Microsoft Security Bulletin MS15-030 – Wichtig
Sicherheitsanfälligkeit im Remotedesktopprotokoll kann Denial-of-Service (3039976) ermöglichen
Veröffentlicht: 10. März 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann denial-of-Service ermöglichen, wenn ein Angreifer mehrere RDP-Sitzungen (Remote Desktop Protocol) erstellt, die Objekte im Arbeitsspeicher nicht ordnungsgemäß freigeben können. Standardmäßig ist RDP unter keinem Windows-Betriebssystem aktiviert. Systeme, für die RDP nicht aktiviert ist, sind nicht gefährdet.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows 7, Windows 8, Windows Server 2012, Windows 8.1 und Windows Server 2012 R2 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verwaltet. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3039976.
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Betroffene Software
| Betriebssystem | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3035017)[1] | Denial of Service | Wichtig | Keine |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3036493) | Denial of Service | Wichtig | Keine |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3035017)[1] | Denial of Service | Wichtig | Keine |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3036493) | Denial of Service | Wichtig | Keine |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3035017) | Denial of Service | Wichtig | 2965788 in MS14-030 |
| Windows 8 für x64-basierte Systeme (3035017) | Denial of Service | Wichtig | 2965788 in MS14-030 |
| Windows 8.1 für 32-Bit-Systeme (3035017) | Denial of Service | Wichtig | Keine |
| Windows 8.1 für x64-basierte Systeme (3035017) | Denial of Service | Wichtig | Keine |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3035017) | Denial of Service | Wichtig | 2965788 in MS14-030 |
| Windows Server 2012 R2 (3035017) | Denial of Service | Wichtig | Keine |
| Server Core-Installationsoption | |||
| Windows Server 2012 (Server Core-Installation) (3035017) | Denial of Service | Wichtig | 2965788 in MS14-030 |
| Windows Server 2012 R2 (Server Core-Installation) (3035017) | Denial of Service | Wichtig | Keine |
[1]Die Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Aktualisieren.
Häufig gestellte Fragen zum Aktualisieren
Welche Editionen von Windows 7 sind betroffen?
Die Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Für Kunden, die RDP 8.0 auf lokalen Systemen ausführen und die die neuen serverseitigen Features von RDP 8.0 nicht benötigen, empfiehlt Microsoft, ein Upgrade auf RDP 8.1 durchzuführen und das 3035017 Update nicht anzuwenden (oder zu entfernen).
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom März.
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Denial-of-Service-Sicherheitsanfälligkeit im Remotedesktopprotokoll (RDP) – CVE-2015-0079 | Bewertung des Aggregierten Schweregrads |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3036493) | Wichtig Denial-of-Service | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3036493) | Wichtig Denial-of-Service | Wichtig |
| Windows 8 und Windows 8.1 | ||
| Windows 8 für 32-Bit-Systeme (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows 8 für x64-basierte Systeme (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||
| Windows Server 2012 (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows Server 2012 R2 (3035017) | Wichtig Denial-of-Service | Wichtig |
| Server Core-Installationsoption | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3035017) | Wichtig Denial-of-Service | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3035017) | Wichtig Denial-of-Service | Wichtig |
Informationen zu Sicherheitsrisiken
Denial-of-Service-Sicherheitsanfälligkeit im Remotedesktopprotokoll (RDP) – CVE-2015-0079
Ein Denial-of-Service-Sicherheitsrisiko liegt im Remotedesktopprotokoll (RDP) vor, wenn ein Angreifer mehrere RDP-Sitzungen erstellt, die objekte im Arbeitsspeicher nicht ordnungsgemäß freigeben können. Beachten Sie, dass der Denial-of-Service einem Angreifer nicht erlauben würde, Code auszuführen oder seine Benutzerrechte zu erhöhen. Es könnte jedoch verhindern, dass sich legitime Benutzer über Remotedesktop anmelden. Ein nicht authentifizierter Angreifer kann diese Sicherheitsanfälligkeit nutzen, um den Systemspeicher zu belegen, indem er mehrere RDP-Sitzungen erstellt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dazu führen, dass das Zielsystem nicht mehr reagiert. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verwaltet.
Microsoft hat informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Security Bulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Deaktivieren von RDP
So deaktivieren Sie RDP mithilfe von Gruppenrichtlinie
Öffnen sie Gruppenrichtlinie
Doppelklicken Sie unter Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Terminaldienste auf die Einstellung Benutzer können remote über Terminaldienste eine Verbindung herstellen .
Führen Sie einen der folgenden Schritte aus:
Klicken Sie auf Aktiviert, um Remotedesktop zu aktivieren.
Klicken Sie zum Deaktivieren von Remotedesktop auf Deaktiviert.
Wenn Sie Remotedesktop deaktivieren, während Benutzer mit den Zielcomputern verbunden sind, behalten die Computer ihre aktuellen Verbindungen bei, akzeptieren jedoch keine neuen eingehenden Verbindungen.
Wichtig Wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote am Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können, und sie dann manuell der Gruppe Remotedesktopbenutzer hinzufügen. Weitere Informationen finden Sie unter Aktivieren der Remoteverbindung von Benutzern mit dem Server und Hinzufügen von Benutzern zur Gruppe Remotedesktopbenutzer.
Sie sollten alle Änderungen, die Sie an Gruppenrichtlinie Einstellungen vornehmen, gründlich testen, bevor Sie sie auf Benutzer oder Computer anwenden. Weitere Informationen zum Testen von Richtlinieneinstellungen finden Sie unter Ergebnissatz von Richtlinien.
Hinweis:
- Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen. Als bewährte Sicherheitsmethode sollten Sie zum Ausführen dieser Schritte den Befehl %%amp;quot;Ausführen als%%amp;quot; verwenden.
- Verwenden Sie das obige Verfahren, um das lokale Gruppenrichtlinie-Objekt zu konfigurieren. Um eine Richtlinie für eine Domäne oder Organisationseinheit zu ändern, müssen Sie sich beim primären Domänencontroller als Administrator anmelden. Anschließend müssen Sie Gruppenrichtlinie mithilfe des Snap-Ins Active Directory-Benutzer und -Computer starten.
- Wenn die Einstellung Benutzern das Herstellen einer Remoteverbindung mithilfe von Terminaldiensten ermöglicht Gruppenrichtlinie auf Nicht konfiguriert festgelegt ist, hat die Einstellung Remotedesktop auf diesem Computer aktivieren (auf der Registerkarte Remote des Dialogfelds Systemeigenschaften) auf den Zielcomputern Vorrang. Andernfalls hat die Einstellung Benutzern das Herstellen einer Remoteverbindung mithilfe von Terminaldiensten Gruppenrichtlinie Vorrang.
- Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als säßen sie an der Konsole. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
- Sie sollten verlangen, dass alle Benutzer, die Remoteverbindungen herstellen, ein sicheres Kennwort verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
- Remotedesktop ist unter Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.
So deaktivieren Sie RDP mithilfe von Systemeigenschaften
Öffnen Sie System in Systemsteuerung.
Aktivieren oder deaktivieren Sie auf der Registerkarte Remote das Kontrollkästchen Remotedesktop auf diesem Computer aktivieren , und klicken Sie dann auf OK.
Wichtig Wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote am Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können, und sie dann manuell der Gruppe Remotedesktopbenutzer hinzufügen. Weitere Informationen finden Sie unter Aktivieren der Remoteverbindung von Benutzern mit dem Server und Hinzufügen von Benutzern zur Gruppe Remotedesktopbenutzer.
Hinweis:
- Sie müssen als Mitglied der Gruppe Administratoren angemeldet sein, um Remotedesktop aktivieren oder deaktivieren zu können.
- Um ein Element der Systemsteuerung zu öffnen, klicken Sie auf Start und auf Systemsteuerung, und doppelklicken Sie dann auf das entsprechende Symbol.
- Jeder Konfigurationssatz mit Gruppenrichtlinie überschreibt den Konfigurationssatz mithilfe von Systemeigenschaften, wie in diesem Verfahren beschrieben.
- Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als säßen sie an der Konsole. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
- Sie sollten verlangen, dass alle Benutzer, die Remoteverbindungen herstellen, ein sicheres Kennwort verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
- Remotedesktop ist unter Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.
Häufig gestellte Fragen
Ist Remotedesktop standardmäßig aktiviert?
Nein, RDP für die Verwaltung ist standardmäßig nicht aktiviert. Kunden, die RDP nicht aktiviert haben, wird dieses Update jedoch weiterhin angeboten, um den Schutz ihrer Systeme zu gewährleisten. Weitere Informationen zu dieser Konfigurationseinstellung finden Sie im TechNet-Artikel Aktivieren und Konfigurieren von Remotedesktop für die Verwaltung in Windows Server 2003. Beachten Sie, dass dieser Artikel auch für spätere Versionen von Microsoft Windows gilt.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
Seite generiert am 08.03.2015 9:11Z-07:00.