einstellungen innerhalb eines Gruppenrichtlinie-Objekts (GPO) erweitern. Diese neuen Erweiterungen sind im Fenster Gruppenrichtlinie Management Editor der Gruppenrichtlinie Management Console (GPMC) unter dem neuen Element Einstellungen enthalten. Beispiele für die neuen Gruppenrichtlinie Einstellungserweiterungen sind Ordneroptionen, zugeordnete Laufwerke, Drucker, geplante Aufgaben, Dienste und Startmenüeinstellungen. Weitere Informationen zu Gruppenrichtlinie Einstellungen finden Sie im Leitfaden Gruppenrichtlinie Einstellungen Erste Schritte.

Was kann ein Angreifer mit der Sicherheitsanfälligkeit tun?
Ein authentifizierter Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann neue lokale Anmeldeinformationen oder Domänenadministratoranmeldeinformationen abrufen und diese verwenden, um Berechtigungen für die Domäne zu erhöhen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollständigen Administratorrechten.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Um die Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer zunächst Zugriff auf ein authentifizierte Benutzerkonto in der Domäne erhalten. Wenn ein Gruppenrichtlinienobjekt mit Gruppenrichtlinie Einstellungen konfiguriert ist, um ein lokales Administratorkennwort festzulegen oder Anmeldeinformationen zum Zuordnen eines Netzlaufwerks zu definieren, eine Aufgabe zu planen oder den Ausführungskontext eines Diensts zu konfigurieren, kann ein Angreifer das mit Gruppenrichtlinie Einstellungen gespeicherte Kennwort abrufen und entschlüsseln.

Welche Systeme sind in erster Linie durch die Sicherheitslücke gefährdet?
Server, die als Domänencontroller fungieren, sind höchstens gefährdet, dass diese Sicherheitsanfälligkeit ausgenutzt wird.

Was bewirkt das Update?
Das Update entfernt die Möglichkeit zum Konfigurieren und Verteilen von Kennwörtern mithilfe der folgenden Gruppenrichtlinie-Einstellungenerweiterungen.

Konfigurieren von Zuordnungslaufwerken
Konfigurieren von lokalen Benutzern und Gruppen
Konfigurieren geplanter Aufgaben
Konfigurieren von Diensten
Konfigurieren von Datenquellen

Zusätzliche Aktion erforderlich: Beachten Sie, dass durch das Update keine vorhandenen Gruppenrichtlinienobjekte entfernt werden, die vor der Anwendung dieses Sicherheitsupdates konfiguriert wurden. Kunden mit vorhandenen Gruppenrichtlinienobjekten, die mit den identifizierten Gruppenrichtlinie Einstellungen konfiguriert wurden, sollten dieses Risiko aus ihrer Domänenumgebung entfernen. Weitere Informationen finden Sie im Knowledge Base-Artikel 2962486 .

Wurde dieses Sicherheitsrisiko zum Zeitpunkt der Veröffentlichung dieses Sicherheitsbulletins öffentlich gemacht?
Ja. Dieses Sicherheitsrisiko wurde öffentlich bekannt gemacht. Ihr wurde die Nummer "Allgemeine Sicherheitsanfälligkeit CVE-2014-1812" zugewiesen.

Hat Microsoft bei der Ausgabe dieses Sicherheitsbulletins Berichte erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Ja. Microsoft ist sich der gezielten Angriffe bewusst, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.

Erkennungs- und Bereitstellungstools und Anleitungen

Verwalten Sie die Software- und Sicherheitsupdates, die Sie auf den Servern, Desktop- und mobilen Systemen in Ihrem organization bereitstellen müssen. Weitere Informationen finden Sie im TechNet Update Management Center. Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Sicherheitsupdates sind im Microsoft Download Center verfügbar. Sie können sie am einfachsten finden, indem Sie eine Schlüsselwort (keyword) nach "Sicherheitsupdate" suchen.

Schließlich können Sicherheitsupdates aus dem Microsoft Update-Katalog heruntergeladen werden. Der Microsoft Update-Katalog bietet einen durchsuchbaren Katalog von Inhalten, die über Windows Update und Microsoft Update zur Verfügung gestellt werden, einschließlich Sicherheitsupdates, Treibern und Service Packs. Wenn Sie mithilfe der Nummer des Sicherheitsbulletins (z. B. "MS14-001") suchen, können Sie ihrem Warenkorb alle relevanten Updates hinzufügen (einschließlich verschiedener Sprachen für ein Update) und in den Ordner Ihrer Wahl herunterladen. Weitere Informationen zum Microsoft Update-Katalog finden Sie unter Häufig gestellte Fragen zum Microsoft Update-Katalog.