Category Archives: 10653

Security Updates im Dezember

Microsoft lässt es im Dezember nochmal richtig krachen was die Sicherheit angeht. Etliche kritische Sicherheitslücken mit der Bewertung “Remotecodeausführung” sind im aktuellen Security Bulletin gelistet:

 

MS11-087
Sicherheitsanfälligkeit in Windows-Kernelmodustreibern kann Remotecodeausführung ermöglichen (2639417)
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine schädliche Webseite besucht, die TrueType-Schriftartdateien einbettet.

MS11-090
Kumulatives Sicherheitsupdate von ActiveX-Kill Bits (2618451
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft-Software. Diese Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite in Internet Explorer aufruft, auf der Binärverhalten verwendet wird. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Dieses Update beinhaltet außerdem Kill Bits für vier ActiveX-Steuerelemente von Drittanbietern.

MS11-092
Sicherheitsanfälligkeit in Windows Media kann Remotecodeausführung ermöglichen (2648048)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Windows Media Player und Windows Media Center. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete DVR-MS-Datei (Microsoft Digital Video Recording-Datei) öffnet. In allen Fällen kann ein Benutzer nicht gezwungen werden, die Datei zu öffnen. Damit ein Angriff erfolgreich ist, muss ein Benutzer dazu verleitet werden.

MS11-088
Sicherheitsanfälligkeit in Microsoft Office IME (Chinesisch) kann Erhöhung von Berechtigungen ermöglichen (2652016)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office IME (Chinesisch). Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein angemeldeter Benutzer bestimmte Aktionen auf einem System durchführt, auf dem eine betroffene Version von Microsoft Pinyin (MSPY) Eingabemethoden-Editor (IME) für vereinfachtes Chinesisch installiert ist. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Kernel-Modus beliebigen Code ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen administrativen Benutzerrechten erstellen. Von dieser Sicherheitsanfälligkeit sind nur Implementierungen von Microsoft Pinyin IME 2010 betroffen. Andere Versionen von IME für vereinfachtes Chinesisch und weitere Implementierungen von IME sind nicht betroffen.

MS11-089
Sicherheitsanfälligkeit in Microsoft Office kann Remotecodeausführung ermöglichen (2590602)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Word-Datei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

MS11-091
Sicherheitsanfälligkeiten in Microsoft Publisher können Remotecodeausführung ermöglichen (2607702)
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit und drei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office. Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Publisher-Datei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über das betroffene System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

MS11-093
Sicherheitsanfälligkeit in OLE kann Remotecodeausführung ermöglichen (2624667)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in allen unterstützten Editionen von Windows XP und Windows Server 2003. Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows XP und Windows Server 2003 als Hoch eingestuft. Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 sind nicht von der Sicherheitsanfälligkeit betroffen.
Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine Datei öffnet, die ein speziell gestaltetes OLE-Objekt enthält. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

MS11-094
Sicherheitsanfälligkeiten in Microsoft PowerPoint können Remotecodeausführung ermöglichen (2639142)
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office. Die Sicherheitsanfälligkeiten können eine Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete PowerPoint-Datei öffnet. Ein Angreifer, dem es gelingt, eine der Sicherheitsanfälligkeiten auszunutzen, kann vollständige Kontrolle über das betroffene System erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

MS11-095
Sicherheitsanfälligkeit in Active Directory kann Remotecodeausführung ermöglichen (2640045)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Active Directory, Active Directory Application Mode (ADAM) und Active Directory Lightweight Directory Service (AD LDS). Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Angreifer sich bei einer Active Directory-Domäne anmeldet und eine speziell gestaltete Anwendung ausführt. Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zuerst Anmeldeinformationen erlangen, um sich bei einer Active Directory-Domäne anzumelden.

MS11-096
Sicherheitsanfälligkeit in Microsoft Excel kann Remotecodeausführung ermöglichen (2640241)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Excel-Datei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der angemeldete Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Durch das Installieren und Konfigurieren von OFV (Office File Validation; Überprüfung von Office-Dateien) wird das Öffnen verdächtiger Dateien verhindert, um Angriffsmethoden zum Ausnutzen der in CVE-2011-3403 beschriebenen Sicherheitsanfälligkeiten zu unterbinden.

MS11-097
Sicherheitsanfälligkeit im Windows Client/Server-Runtime-Subsystem kann Erhöhung von Berechtigungen ermöglichen (2620712)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer sich bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung ausführt, die dafür entworfen wurde, einem Prozess mit höherer Integrität eine Geräte-Ereignismeldung zu senden. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen.

MS11-098
Sicherheitsanfälligkeit im Windows-Kernel kann Erhöhung von Berechtigungen ermöglichen (2633171)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn sich ein Angreifer bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung ausführt, die zur Ausnutzung der Sicherheitsanfälligkeit ausgelegt ist. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff oder von anonymen Benutzern ausgenutzt werden.

Happy patching

Viele Grüße

 

Walter Steinsdorfer

Windows Server 2008 R2: Voraussetzungen für Exchange 2010 SP1 lassen sich nicht installieren

Auf dem Teil des Server Managers, auf welchem die Rollen und Features abgebildet sind wird nichts angezeigt und auch der Refresh funktioniert nicht. Das liegt daran das der Trusted Installer ein Problem hat. Man muß nun nicht gleich den ganzen Server neu installieren um das Problem zu beheben. Hier eine Möglichkeit um den Trusted Installer wieder zur Mitarbeit zu bewegen:


Herunterladen des Systemupdate-Vorbereitungstool, engl. System Update Readiness Tool behoben werden (bitte die richtige Version auswählen aus dem KB-Artikel).  Auf dem betroffenen Server starten, es versucht nun das Patch Repository unter C:\Windows\servicing\Packages zu reparieren. Das Tool generiert ein Logfile unter :\Windows\Logs\CBS\CheckSUR.log , in dem auch festgehalten wird mit welchem KB-File es ein Problem gibt.


Nun wird dieses KB-File im original Zustand benötigt (downloaden) und entpackt werden. Die genaue Version der Files muss mit der in der CheckSUR.log übereinstimmen.


  1. expand kb-file.msu /f:* c:\targetDir
  2. Die .cab Datei muss auch noch entpackt werden expand kb-file.cab /f:* c:\targetDir
  3. Jetzt werden die alle *.mum und *.cat Dateien in das Verzeichnis %windir%\Temp\CheckSUR\servicing\packages kopiert und die .manifest Dateien nach %Windir%\Temp\CheckSUR \winsxs\manifests\ kopiert.
  4. Dann wieder das Systemupdate Tool laufen lassen und das Log File kontrollieren.

Viel Spaß beim Serverreparieren.


Walter Steinsdorfer

Microsoft Exchange 2010 Supportability Matrix veröffentlicht

Neben dem Service Pack 1 hat Microsoft nun auch für Exchange 2010 die Supportability Matrix veröffentlicht. Man kann dort nachschauen welche Produkte mit welcher Exchangeserverversion von Microsoft unterstützt werden. Wer sich also unsicher ist er für sein Produkt im Problemfall Hilfe erhält ist dort genau richtig. Der alte Link aus meinem früheren Blogeintrag sollte nicht mehr verwendet werden, die Seite wird wohl nicht mehr gepflegt.


Viele Grüße


Walter Steinsdorfer

Microsoft hilft bei kleineren Problemen über Twitter

Microsofts Kundenservice hat einen neuen Twitter Account veröffentlicht über den technische Hilfe angeboten wird für die Produkte Windows 7, Office 2010 und Internet Explorer 8. Die URL lautet http://www.twitter.com/microsofthilft. Wer also ein Problemchen hat mit einem der obigen Produkte kann das in Zukunft evtl. auch über Twitter abwickeln. Die Microsoft Mitarbeiter antworten dort zu den üblichen Bürozeiten Montag-Freitag 9:00 Uhr bis 17:00 Uhr.


Viele Grüße


 


Walter Steinsdorfer

Außerplanmäßige Sicherheitsaktualisierungen geplant

Wie ein Microsoft Mitarbeiter in seinem Blog jetzt offiziell bekannt gab wird es in den nächsten Tagen ein Außerplanmäßiges Update für alle IE-Versionen geben. Die Lücke ist relativ kritisch, da es mit recht einfachen Mitteln zu einer Übernahme des Rechners kommen kann. Versuche meinerseits haben übrigens gezeigt, das der Schadcode z.B. durch die Microsoft Security Essentials Lösung abgefangen wird. Trotzdem sollte man nicht alleine darauf vertrauen sondern nach Erscheinen des Updates möglichst schnell die Lücke schließen.


Viele Grüße


Walter Steinsdorfer

Schutz vor Zero Day Exploit gegen Windows Netbios bzw. SMB

Wie an mehreren Stellen im Internet zu lesen ist (Silicon, Heise, Blog von Laurent Gaffie) gibt es eine Sicherheitslücke in der Netbios / SMB Schnittstelle von Windows. Die Lücke führt momentan nur dazu das der Rechner stehen bleibt und nur per Stromentzug zum erneuten Mitarbeiten zu bewegen ist. Die Lücke lässt sich von einer infizierten Webseite und auch remote ausnutzen, einen Patch gibt es im Augenblick nicht dagegen. Ein denkbares Angriffsscenario könnte aber sein das man auf einer Webseite ein Script auslöst das per Netbios-Broadcast alle Rechner in dem Segment lahmlegt. Das möchte natürlich niemand. Um die Gefahr zu minimieren bietet es sich an die für die Netbios-Kommunikation notwendigen Ports zu sperren und einen Wins-Server in einem anderen Netzsegment wie die Clients einzusetzen.

Konfiguration der Firewall:

Die Firewalleinstellungen sind unter "Administrative Templates, Network, Network Connections, Windows Firewall, Domain Profile" zu tätigen. Bitte prüfen Sie ob bei Ihnen die vorhandenen Netzwerke in Active Directory, Sites and Services hinterlegt sind. Nur dann erkennen die Clients das das Firewallprofil "Domain Profile" anzuwenden ist.

Um die Firewall einzuschalten sind folgende Einstellungen in den Gruppenrichtlinien zu tätigen:

"Protect all Network connections" enable

"Allow inbound remote administration exeption" disable (damit können zwar keine Clients mehr verwaltete werden über die Konsolen, aber sicher ist sicher. Evtl. können Sie hier ein Geräte bzw. eine Ip eintragen von der aus nicht im Internet gesurft wird).

"Do not allow exeptions" enabled Für den Fall das bei Ihnen jemand lokale Adminrechte hat wird ihm damit das Einschalten / Konfigurieren von Ausnahmen in der Firewall verwehrt.

"Define inbound port exeptions" enabled An dieser Stelle bitte nicht die Ports 137,138,139,445 eintragen. Damit heben Sie ansonsten die gegen das Problem getroffene Sicherheitsmaßnahme wieder auf!

Was sich leider nicht schützen läßt:

  • Domain Controller (Fileshare für Skripte und GPO´s)
  • Fileserver (Port 445 für SMB)
  • Printserver (Port 445 für SMB)
  • Exchange 2007, 2010 (File Distribution Service Exchange OAB, CCR)

Die wichtigste Maßnahme dürfte sein sich möglichst nur auf sicheren Internetseiten zu bewegen und die Benutzer für die Gefahren im Internet zu sensibilisieren.

Noch eine Anmerkung zur Veröffentlichung zu Laurent Gaffie: Normalerweise sollte die Lücke an Microsoft gemeldet und gewartet werden bis ein Patch bereitsteht um die Lücke zu schließen. Die Gefahr das mögliche Schwachstellen ausgenutzt werden vermindert sich so enorm. Leider hat Laurent Gaffie hier gegen ein ungeschriebenes Gesetz verstoßen das möglicherweise viele Admins ausbaden müssen. Sehr schade, für derartige Aktionen habe ich überhaupt kein Verständnis.

 Update: Microsoft hat ein Advisory zu dem Problem veröffentlicht: http://www.microsoft.com/technet/security/advisory/977544.mspx

Viele Grüße

 

Walter Steinsdorfer

Juhu, Windows Vista kann auch in Europa auf Windows 7 upgedated werden

Wie ich vor einigen Tagen beschrieben habe hat Microsoft der EU den Vorschlag gemacht, eine Windows 7 Version mit einem “Ballot Screen” mit mehreren Browsern zur Auswahl zur Verfügung zu stellen. Der Vorschlag, eine Windows 7 Version ohne Browser zur Verfügung zu stellen fand bei der EU anscheinend keiner gut. Kurzum, Windows 7 wird wohl endgültig mit der “Ballot Screen” – Version kommen. Das bedeutet aber auch das von Vista auf Windows 7 nun doch upgedated werden kann.

Mehr Infos gibt es auf Daniels Blog oder auf dem Windows 7 Blog. Ich freue mich schon aufs Updaten.

Viele Grüße

 

Walter Steinsdorfer

Windows 7 Joint Launch Roadshow

Daniel hat es gerade auf seinem Blog veröffentlicht : Die Seite zur nächsten Microsoft Roadshow ist online gegangen. Folgende Produkte werden dabei gelauncht: Windows 7, Windows Server 2008 R2 und Exchange 2010. Ein besonderes Highlight wird es bei der Kick-off Veranstaltung in München geben: Steve Ballmer, der CEO von Microsoft wird in München auf der Bühne zu sehen sein.

Bis zum 31.08.2009 gibt es einen Frühbucherrabatt, alle Informationen zu Veranstaltungsorten und zur Agenda findet ihr auf der Windows 7 Joint Launch Roadshow Webseite.

 

Viele Grüße

 

Walter Steinsdorfer  

Außerplanmäßige Updates für IE8 und Visual Studio Update

Wie in meinem gestrigen Blogeintrag erläutert war im Bulletin zu den Out-of-Band Releases angegeben das Windows 7 von der Lücke die im Bulletin 09-034 beschrieben ist, nicht betroffen ist. Microsoft hat mir soeben bestätigt, das das für die die bereits fertige RTM-Version von Windows 7 gilt. Da die RTM – Version aber momentan nur bei den OEM´s liegt um die Rechner für die Auslieferung vorzubereiten (ich weiß das es andere Quellen gibt die hoffentlich keiner einsetzt…),  werden noch etliche Windows 7 mit dem RC – Releasestand installiert sein (meine Rechner inklusive). Bitte für diese Rechner unbedingt die angebotenen Updates einspielen, die sind aus meiner Sicht äußerst kritisch!

Das Bulletin wird wohl überarbeitet und in Kürze in einer neuen Version verfügbar sein.

 

Update: Ein Bulletinupdate zu einer RC – Version wird es nicht geben. Bitte trotzdem das Update einspielen.

 

Happy Patching!

 

Walter Steinsdorfer

Außerplanmäßige Sicherheitsupdates für IE und Visual Studio

Wie ich bereits angekündigt hatte wurden heute Patches für eine kritische Lücke im Internet Explorer und für Visual Studio veröffentlicht. Die Lücke im Internet Explorer betrifft alle Browservarianten seit Version 5.01 auf allen Betriebssystemen die aktuell im Einsatz sind. Ausgenommen davon ist laut Microsoft lediglich Windows 7. Auf meinen eigenen Rechnern die mit Windows 7 RC (Version 7100) ausgestattet sind wurde trotzdem ein IE8-Patch installiert.

IE update

Ich werde mich erkundigen ob diese Beschreibung nur für die RTM-Version gilt. Also alle die Windows 7 RC haben bitte das Update installieren.

Weitere Infos:

Der Rechner muß nach dem Update neu gestartet werden.

 

Das 2. Update von heute ist etwas schwieriger. Zwar bring Microsoft ein Update für Visual Studio mit dem die Active Template Library einem Update unterzogen wird. Allerdings ist nicht ausgeschlossen, das Entwickler diese Library in ihren eigenen Produkten verwendet haben. Wenn Sie also Software die nicht von Microsoft stammt einsetzen sollten Sie darauf achten, das die ATL-Library einem Update unterzogen wird.

Neben den zwei erwähnten Updates gibt es ein Update für Windows Defender, das wohl für zusätzliche Sicherheit sorgen soll.

Happy Patching

 

Viele Grüße

 

Walter Steinsdorfer