Microsoft Security Bulletin MS15-062 – Hoch

Sicherheitsanfälligkeit in Active Directory-Verbunddiensten kann die Erhöhung von Berechtigungen ermöglichen (3062577)

Veröffentlicht: 9. Juni 2015

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Active Directory-Verbunddiensten (AD FS). Die Sicherheitsanfälligkeit kann Rechteeweiterungen ermöglichen, wenn ein Angreifer eine speziell gestaltete URL an eine Zielwebsite sendet. Aufgrund der Sicherheitsanfälligkeit wird das speziell gestaltete Skript in bestimmten Situationen nicht richtig bereinigt. Dies kann dazu führen, dass das vom Angreifer bereitgestellte Skript im Sicherheitskontext eines Benutzers ausgeführt wird, der die schädlichen Inhalte anzeigt. Bei Angriffen bezüglich siteübergreifender Skripterstellung muss ein Benutzer eine schädliche Website besuchen, damit schädliche Aktionen auftreten.

Dieses Sicherheitsupdate wird für Active Directory-Verbunddienste 2.0 und Active Directory-Verbunddienste 2.1 als Hoch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie AD FS die HTML-Codierung von HTTP-Antworten verarbeiten. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3062577.

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln. 

**Betriebssystem** **Komponente** **Maximale Sicherheitsauswirkung** **Bewertung des Gesamtschweregrads** **Ersetzte Updates**\*
**Windows Server 2008**
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Active Directory-Verbunddienste 2.0](https://www.microsoft.com/de-de/download/details.aspx?id=47399) (3062577) Erhöhung von Berechtigungen Hoch 3062577 in [MS14-077](https://technet.microsoft.com/de-de/library/security/ms14-077)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Active Directory-Verbunddienste 2.0](https://www.microsoft.com/de-de/download/details.aspx?id=47403) (3062577) Erhöhung von Berechtigungen Hoch 3062577 in [MS14-077](https://technet.microsoft.com/de-de/library/security/ms14-077)
**Windows Server 2008 R2**
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 [Active Directory-Verbunddienste 2.0](https://www.microsoft.com/de-de/download/details.aspx?id=47408) (3062577) Erhöhung von Berechtigungen Hoch 3062577 in [MS14-077](https://technet.microsoft.com/de-de/library/security/ms14-077)
**Windows Server 2012**
Windows Server 2012 [Active Directory-Verbunddienste 2.1](https://www.microsoft.com/de-de/download/details.aspx?id=47410) (3062577) Erhöhung von Berechtigungen Hoch 3062577 in [MS14-077](https://technet.microsoft.com/de-de/library/security/ms14-077)
\*Die Spalte „Ersetzte Updates‟ enthält nur das letzte Update einer Reihe ersetzter Updates. Eine umfassende Liste der ersetzten Updates finden Sie, wenn Sie zum [Microsoft Update-Katalog](https://catalog.update.microsoft.com/v7/site/home.aspx) wechseln, nach der Update-KB-Nummer suchen und dann die Updatedetails betrachten (die Informationen zu ersetzten Updates befinden sich auf der Registerkarte „Paketdetails‟).

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeiten

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Juni.

**Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software**
**Betroffene Software** [**Sicherheitsanfälligkeit in ADFS bezüglich der Erhöhung von Berechtigungen und siteübergreifender Skripterstellung – CVE-2015-1757**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1757) **Bewertung des Gesamtschweregrads**
**Windows Server 2008**
Active Directory-Verbunddienste 2.0, wenn unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 installiert **Hoch**  Erhöhung von Berechtigungen **Hoch**
Active Directory-Verbunddienste 2.0, wenn unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 installiert **Hoch**  Erhöhung von Berechtigungen **Hoch**
**Windows Server 2008 R2**
Active Directory-Verbunddienste 2.0, wenn unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 installiert **Hoch**  Erhöhung von Berechtigungen **Hoch**
**Windows Server 2012**
Active Directory-Verbunddienste 2.1, wenn unter Windows Server 2012 installiert **Hoch**  Erhöhung von Berechtigungen **Hoch**

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit in ADFS bezüglich der Erhöhung von Berechtigungen und siteübergreifender Skripterstellung – CVE-2015-1757

Es liegt eine Sicherheitsanfälligkeit in der Art und Weise vor, wie URLs in Active Directory-Verbunddiensten (AD FS) bereinigt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Angriffe durch siteübergreifender Skripterstellung durchführen und Skripts im Sicherheitskontext des angemeldeten Benutzers ausführen.

Um diese Sicherheitsanfälligkeit ausnutzen zu können, muss ein Angreifer die Möglichkeit haben, ein speziell gestaltetes Skript an eine Zielwebsite zu senden. Aufgrund der Sicherheitsanfälligkeit wird das speziell gestaltete Skript in bestimmten Situationen nicht richtig bereinigt. Dies kann dazu führen, dass das vom Angreifer bereitgestellte Skript im Sicherheitskontext eines Benutzers ausgeführt wird, der die schädlichen Inhalte anzeigt. Bei Angriffen bezüglich siteübergreifender Skripterstellung muss ein Benutzer eine schädliche Website besuchen, damit schädliche Aktionen auftreten. Nachdem z. B. ein Angreifer erfolgreich eine speziell gestaltete URL an die Website, die angegriffen werden soll, gesendet hat, ist jede Webseite auf dieser Website, die die speziell gestaltete URL enthält, ein potenzieller Vektor für Angriffe bezüglich siteübergreifender Skripterstellung. Wenn ein Benutzer eine Webseite besucht, die die speziell gestaltete URL enthält, kann das Skript im Sicherheitskontext des Benutzers ausgeführt werden.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie AD FS die HTML-Codierung von HTTP-Antworten verarbeiten.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins lagen Microsoft keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Die folgenden Problemumgehungen könnten hilfreich für Sie sein:

  • Verwenden einer Webanwendungs-Firewall zum Blockieren verdächtiger Anforderungen

    Verwenden einer Webanwendungs-Firewall (WAF) zum Blockieren von Anforderungen an /adfs/ls, bei denen der Abfrageparameter "wct" HTML-Markup oder JavaScript-Code enthält.

    Beispiel:

    /adfs/ls/?wa=wsignin1.0&wtrealm=https%3a%2f%2fsomesite.example.com%2fRefinishUserAdmin%2f&wctx=rm%3d0%26id%3dpassive%26ru%3d%252fRefinishUserAdmin%252f%253fwhr%253dhttp%253a%252f%252fsso.example.com%252fadfs%252fservices%252ftrust&wct=2014-12-11T07%3a20%3a58Z78b0f<script>alert("hello")<%2fscript>b032e&whr=http%3a%2f%2fsso.example.com%2fadfs%2fservices%2ftrust
    

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (9. Juni 2015): Bulletin veröffentlicht.

Seite generiert am 03.06.2015 um 11:32Z-07:00.