Microsoft Security Bulletin MS16-017 – Wichtig

Sicherheitsupdate für Remotedesktopanzeigetreiber zum Adressieren der Rechteerweiterung (3134700)

Veröffentlicht: 9. Februar 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann rechteerweiterungen ermöglichen, wenn sich ein authentifizierter Angreifer mithilfe von RDP beim Zielsystem anmeldet und speziell gestaltete Daten über die Verbindung sendet. Standardmäßig ist RDP unter keinem Windows-Betriebssystem aktiviert. Systeme, für die RDP nicht aktiviert ist, sind nicht gefährdet.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows 7, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 und Windows 10 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verarbeitet. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3134700.

 

Bewertungen des Schweregrads der betroffenen Software und der Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom Februar.

 

Betriebssystem Sicherheitsanfälligkeit in Remotedesktopprotokoll (RDP) bezüglich der Rechteerweiterung – CVE-2016-0036 Updates ersetzt*
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 (3126446)[1] Wichtig Rechteerweiterung 3069762 in MS15-067
Windows 7 für x64-basierte Systeme Service Pack 1 (3126446)[1] Wichtig Rechteerweiterung 3069762 in MS15-067
Windows 8.1
Windows 8.1 für 32-Bit-Systeme (3126446) Wichtig Rechteerweiterung 3035017 in MS15-030
Windows 8.1 für x64-basierte Systeme (3126446) Wichtig Rechteerweiterung 3035017 in MS15-030
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (3126446) Wichtig Rechteerweiterung 3067904 in MS15-067
Windows Server 2012 R2 (3126446) Wichtig Rechteerweiterung 3035017 in MS15-030
Windows 10
Windows 10 für 32-Bit-Systeme[2](3135174) Wichtig Rechteerweiterung 3124266
Windows 10 für x64-basierte Systeme[2](3135174) Wichtig Rechteerweiterung 3124266
Server Core-Installationsoption
Windows Server 2012 (Server Core-Installation) (3126446) Wichtig Rechteerweiterung 3067904 in MS15-067
Windows Server 2012 R2 (Server Core-Installation) (3126446) Wichtig Rechteerweiterung 3035017 in MS15-030

[1]Die Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Aktualisieren.

[2]Windows 10 Updates sind kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthalten sie auch alle Sicherheitsupdates für alle Windows 10 betroffenen Sicherheitsrisiken, die im monatlichen Sicherheitsrelease enthalten sind. Das Update ist über den Windows Update-Katalog verfügbar.

*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu ersetzten Updates finden Sie auf der Registerkarte Paketdetails).

Häufig gestellte Fragen zum Aktualisieren

Welche Editionen von Windows 7 sind betroffen?
Die Enterprise- und Ultimate-Editionen von Windows 7 sind betroffen. Alle unterstützten Editionen von Windows 7 sind betroffen, wenn RDP 8.0 auf dem System installiert ist. Für Kunden, die RDP 8.0 auf lokalen Systemen ausführen, die die neuen serverseitigen Features in RDP 8.0 nicht benötigen, empfiehlt Microsoft, ein Upgrade auf RDP 8.1 durchzuführen und das 3126446-Update nicht anzuwenden (oder zu entfernen).

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Remotedesktopprotokoll (RDP) bezüglich der Rechteerweiterung – CVE-2016-0036

Im Remotedesktopprotokoll (RDP) liegt eine Sicherheitsanfälligkeit bezüglich der Rechteerweiterung vor, wenn sich ein Angreifer mithilfe von RDP beim Zielsystem anmeldet und speziell gestaltete Daten über die authentifizierte Verbindung sendet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Code mit erhöhten Rechten ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Um diese Sicherheitsanfälligkeit auszunutzen, muss sich ein Angreifer zunächst mithilfe des Remotedesktopprotokolls (RDP) beim Zielsystem anmelden. Ein Angreifer könnte dann eine speziell gestaltete Anwendung ausführen, die zum Erstellen der Absturzbedingung konzipiert ist, die zu erhöhten Berechtigungen führt. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie RDP Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:

Titel der Sicherheitslücke CVE-Nummer Öffentlich bekannt gemacht Genutzt
Remotedesktopprotokoll (RDP) Sicherheitsrisiko bei der Erhöhung von Berechtigungen CVE-2016-0036 Nein Nein

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

  • Deaktivieren von RDP

    So deaktivieren Sie RDP mithilfe von Gruppenrichtlinie

    1. Gruppenrichtlinie öffnen

    2. Doppelklicken Sie unter Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, Terminaldienste auf die Einstellung Ermöglicht die Remoteverbindung von Benutzern mithilfe von Terminaldiensten .

    3. Führen Sie einen der folgenden Schritte aus:

      • Klicken Sie zum Aktivieren von Remotedesktop auf Aktiviert.
      • Klicken Sie zum Deaktivieren des Remotedesktops auf Deaktiviert.

      Wenn Sie Remotedesktop deaktivieren, während Benutzer mit den Zielcomputern verbunden sind, behalten die Computer ihre aktuellen Verbindungen bei, akzeptieren jedoch keine neuen eingehenden Verbindungen.

    Wichtig Wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote am Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können, und sie dann manuell der Gruppe Remotedesktopbenutzer hinzufügen. Weitere Informationen finden Sie unter Aktivieren einer Remoteverbindung mit dem Server und Hinzufügen von Benutzern zur Gruppe Remotedesktopbenutzer.

    Sie sollten alle Änderungen, die Sie an Gruppenrichtlinie Einstellungen vornehmen, gründlich testen, bevor Sie sie auf Benutzer oder Computer anwenden. Weitere Informationen zum Testen von Richtlinieneinstellungen finden Sie unter Resultierender Richtliniensatz.

    Hinweis:

    • Um diese Schritte auszuführen, müssen Sie Mitglied der Gruppe "Administratoren" auf dem lokalen Computer sein, oder die entsprechende Berechtigung muss an Sie delegiert worden sein. Wenn der Computer zu einer Domäne gehört, können möglicherweise Mitglieder der Gruppe "Domänen-Admins" dieses Verfahren ausführen. Als bewährte Sicherheitsmethode sollten Sie zum Ausführen dieser Schritte den Befehl %%amp;quot;Ausführen als%%amp;quot; verwenden.
    • Verwenden Sie das obige Verfahren, um das lokale Gruppenrichtlinie-Objekt zu konfigurieren. Um eine Richtlinie für eine Domäne oder Organisationseinheit zu ändern, müssen Sie sich beim primären Domänencontroller als Administrator anmelden. Anschließend müssen Sie Gruppenrichtlinie mithilfe des Snap-Ins Active Directory-Benutzer und -Computer starten.
    • Wenn die Einstellung Remoteverbindung von Benutzern mithilfe von Terminaldiensten Gruppenrichtlinie zulassen auf Nicht konfiguriert festgelegt ist, hat die Einstellung Remotedesktop auf diesem Computer aktivieren (auf der Registerkarte Remote des Dialogfelds Systemeigenschaften) auf den Zielcomputern Vorrang. Andernfalls hat die Einstellung Ermöglicht eine Remoteverbindung über Terminaldienste Gruppenrichtlinie Vorrang.
    • Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als säßen sie an der Konsole. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
    • Sie sollten verlangen, dass alle Benutzer, die Remoteverbindungen herstellen, ein sicheres Kennwort verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
    • Remotedesktop ist unter Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.

     So deaktivieren Sie RDP mithilfe von Systemeigenschaften

    1. Öffnen Sie System in Systemsteuerung.
    2. Aktivieren oder deaktivieren Sie auf der Registerkarte Remote das Kontrollkästchen Remotedesktop auf diesem Computer aktivieren , und klicken Sie dann auf OK.

    Wichtig Wenn Sie Remotedesktop auf einem Computer aktivieren, aktivieren Sie die Funktion für andere Benutzer und Gruppen, sich remote am Computer anzumelden. Sie müssen jedoch auch entscheiden, welche Benutzer und Gruppen sich remote anmelden können, und sie dann manuell der Gruppe Remotedesktopbenutzer hinzufügen. Weitere Informationen finden Sie unter Aktivieren einer Remoteverbindung mit dem Server und Hinzufügen von Benutzern zur Gruppe Remotedesktopbenutzer.

    Hinweis:

    • Sie müssen als Mitglied der Gruppe Administratoren angemeldet sein, um Remotedesktop aktivieren oder deaktivieren zu können.
    • Um ein Element der Systemsteuerung zu öffnen, klicken Sie auf Start und auf Systemsteuerung, und doppelklicken Sie dann auf das entsprechende Symbol.
    • Jeder Konfigurationssatz mit Gruppenrichtlinie überschreibt den Konfigurationssatz mithilfe von Systemeigenschaften, wie in diesem Verfahren beschrieben.
    • Beachten Sie die Sicherheitsauswirkungen von Remoteanmeldungen. Benutzer, die sich remote anmelden, können Aufgaben ausführen, als säßen sie an der Konsole. Aus diesem Grund sollten Sie sicherstellen, dass sich der Server hinter einer Firewall befindet. Weitere Informationen finden Sie unter VPN-Server und Firewallkonfiguration und Sicherheitsinformationen für IPSec.
    • Sie sollten verlangen, dass alle Benutzer, die Remoteverbindungen herstellen, ein sicheres Kennwort verwenden. Weitere Informationen finden Sie unter Sichere Kennwörter.
    • Remotedesktop ist unter Windows Server 2003-Betriebssystemen standardmäßig deaktiviert.

Häufig gestellte Fragen

Ist Remotedesktop standardmäßig aktiviert? 
Nein, RDP für die Verwaltung ist standardmäßig nicht aktiviert. Kunden, die RDP nicht aktiviert haben, wird dieses Update jedoch weiterhin angeboten, um den Schutz ihrer Systeme zu gewährleisten. Weitere Informationen zu dieser Konfigurationseinstellung finden Sie im TechNet-Artikel Aktivieren und Konfigurieren von Remotedesktop für die Verwaltung in Windows Server 2003. Beachten Sie, dass dieser Artikel auch für spätere Versionen von Microsoft Windows gilt.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. Februar 2016): Bulletin veröffentlicht.

Seite generiert 2016-02-03 13:33-08:00.