Microsoft Security Bulletin MS16-100 – Wichtig

  • Artikel

Sicherheitsupdate für den sicheren Start (3179577)

Veröffentlicht: 9. August 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Umgehung von Sicherheitsfeatures ermöglichen, wenn ein Angreifer einen betroffenen Start-Manager installiert und Windows-Sicherheitsfeatures umgeht.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 und Windows 10 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Bewertungen betroffener Software und Schweregrad für Sicherheitsrisiken .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem betroffene Start-Manager in die Blacklist gesetzt werden. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3179577.

Schweregrad der betroffenen Software und Bewertungen des Sicherheitsrisikos

Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index in der Zusammenfassung des Bulletins Aug.

Betriebssystem Sicherheitsrisiko bei Der Sicherheitsfeatureumgehung – CVE-2016-3320 Updates ersetzt*
Windows 8.1
Windows 8.1 für 32-Bit-Systeme (3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows 8.1 für x64-basierte Systeme (3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows Server 2012 R2 (3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows RT 8.1
Windows RT 8.1[1](3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows 10
Windows 10 für 32-Bit-Systeme[2](3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows 10 für x64-basierte Systeme[2](3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows 10 Version 1511 für 32-Bit-Systeme[2](3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows 10 Version 1511 für x64-basierte Systeme[2](3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Server Core-Installationsoption
Windows Server 2012 (Server Core-Installation) (3172729) Wichtig Umgehung von Sicherheitsfeatures Keine
Windows Server 2012 R2 (Server Core-Installation) (3172729) Wichtig Umgehung von Sicherheitsfeatures Keine

[1]Dieses Update ist nur über Windows Update verfügbar.

[2]Windows 10 Updates sind kumulativ. Das monatliche Sicherheitsrelease enthält alle Sicherheitskorrekturen für Sicherheitsrisiken, die sich auf Windows 10 auswirken, zusätzlich zu nicht sicherheitsrelevanten Updates. Die Updates sind über den Microsoft Update-Katalog verfügbar.

*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der KB-Nummer des Updates, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails).

Hinweis Die in diesem Bulletin beschriebene Sicherheitsanfälligkeit betrifft Windows Server 2016 Technical Preview 5. Um vor dem Sicherheitsrisiko geschützt zu sein, empfiehlt Microsoft Kunden, die dieses Betriebssystem ausführen, das aktuelle Update anzuwenden, das über Windows Update verfügbar ist. 

Informationen zu Sicherheitsrisiken

Sicherheitsrisiko bei Der Sicherheitsfeatureumgehung – CVE-2016-3320

Eine Sicherheitslücke zur Umgehung von Sicherheitsfeatures liegt vor, wenn Windows Secure Boot einen Start-Manager, der von der Sicherheitsanfälligkeit betroffen ist, falsch lädt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Codeintegritätsprüfungen deaktivieren, sodass testsignierte ausführbare Dateien und Treiber auf ein Zielgerät geladen werden können. Darüber hinaus könnte der Angreifer die Überprüfung der Sicherheitsintegrität für BitLocker und Geräteverschlüsselung umgehen.

Um die Sicherheitsanfälligkeit auszunutzen, kann ein Angreifer, der Administratorrechte erworben hat oder physischen Zugriff auf ein Zielgerät hat, einen betroffenen Start-Manager installieren. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem betroffene Start-Manager in die Blacklist gesetzt werden.

Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:

Titel der Sicherheitslücke CVE-Nummer Öffentlich zugänglich gemacht Genutzt
Sicherheitsrisiko bei Umgehung des Sicherheitsfeatures für den sicheren Start CVE-2016-3320 Nein Nein

Schadensbegrenzende Faktoren

Die folgenden Milderungsfaktoren können in Ihrer Situation hilfreich sein:

  • Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer entweder über Administratorrechte oder physischen Zugriff auf das Zielgerät verfügen.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

  • Konfigurieren von BitLocker für die Verwendung des TPM (Trusted Platform Module)+PIN-Schutzes

    Aktivieren Sie zum Aktivieren der TPM- und PIN-Schutzvorrichtung die erweiterte Schutzgruppenrichtlinie wie folgt:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK, um den Lokalen Gruppenrichtlinie-Editor zu öffnen.
    2. Navigieren Sie unter Richtlinie für lokale Computer zu Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselung>Betriebssysteme.
    3. Doppelklicken Sie im rechten Bereich auf Zusätzliche Authentifizierung beim Start erforderlich.
    4. Klicken Sie im angezeigten Dialogfeld auf Aktiviert.
    5. Wählen Sie unter Optionendie Option TPM anfordern und Start-PIN mit TPM anfordern aus.
    6. Klicken Sie auf Übernehmen, und beenden Sie den Editor für lokale Gruppenrichtlinie.
    7. Öffnen Sie die Eingabeaufforderung mit Administratorrechten.
    8. Geben Sie den folgenden Befehl ein:
            manage-bde -protectors -add c: <or os="OS" volume="volume" letter="letter">-tpmandpin
  1. Wenn Sie zur Eingabe einer PIN aufgefordert werden, geben Sie eine 4- oder 6-stellige PIN ein.
  2. Starten Sie das System neu.

**Auswirkungen der Problemumgehung. **

Der Benutzer muss die PIN bei jedem Neustart des Computers eingeben.

Rückgängigmachen der Problemumgehung

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK, um den Lokalen Gruppenrichtlinie-Editor zu öffnen.
  2. Navigieren Sie unter Lokale Computerrichtlinie zu Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselungs-Betriebssystemlaufwerke>.
  3. Doppelklicken Sie im rechten Bereich auf "Zusätzliche Authentifizierung beim Start erforderlich".
  4. Klicken Sie im daraufhin angezeigten Dialogfeld auf Aktiviert.
  5. Wählen Sie unter Optionen die Option TPM zulassen und Start-PIN mit TPM zulassen aus.
  6. Klicken Sie auf Anwenden, und beenden Sie den Editor für lokale Gruppenrichtlinie.
  7. Starten Sie das System neu.  

  • Deaktivieren des Integritätsschutzes für den sicheren Start von BitLocker

    Um den sicheren Start zu deaktivieren, müssen Sie die einzelnen Schritte in der richtigen Reihenfolge ausführen.

  1. BitLocker deaktivieren
    1. Öffnen Sie Systemsteuerung, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.
    2. Klicken Sie auf BitLocker deaktivieren.
    3. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf BitLocker deaktivieren.
    4. Beenden Sie Systemsteuerung.
  2. Deaktivieren des sicheren Starts
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK, um den Lokalen Gruppenrichtlinie-Editor zu öffnen.
    2. Navigieren Sie unter Lokale Computerrichtlinie zu Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselungs-Betriebssystemlaufwerke>.
    3. Doppelklicken Sie auf Sicheren Start für die Integritätsüberprüfung zulassen.
    4. Klicken Sie im daraufhin angezeigten Dialogfeld auf Deaktiviert.
    5. Klicken Sie auf Anwenden, und beenden Sie den Editor für lokale Gruppenrichtlinie.
  3. Erneutes Aktivieren von BitLocker
    1. Öffnen Sie Systemsteuerung, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.
    2. Klicken Sie auf BitLocker aktivieren.
    3. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf BitLocker aktivieren.
    4. Beenden Sie Systemsteuerung.

Auswirkungen der Problemumgehung. 

Das Deaktivieren des sicheren Start kann dazu führen, dass Systeme häufiger in den BitLocker-Wiederherstellungsmodus wechseln, wenn Sie Firmwareversionen oder BCD-Einstellungen aktualisieren.

Rückgängigmachen der Problemumgehung 

  1. BitLocker deaktivieren
    1. Öffnen Sie Systemsteuerung, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.
    2. Klicken Sie auf BitLocker deaktivieren.
    3. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf BitLocker deaktivieren.
    4. Beenden Sie Systemsteuerung.
  2. Sicherer Start muss aktiviert sein
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK, um den Lokalen Gruppenrichtlinie-Editor zu öffnen.
    2. Navigieren Sie unter Lokale Computerrichtlinie zu Administrative Vorlagen>Windows-Komponenten>BitLocker-Laufwerkverschlüsselungs-Betriebssystemlaufwerke>.
    3. Doppelklicken Sie auf Sicheren Start für die Integritätsüberprüfung zulassen.
    4. Klicken Sie im daraufhin angezeigten Dialogfeld auf Aktiviert.
    5. Klicken Sie auf Anwenden, und beenden Sie den Editor für lokale Gruppenrichtlinie.
  3. Erneutes Aktivieren von BitLocker
    1. Öffnen Sie Systemsteuerung, und klicken Sie dann auf BitLocker-Laufwerkverschlüsselung.
    2. Klicken Sie auf BitLocker aktivieren.
    3. Klicken Sie im Dialogfeld BitLocker-Laufwerkverschlüsselung auf BitLocker aktivieren.
    4. Beenden Sie Systemsteuerung.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Executive Summary verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

Seite generiert 2016-08-09 12:52-07:00.