Microsoft Security Bulletin MS15-031 – Wichtig
Sicherheitsrisiko in Schannel kann Umgehung von Sicherheitsfeatures ermöglichen (3046049)
Veröffentlicht: 10. März 2015 | Aktualisiert: 24. März 2015
Version: 1.1
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows, das die Nutzung der öffentlich offengelegten FREAK-Technik erleichtert, ein branchenweites Problem, das nicht für Windows-Betriebssysteme spezifisch ist. Die Sicherheitsanfälligkeit könnte es einem Man-in-the-Middle-Angreifer (MiTM) ermöglichen, die Herabstufung der Schlüssellänge eines RSA-Schlüssels in einer TLS-Verbindung auf EXPORT-Grade-Länge zu erzwingen. Alle Windows-Systeme, die Schannel zum Herstellen einer Verbindung mit einem TLS-Remoteserver mit einer unsicheren Verschlüsselungssammlung verwenden, sind betroffen.
Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Windows als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Verschlüsselungssammlungserzwingungsrichtlinien korrigiert werden, die beim Austausch von Serverschlüsseln zwischen Servern und Clientsystemen verwendet werden. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Dieses Sicherheitsupdate behebt auch die Sicherheitsanfälligkeit, die zuerst in der Microsoft-Sicherheitsempfehlung 3046015 beschrieben wurde.
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3046049.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 2992611 in MS14-066 |
| Windows Server 2003 x64 Edition Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 2992611 in MS14-066 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 2992611 in MS14-066 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Vista x64 Edition Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows 8 für x64-basierte Systeme (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows 8.1 für 32-Bit-Systeme (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | Keine |
| Windows 8.1 für x64-basierte Systeme (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | Keine |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2012 R2 (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | Keine |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[1](3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows RT 8.1[1](3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | Keine |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2012 (Server Core-Installation) (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | 3023562 in MS15-010 |
| Windows Server 2012 R2 (Server Core-Installation) (3046049) | Umgehung einer Sicherheitsfunktion | Wichtig | Keine |
Hinweis Das Update ist für Windows Technical Preview und Windows Server Technical Preview verfügbar. Kunden, die diese Betriebssysteme ausführen, werden empfohlen, das Update anzuwenden, das über Windows Update verfügbar ist.
[1]Dieses Update ist nur über Windows Update verfügbar.
Häufig gestellte Fragen zum Aktualisieren
Nach der Installation des Updates sind EXPORT-Verschlüsselungen unter Windows Server 2003 weiterhin aktiviert. Wie deaktiviere ich sie?
Befolgen Sie zum Deaktivieren der EXPORT-Verschlüsselung auf Windows Server 2003-Systemen die Anleitung im Microsoft Knowledge Base-Artikel 3050509.
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom März.
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Sicherheitsrisiko bei Der Umgehung von Schannel-Sicherheitsfeatures – CVE-2015-1637 | Bewertung des Aggregierten Schweregrads |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2003 x64 Edition Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Vista x64 Edition Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows 8 und Windows 8.1 | ||
| Windows 8 für 32-Bit-Systeme (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows 8 für x64-basierte Systeme (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||
| Windows Server 2012 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2012 R2 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows RT und Windows RT 8.1 | ||
| Windows RT (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows RT 8.1 (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Server Core-Installationsoption | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3046049) | Wichtig Umgehung von Sicherheitsfeatures | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsrisiko bei Umgehung von Schannel-Sicherheitsfeatures – CVE-2015-1637
In Secure Channel (Schannel) liegt ein Sicherheitsrisiko für die Umgehung von Sicherheitsfeatures vor, das durch ein Problem auf dem TLS-Zustandscomputer verursacht wird, bei dem ein Clientsystem einen RSA-Schlüssel mit einer kürzeren Schlüssellänge als die ursprünglich ausgehandelte Schlüssellänge akzeptiert. Die Sicherheitsanfälligkeit erleichtert die Nutzung der öffentlich offengelegten FREAK-Technik, die ein branchenweites Problem ist, das nicht spezifisch für Windows-Betriebssysteme ist.
Bei einem Man-in-the-Middle-Angriff (MiTM) könnte ein Angreifer die Schlüssellänge eines RSA-Schlüssels in einer verschlüsselten TLS-Sitzung auf EXPORT-Grade-Länge herabstufen. Der Angreifer könnte diesen Datenverkehr dann abfangen und entschlüsseln. Alle Windows-Systeme, die eine Verbindung mit einem TLS-Server als Client herstellen, sind betroffen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann MiTM-Angriffe ausführen, die verschlüsselten Datenverkehr entschlüsseln können.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die Verschlüsselungssammlungserzwingungsrichtlinien korrigiert werden, die beim Austausch von Serverschlüsseln zwischen Servern und Clientsystemen verwendet werden.
Dieses Sicherheitsrisiko wurde öffentlich bekannt gemacht. Ihr wurde die Nummer "Allgemeine Sicherheitsanfälligkeit CVE-2015-1637" zugewiesen. Als dieses Bulletin ursprünglich veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass dieses Problem öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Ein Server muss RSA-Schlüsselaustausch-EXPORT-Verschlüsselungen unterstützen, damit ein Angriff erfolgreich ist. Die Verschlüsselungen sind in Standardkonfigurationen von Windows Vista/Server 2008 und höher deaktiviert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Deaktivieren von RSA-Schlüsselaustauschchchiffre mithilfe des Gruppenrichtlinie-Objekt-Editors (nur Windows Vista und höhere Systeme)
Sie können die RSA-Schlüsselaustauschchiffre in Windows Vista und höheren Systemen deaktivieren, indem Sie die SSL Cipher Suite-Reihenfolge im Gruppenrichtlinie-Objekt-Editor ändern.Hinweis Durch die Installation dieses Updates (3046049) werden Systeme vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt. Kunden, die diese Problemumgehung zuvor implementiert haben, müssen die Schritte zum Rückgängigmachen der Problemumgehung ausführen, wenn sie eine der zuvor deaktivierten Verschlüsselungen verwenden möchten.
Um die RSA-Schlüsselaustauschchiffre zu deaktivieren, müssen Sie die Verschlüsselungen angeben, die Windows verwenden soll, indem Sie die folgenden Schritte ausführen:
Geben Sie an einer Eingabeaufforderung gpedit.msc ein, und drücken Sie die EINGABETASTE, um den Gruppenrichtlinie-Objekt-Editor zu starten.
Erweitern Sie Computerkonfiguration, Administrative Vorlagen, Netzwerk, und klicken Sie dann auf SSL-Konfigurationseinstellungen.
Doppelklicken Sie unter SSL-Konfigurationseinstellungen auf SSL Cipher Suite Order.
Klicken Sie im Fenster SSL Cipher Suite Order auf Aktiviert.
Doppelklicken Sie im Bereich Optionen: auf, um den gesamten Inhalt des Felds SSL-Verschlüsselungssammlungen hervorzuheben, und ersetzen Sie den Inhalt durch die folgende Verschlüsselungsliste:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA`Klicken Sie auf OK
Schließen Sie den Gruppenrichtlinie-Objekt-Editor, und starten Sie ihr System neu.
Auswirkungen der Problemumgehung. Windows kann keine Verbindung mit Systemen herstellen, die keine der in der Problemumgehung aufgeführten Verschlüsselungen unterstützen. Informationen dazu, welche Verschlüsselungen für jedes kryptografische Protokoll verfügbar sind, finden Sie unter Cipher Suites in Schannel.
Rückgängigmachen der Problemumgehung Führen Sie die folgenden Schritte aus, um die Richtlinieneinstellung SSL Cipher Suite Order zu deaktivieren:
- Geben Sie an einer Eingabeaufforderung gpedit.msc ein, und drücken Sie die EINGABETASTE, um den Gruppenrichtlinie-Objekt-Editor zu starten.
- Erweitern Sie Computerkonfiguration, Administrative Vorlagen, Netzwerk, und klicken Sie dann auf SSL-Konfigurationseinstellungen.
- Doppelklicken Sie unter SSL-Konfigurationseinstellungen auf SSL Cipher Suite Order.
- Klicken Sie im Fenster SSL Cipher Suite Order auf Deaktiviert , und klicken Sie dann auf OK.
- Schließen Sie den Gruppenrichtlinie-Objekt-Editor, und starten Sie ihr System neu.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
- V1.1 (24. März 2015): Das Bulletin wurde überarbeitet, um eine FAQ-Anleitung für Kunden zum Microsoft Knowledge Base-Artikel hinzuzufügen, 3050509 Anweisungen zum Deaktivieren von EXPORT-Verschlüsselungen nach der Installation des Updates auf Windows Server 2003-Systemen enthält.
Seite generiert 2015-03-23 16:56Z-07:00.