Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Netzwerk-DDE-Agent-Anforderungen können die Ausführung von Code im Systemkontext ermöglichen.
Veröffentlicht: 05. Februar 2001 | Aktualisiert: 10. Juli 2003
Version: 2.2
Ursprünglich gepostet: 05. Februar 2001
Aktualisiert: 10. Juli 2003
Zusammenfassung
Wer sollte dieses Bulletin lesen:
Systemadministratoren, die Microsoft® Windows® 2000-Server oder Arbeitsstationen verwenden.
Auswirkungen der Sicherheitsanfälligkeit:
Rechteerweiterung
Empfehlung:
Systemadministratoren sollten den Patch auf allen Windows 2000 installieren, auf denen nicht privilegierte Benutzer Programme laden und ausführen dürfen, und erwägen Sie, es auf alle Windows 2000-Webserver als Vorsichtsmaßnahme anzuwenden.
Betroffene Software:
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
Allgemeine Informationen
Technische Details
Technische Beschreibung:
Network Dynamic Data Exchange (DDE) ist eine Technologie, die Anwendungen auf verschiedenen Windows-Computern die dynamische Freigabe von Daten ermöglicht. Diese Freigabe erfolgt über Kommunikationskanäle, die als vertrauenswürdige Freigaben bezeichnet werden, die von einem Dienst namens Network DDE Agent verwaltet werden. Im Entwurf können Prozesse auf dem lokalen Computer Anforderungen an den Netzwerk-DDE-Agent erheben, einschließlich derEr, die angeben, welche Anwendung in Verbindung mit einer bestimmten vertrauenswürdigen Freigabe ausgeführt werden soll. Es besteht jedoch eine Sicherheitslücke, da in Windows 2000 der Netzwerk-DDE-Agent mit dem Sicherheitskontext des lokalen Systems ausgeführt wird und alle Anforderungen mithilfe dieses Kontexts verarbeitet und nicht mit dem des Benutzers. Dies würde einem Angreifer die Möglichkeit geben, den Netzwerk-DDE-Agent dazu zu bringen, Code ihrer Wahl im Kontext des lokalen Systems auszuführen, um die vollständige Kontrolle über den lokalen Computer zu erlangen.
Microsoft empfiehlt Kunden, windows 2000-Arbeitsstationen zu verwenden oder nicht privilegierten Benutzern das Ausführen von Code auf Windows 2000-Servern zu ermöglichen, den Patch sofort anzuwenden. Darüber hinaus sollten Kunden, die Windows 2000-Webserver ausführen, den Patch auch auf diese Computer anwenden, sowie eine Vorsorgemaßnahme. Wenn ein Angreifer in der Lage war, Code in einem eingeschränkten Kontext auf einem Webserver über eine andere Sicherheitsanfälligkeit auszuführen, würde diese Sicherheitsanfälligkeit eine Möglichkeit bieten, ihre Berechtigungen sofort zu erhöhen und umfassendere Schäden zu verursachen.
Mildernde Faktoren:
- Um diese Sicherheitsanfälligkeit auszunutzen, benötigt der Angreifer die Möglichkeit, ein Programm auf einem betroffenen Computer auszuführen, der die entsprechenden Anforderungen erheben würde. Bewährte Methoden empfehlen jedoch dringend, niemals zuzulassen, dass nicht privilegierte Benutzer Code auf sicherheitskritischen Computern wie do Standard Controllern und anderen Servern ausführen können. Wenn diese Empfehlungen befolgt wurden, wären solche Computer nicht gefährdet.
- Arbeitsstationen und Terminalserver sind wahrscheinlich die Computer, die hauptsächlich von der Sicherheitsanfälligkeit betroffen sind. Dies würde dazu neigen, den Schaden zu begrenzen, der über diese Sicherheitsanfälligkeit durchgeführt werden könnte, da in den meisten Fällen sogar die vollständige Kontrolle über einen beliebigen Computertyp keine zusätzlichen Berechtigungen auf der Do Standard vermittelt würde.
Sicherheitsrisikobezeichner:CAN-2001-0015
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Sicherheitslücke zur Rechteerweiterung . Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, um Befehle und Programme mit den Rechten des Betriebssystems selbst auszuführen. Dies würde es ihr ermöglichen, praktisch jede Aktion zu ergreifen, die sie auf der betroffenen Maschine wünschte.
Es gibt zwei erhebliche Einschränkungen für den Umfang der Sicherheitsanfälligkeit:
- Es konnte nur von einem Angreifer ausgenutzt werden, der die Möglichkeit hatte, Code ihrer Wahl auf dem betroffenen Computer auszuführen. Wenn bewährte Methoden befolgt wurden und nicht privilegierte Benutzer Code auf Servern und anderen sicherheitskritischen Computern ausführen dürfen, würde die Sicherheitsanfälligkeit nur für Arbeitsstationen oder Terminalserver ein Risiko darstellen.
- Selbst wenn sie die vollständige Kontrolle über eine Arbeitsstation oder einen Terminalserver erhalten, würden keine erhöhten Rechte an der Do Standard.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsrisikoergebnisse, da ein auf dem lokalen Computer ausgeführter Prozess eine Nachricht an den Netzwerk-DDE-Agent senden kann, die dazu führt, dass eine ausführbare Datei gestartet wird, die in der Nachricht angegeben ist. Die ausführbare Datei wird mit dem Sicherheitskontext des Netzwerk-DDE-Agents ausgeführt, der im Kontext des lokalen Systems ausgeführt wird.
Was ist Network DDE?
Network Dynamic Data Exchange (DDE) ist eine Technologie, mit der Anwendungen, die auf verschiedenen Computern ausgeführt werden, dynamisch Informationen freigeben können. Beispielsweise könnte eine Instanz von Word, die auf Computer A ausgeführt wird, dynamisch mit einer Instanz von Excel verknüpfen, die auf Computer B ausgeführt wird, und ein Dokument anzeigen, das eine Mischung aus Informationen aus beiden Anwendungen darstellt.
Was ist der Netzwerk-DDE-Agent?
In Network DDE kommunizieren die Client- und Serveranwendungen über einen Kanal, der als vertrauenswürdige Freigabe bezeichnet wird. Ein Windows-Dienst, der als Netzwerk-DDE-Agent bezeichnet wird, stellt die Kommunikationsdienste bereit, mit denen vertrauenswürdige Freigaben ausgeführt werden können, sowie die Erstellung, Löschung und Verwaltung vertrauenswürdiger Freigaben bei Bedarf. Die Sicherheitsrisikoergebnisse aufgrund eines Fehlers im Netzwerk-DDE-Agent.
Was ist mit dem Netzwerk-DDE-Agent falsch?
In früheren Versionen von Windows-Systemen wurde der Netzwerk-DDE-Agent im Sicherheitskontext des Benutzers ausgeführt. Daher war es sicher, dass anforderungen von Prozessen akzeptiert werden, die auf dem lokalen Computer ausgeführt werden. Schließlich wurden die Prozesse bereits im Sicherheitskontext des Benutzers ausgeführt und konnten keine Berechtigungen erhalten, indem Anforderungen an den Netzwerk-DDE-Agent erhoben werden.
In Windows 2000 wurde der Netzwerk-DDE-Agent in eine Komponente verschoben, die als Teil des Betriebssystems ausgeführt wird, aber sie akzeptiert weiterhin Anforderungen von Prozessen auf dem lokalen Computer. Unter den neuen Bedingungen könnte ein Prozess eine Anforderung erheben, die im Sicherheitskontext des lokalen Systems ausgeführt werden würde.
Sie haben oben gesagt, dass der Netzwerk-DDE-Agent vertrauenswürdige Freigaben verwaltet. Warum kann dieser Code ausgeführt werden?
Unter den Anforderungen, die der Netzwerk-DDE-Agent annehmen wird, ist eine, die aufruft, dass eine vertrauenswürdige Freigabe aktiviert wird. In der Anforderung enthalten ist der Name der Anwendung, die der Freigabe zugeordnet ist. Wenn der Netzwerk-DDE-Agent eine solche Anforderung empfängt, wird die Anwendung gestartet.
Ein Angreifer könnte ein Programm schreiben, das eine Anforderung an den Netzwerk-DDE-Agent erhoben und eine ausführbare Datei ihrer Wahl als die datei angegeben hat, die einer bestimmten vertrauenswürdigen Freigabe zugeordnet ist. Dies würde dazu führen, dass der Netzwerk-DDE-Agent diesen Code im Sicherheitskontext des lokalen Systems ausführt.
Angenommen, es gab keine vertrauenswürdigen Freigaben auf dem Computer. Könnte der Angreifer dann den Antrag erheben?
Vertrauenswürdige Freigaben sind eine Voraussetzung für den Angriff, aber dies würde den Angreifer nicht unbedingt abschrecken. Standardmäßig gibt es drei vertrauenswürdige Freigaben auf Windows 2000-Systemen. Selbst wenn diese entfernt wurden, konnte der Benutzer neue erstellen, indem er den Netzwerk-DDE-Freigabe-Manager verwendet.
Wenn ein Angreifer diese Sicherheitsanfälligkeit ausgenutzt hat, was könnte sie tun?
Mit lokalen Systemberechtigungen kann ein Teil des Codes als Teil des Betriebssystems funktionieren. Mit diesen Berechtigungen könnte der Code des Angreifers buchstäblich alles auf dem lokalen Computer tun. Beispielsweise könnte sie der lokalen Administratorgruppe hinzugefügt werden, neue Betriebssystemkomponenten installieren oder einfach die Festplatte neu formatieren.
Würde die Sicherheitsanfälligkeit es dem Angreifer ermöglichen, berechtigungen für das Tun zu erhalten Standard?
Es würde von der jeweiligen Maschine abhängen, die sie kompromittiert hat. Die Sicherheitsanfälligkeit allein würde es dem Angreifer nur ermöglichen, seine Rechte auf dem lokalen Computer zu erhöhen. Selbst wenn sie eine vollständige Kontrolle über einen Computer wie eine Arbeitsstation oder einen Mitgliedsserver erhalten, würden dem Angreifer in der Regel keine größeren Berechtigungen für das Tun gewähren Standard. Der kompromittierte Computer könnte jedoch als Strandkopf dienen, von dem der Angreifer andere Angriffe ausprobieren würde, um ihre Kontrolle zu erweitern.
Wenn sie diese Sicherheitsanfälligkeit natürlich auf einem Do Standard Controller ausnutzen konnte, würde sie per Definition ihre vollständige Kontrolle über das Tun geben Standard. Wie wir weiter unten sehen, würden bewährte Methoden Computer wie dies tun Standard Controller vor dieser Sicherheitsanfälligkeit schützen.
Könnte die Sicherheitsanfälligkeit remote ausgenutzt werden?
Nein Der Mechanismus, mit dem die Anforderung nur auf dem lokalen Computer an den Netzwerk-DDE-Agent übertragen wird. Der Angreifer konnte kein Programm auf einem Computer ausführen, der die Sicherheitsanfälligkeit auf einem anderen Computer ausnutzen würde.
Dies ist ein wichtiger Punkt, da es dazu neigen würde, das Risiko zu verringern, das diese Sicherheitsanfälligkeit auf Servern und anderen sensiblen Computern darstellt. Der Angreifer benötigt die Möglichkeit, ein Programm ihrer Wahl auf einem betroffenen Computer zu starten, aber bewährte Methoden empfehlen dringend, immer zuzulassen, dass nicht privilegierte Benutzer Programme auf Computern wie do ausführen können Standard Controller, Datenbankserver, ERP-Server, Druck- und Dateiserver usw. Wenn daher bewährte Methoden befolgt wurden, wäre die Sicherheitsanfälligkeit weitgehend auf Arbeitsstationen und Terminalserver beschränkt.
Wirkt sich diese Sicherheitsanfälligkeit auf Windows NT 4.0 aus?
Nein In Windows NT 4.0 wurde der Netzwerk-DDE-Agent im eigenen Sicherheitskontext des Benutzers ausgeführt, sodass die Sicherheitsanfälligkeit nicht vorhanden war.
Wer sollte den Patch verwenden?
Microsoft empfiehlt, dass alle Windows 2000-Benutzer die Installation des Patches in Betracht ziehen. Wir fordern Kunden jedoch dringend auf, Windows 2000-Arbeitsstationen oder Terminalserver zu verwenden, und diejenigen, die es nicht privilegierten Benutzern ermöglichen, Code auf Windows 2000-Servern auszuführen, um den Patch sofort anzuwenden.
Außerdem wird empfohlen, dass Kunden, die Windows 2000-Webserver betreiben, das Patch unbedingt als Vorsichtsmaßnahme installieren. Webserver sollten natürlich nie zulassen, dass nicht privilegierte Benutzer Code ausführen können. Wenn ein Angreifer jedoch einen Webserver durch eine andere Sicherheitsanfälligkeit kompromittiert und die Möglichkeit erlangt hat, Code darauf auszuführen, kann er diese Sicherheitsanfälligkeit verwenden, um die Kontrolle darüber zu erweitern.
Was macht der Patch?
Der Patch beseitigt die Sicherheitsanfälligkeit, indem der Netzwerk-DDE-Agent alle Anforderungen im Sicherheitskontext des Anforderers verarbeitet.
Patch-Verfügbarkeit
Downloadspeicherorte für diesen Patch
Microsoft Windows 2000 Professional, Server und Advanced Server:
Microsoft Windows 2000 Datacenter Server:
Patches für Windows 2000 Datacenter Server sind hardwarespezifisch und stehen vom Originalgerätehersteller zur Verfügung.
Weitere Informationen zu diesem Patch
Installationsplattformen:
Dieser Patch kann auf Systemen mit Windows 2000 Service Pack 1 und Service Pack 2 installiert werden.
Aufnahme in zukünftige Service Packs:
Der Fix für dieses Problem ist in Windows 2000 Service Pack 3 enthalten.
Überprüfen der Patchinstallation:
Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, vergewissern Sie sich, dass der folgende Registrierungsschlüssel auf dem Computer erstellt wurde:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP3\Q285851.
Verwenden Sie zum Überprüfen der einzelnen Dateien die im folgenden Registrierungsschlüssel angegebenen Datums-/Uhrzeit- und Versionsinformationen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP3\Q285851\Filelist
Einschränkungen:
Keine
Lokalisierung:
Lokalisierte Versionen dieses Patches werden entwickelt. Nach Abschluss des Vorgangs stehen sie an den Speicherorten zur Verfügung, die unter "Abrufen anderer Sicherheitspatches" erläutert werden.
Abrufen anderer Sicherheitspatches:
Patches für andere Sicherheitsprobleme stehen an den folgenden Speicherorten zur Verfügung:
- Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten gefunden werden, indem sie eine Schlüsselwort (keyword) Suche nach "security_patch" durchführen.
- Patches für Consumerplattformen sind auf der WindowsUpdate-Website verfügbar.
Weitere Informationen:
Bestätigungen
Microsoft dankt Dildog von @Stake (https://www.atstake.com) für die Meldung dieses Problems an uns und arbeitet mit uns zusammen, um Kunden zu schützen.
Unterstützungswert:
- Microsoft Knowledge Base-Artikel Q285851 behandelt dieses Problem und wird ungefähr 24 Stunden nach der Veröffentlichung dieses Bulletins verfügbar sein. Knowledge Base-Artikel finden Sie auf der Microsoft Online Support-Website .
- Technischer Support steht von Microsoft-Produktsupportdiensten zur Verfügung. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitspatches zugeordnet sind.
Sicherheitsressourcen: Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- V1.0 (05. Februar 2001): Bulletin Created.
- V2.0 (09. Februar 2001): Bulletin überarbeitet, um aktualisierte Informationen zu Terminalservern bereitzustellen. Entgegen der ursprünglichen Version des Bulletins sind Terminalserver von der Sicherheitsanfälligkeit betroffen.
- V2.1 (15. August 2001): Bulletin überarbeitet, um zu beachten, dass eine neue Version des Patches veröffentlicht wurde, um ein Problem mit dem Packen nach SP2 zu beheben, wie in Q299549 beschrieben. (Sowohl die alte als auch die neue Version des Patches schützen den Computer vor der Sicherheitsanfälligkeit in diesem Bulletin.) Registrierungsschlüsseldaten und Patch-Anwendbarkeitsabschnitte wurden entsprechend aktualisiert.
- V2.2 (10. Juli 2003): Korrigierte Links zu Windows Update in zusätzlichen Informationen.
Gebaut am 2014-04-18T13:49:36Z-07:00