Im Rahmen seines Security Bulletin Summary for March 2009 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit. Sie betreffen den Windows Kernel, die Microsoft-Implementierung der SSL/TLS-Authentifizierungsprotokolle SChannel, die DNS-Impmentierung in Windows sowie Microsoft WINS. Die Schwachstellen erlauben z.T. die Ausführung beliebigen Programmcodes mit administrativen Privilegien, weshalb die Installation der angebotenen Updates und Patches dringend empfohlen wird.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Zusammenfassung

• CVE-2009-0081:
  

  Betroffen:	2000, XP, Server 2003, Vista, Server 2008
  Einfallstor:	WMF, EMF
  Angriffsvoraussetzung:	Benutzerinteraktion
  Angriffsvektorklasse:	remote
  Auswirkung:	system compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	sehr hoch
  Workaround:	ja
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0081

• CVE-2009-0082:
  

  Betroffen:	2000, XP, Server 2003, Vista, Server 2008
  Einfallstor:	lokaler handle
  Angriffsvoraussetzung:	user credentials
  Angriffsvektorklasse:	local
  Auswirkung:	system compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	hoch
  Workaround:	nein
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0082

• CVE-2009-0083:
  

  Betroffen:	2000, XP, Server 2003, Vista, Server 2008
  Einfallstor:	lokaler pointer
  Angriffsvoraussetzung:	user credentials
  Angriffsvektorklasse:	local
  Auswirkung:	system compromise
  Typ:	Speicherverletzung
  Gefahrenpotential:	hoch
  Workaround:	nein
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0083

• CVE-2009-0085:
  

  Betroffen:	2000, XP, Server 2003, Vista, Server 2008
  Einfallstor:	TLS-Verbindung
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	remote
  Auswirkung:	user compromise
  Typ:	Implementierungsfehler
  Gefahrenpotential:	hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0085

• CVE-2009-0233:
  

  Betroffen:	DNS-Server unter 2000, Server 2003, Server 2008
  Nicht betroffen:	2000 Professional, XP, Vista, Server 2008 für Itanium-basierte Systeme
  Einfallstor:	DNS-Transaction
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	remote
  Auswirkung:	dns cache poisoning
  Typ:	Implementierungsfehler
  Gefahrenpotential:	hoch
  Workaround:	nein
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0233

• CVE-2009-0234:
  

  Betroffen:	DNS-Server unter 2000, Server 2003, Server 2008
  Nicht betroffen:	2000 Professional, XP, Vista, Server 2008 für Itanium-basierte Systeme
  Einfallstor:	DNS-Transaction
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	remote
  Auswirkung:	dns cache poisoning
  Typ:	Implementierungsfehler
  Gefahrenpotential:	hoch
  Workaround:	nein
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0234

• CVE-2009-0093:
  

  Betroffen:	DNS-Server unter 2000, Server 2003, Server 2008
  Nicht betroffen:	2000 Professional, XP, Vista, Server 2008 für Itanium-basierte Systeme
  Einfallstor:	WPAD-Eintrag
  Angriffsvoraussetzung:	Netzwerk
  Angriffsvektorklasse:	remote
  Auswirkung:	dns cache poisoning
  Typ:	Implementierungsfehler
  Gefahrenpotential:	mittel bis hoch
  Workaround:	ja
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0093

• CVE-2009-0094:
  

  Betroffen:	WINS-Server unter 2000, Server 2003, Server 2008
  Nicht betroffen:	2000 Professional, XP, Vista, Server 2008 für Itanium-basierte Systeme
  Einfallstor:	WPAD- oder ISATAP-Eintrag
  Angriffsvoraussetzung:	domain user credentials
  Angriffsvektorklasse:	network group
  Auswirkung:	configuration alteration
  Typ:	Implementierungsfehler
  Gefahrenpotential:	mittel bis hoch
  Workaround:	ja
  Gegenmaßnahmen:	Patch/Update
  Vulnerability ID:	CVE-2009-0094

Betroffene Systeme

• CVE-2009-0081:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0082:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0083:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0085:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0233: DNS-Server auf:
  • Microsoft Windows 2000 SP4
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
• CVE-2009-0234: DNS-Server auf:
  • Microsoft Windows 2000 SP4
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
• CVE-2009-0093: DNS-Server auf:
  • Microsoft Windows 2000 SP4
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
• CVE-2009-0094: WINS-Server auf:
  • Microsoft Windows 2000 SP4
  • Windows Server 2003 Service Pack 1
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 für Itanium-basierte Systeme SP1
  • Windows Server 2003 für Itanium-basierte Systeme SP2
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme

Nicht betroffene Systeme

• CVE-2009-0233:
  • Microsoft Windows 2000 Professional SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0234:
  • Microsoft Windows 2000 Professional SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0093:
  • Microsoft Windows 2000 Professional SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2009-0094:
  • Microsoft Windows 2000 Professional SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für Itanium-basierte Systeme

Einfallstor

• CVE-2009-0081:
  WMF- oder EMF-Datei
• CVE-2009-0082:
  Objekt-handle
• CVE-2009-0083:
  Zeiger (pointer)
• CVE-2009-0085:
  TLS-Verbindung
• CVE-2009-0233:
  DNS-Transaction
• CVE-2009-0234:
  DNS-Transaction
• CVE-2009-0093:
  WPAD-Eintrag an einen betroffenen DNS-Server
• CVE-2009-0094:
  WPAD- oder ISATAP-Eintrag an einen betroffenen WINS-Server

Angriffsvoraussetzung

• CVE-2009-0081:
  Benutzerinteraktion - Ein Angreifer muss einen Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechende WMF- oder EMF-Datei zu betrachten oder in einer anderen Form zu verarbeiten
  (user interaction)
• CVE-2009-0082:
  Gültiger (unprivilegierter) Berechtigungsnachweis für den Zugriff auf ein betroffenes System
  (user credentials)
• CVE-2009-0083:
  Gültiger (unprivilegierter) Berechtigungsnachweis für den Zugriff auf ein betroffenes System
  (user credentials)
• CVE-2009-0085:
  Zugriff auf ein Netzwerk, von dem aus eine TLS-Verbindung zu einem betroffenen System aufgebaut werden kann.
  (network)
• CVE-2009-0233:
  Zugriff auf ein Netzwerk, von dem aus ein DNS-Request an ein betroffenen System gesendet werden kann.
  (network)
• CVE-2009-0234:
  Zugriff auf ein Netzwerk, von dem aus ein DNS-Request an ein betroffenen System gesendet werden kann.
  (network)
• CVE-2009-0093:
  Zugriff auf ein Netzwerk, von dem aus ein WPAD-Request an ein betroffenen System gesendet werden kann.
  (network)
• CVE-2009-0094:
  Gültiger (unprivilegierter) Berechtigungsnachweis für den Zugriff auf eine Windows-Domäne mit einem betroffenen WINS-Server
  (domain credentials)

Angriffsvektorklasse

• CVE-2009-0081:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0082:
  lokal auf einem betroffenen System
  (local)
• CVE-2009-0083:
  lokal auf einem betroffenen System
  (local)
• CVE-2009-0085:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0233:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0234:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0093:
  über eine Netzwerkverbindung
  (remote)
• CVE-2009-0094:
  über eine Netzwerkverbindung innerhalb einer Windows-Domäne
  (network group)

Auswirkung

• CVE-2009-0081:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2009-0082:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2009-0083:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2009-0085:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System
  (user compromise)
• CVE-2009-0233:
  Manipulation des DNS Cache
  (dns cache poisoning)
• CVE-2009-0234:
  Manipulation des DNS Cache
  (dns cache poisoning)
• CVE-2009-0093:
  Manipulation des DNS Cache
  (dns cache poisoning)
• CVE-2009-0094:
  Manipulation der WINS-Server-Konfiguration
  (configuration alteration)

Typ der Verwundbarkeit

• CVE-2009-0081:
  Speicherverletzung
  (memory corruption)
• CVE-2009-0082:
  Speicherverletzung
  (memory corruption)
• CVE-2009-0083:
  Speicherverletzung
  (memory corruption)
• CVE-2009-0085:
  Implementierungsfehler
  (implementation flaw)
• CVE-2009-0233:
  Implementierungsfehler
  (implementation flaw)
• CVE-2009-0234:
  Implementierungsfehler
  (implementation flaw)
• CVE-2009-0093:
  Implementierungsfehler
  (implementation flaw)
• CVE-2009-0094:
  Implementierungsfehler
  (implementation flaw)

Gefahrenpotential

• CVE-2009-0081:
  sehr hoch
• CVE-2009-0082:
  hoch
• CVE-2009-0083:
  hoch
• CVE-2009-0085:
  hoch
• CVE-2009-0233:
  hoch
• CVE-2009-0234:
  hoch
• CVE-2009-0093:
  mittel bis hoch
• CVE-2009-0094:
  mittel bis hoch

Beschreibung

• CVE-2009-0081:
  Eine Schwachstelle im Microsoft Windows graphics device interface (GDI), das ein Teil des Windows Betriebssystemkerns ist, kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode im kernel mode auf dem beherbergenden System auszuführen.

  Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer einen (unprivilegierten) Benutzer eines betroffenen Systems dazu veranlassen, eine entsprechend präparierte WMF- oder EMF-Datei zu betrachten oder in einer Form zu verarbeiten, dass das GDI beteiligt ist. Entsprechende Dateien können dem Opfer z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden und werden beim Öffnen automatisch geöffnet.

  Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur direkten Kompromittierung des beherbergenden Systems. Ihre einfache Ausnutzbarkeit und die massiven Auswirkungen ihrer Ausnutzung stellen eine sehr hohes Bedrohungspotential für betroffene Systeme dar.

• CVE-2009-0082:
  Eine Schwachstelle in der Verarbeitung von Objekt-handles des Windows Betriebssystemkerns kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode im kernel mode auf dem beherbergenden System auszuführen.

  Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer in der Lage sein, eine entsprechend präparierte Applikation mit nicht-administrativen Privilegien auf einem beherbergenden System auszuführen. Die entsprechende Präparation der Applikation führt zur Provokation der Schwachstelle und in der Folge kann Code ausgeführt werden.

  Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur direkten Kompromittierung des beherbergenden Systems.

• CVE-2009-0083:
  Eine Schwachstelle in der Verarbeitung von Zeiger des Windows Betriebssystemkerns kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode im kernel mode auf dem beherbergenden System auszuführen.

  Um die Schwachstelle erfolgreich ausnutzen zu können, muss der Angreifer in der Lage sein, eine entsprechend präparierte Applikation mit nicht-administrativen Privilegien auf einem beherbergenden System auszuführen. Die entsprechende Präparation der Applikation führt zur Provokation der Schwachstelle und in der Folge kann Code ausgeführt werden.

  Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur Kompromittierung des beherbergenden Systems.

• CVE-2009-0085:
  Eine Schwachstelle in der Implementierung der TLS-Authentifizierungsmechanismen des Microsoft Windows SChannel kann von einem Angreifer dazu ausgenutzt werden, sich ohne Besitz des privaten Schlüssels als legitimer Benutzer anzumelden. Die Schwachstelle besteht durch die fehlerhafte Implementierung der Challenge-Response-Authentifizierung, die dem Server dazu dient, festzustellen, dass der sich anmeldende Benutzer im Besitz des mit einer aktuell ablaufenden Anmeldeprozedur korrespondierenden privaten Schlüssels ist.

  Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur unmittelbaren Kaperung von Benutzerkonten, auf die mittels stark kryptographisch gesicherter Anmeldeverfahren über Netzwerkverbindungen zugegriffen werden kann. Sofern betroffene Benutzer über administrative Privilegien verfügen, führt die Ausnutzung der Schwachstelle zur Kompromittierung des beherbergenden Systems.

• CVE-2009-0233:
  Eine Schwachstelle in der Verarbeitung von DNS-Transaktionen kann von einem Angreifer dazu ausgenutzt werden, gefälschte Daten im Cache zu platzieren und so Netzverkehr von DNS-Nutzern umzuleiten (dns cache poisoning). So kann der Angreifer Anfragen von DNS-Klienten mit gefälschten Daten beantworten lassen und die Zugriffe von den legitimen Zielen auf andere, z.B. durch den Angreifer kontrollierte Server umleiten. Details zur Technik von DNS-Cache-Poisoning-Angriffen sind auch dem Kapitel Kontext der Meldung RUS-CERT#1476 zu entnehmen.
• CVE-2009-0234:
  Eine Schwachstelle in der Verarbeitung von DNS-Transaktionen kann von einem Angreifer dazu ausgenutzt werden, gefälschte Daten im Cache zu platzieren und so Netzverkehr von DNS-Nutzern umzuleiten (dns cache poisoning). So kann der Angreifer Anfragen von DNS-Klienten mit gefälschten Daten beantworten lassen und die Zugriffe von den legitimen Zielen auf andere, z.B. durch den Angreifer kontrollierte Server umleiten. Details zur Technik von DNS-Cache-Poisoning-Angriffen sind auch dem Kapitel Kontext der Meldung RUS-CERT#1476 zu entnehmen.
• CVE-2009-0093:
  Eine Schwachstelle in der Implementierung der Autorisierung für das Akzeptieren von WPAD-Einträgen durch Windows-basierte DNS-Server kann von einem Angreifer dazu ausgenutzt werden, einen falschen Eintrag in einem betroffenen DNS-Server zu platzieren und so die Anfragen von durch den DNS-Server bedienten Webbrowsern zu einem gefälschten Web-Proxy umleiten.

  Das Web Proxy Autodiscovery Protocol (WPAD) ist ein Protokoll, das Web-Klienten (z.B. Browsern) erlaubt, in automatisierter Form Web-Proxies zu konfigurieren, in dem sie z.B. unter einer erratbaren Adresse eine entsprechende Konfiguration zur Verfügung gestellt erhalten. Windows-basierte DNS-Server sind in der Lage an ihre Klienten einen entsprechenden Record zu schicken, der zur automatischen Konfiguration des Klienten verwendet wird.

  Webbrowser, die einen Web-Proxy verwenden, stellen keine direkte Verbindung zu ihren Zielservern her, sondern fragen stattdessen den Proxy, der an ihrer Statt die Verbindung herstellt, die angefragte Seite im Cache speichert und die aktuelle sowie weitere Anfragen weiterer Klienten für eine gewisse Zeit aus dem Cache bedient. Dieses Verfahren hat neben einer Netzlastminderung auch Sicherheitsvorteile. Z.B. können die angefragten Seiten zentral auf gefährliche Inhalte (z.B. Malware) untersucht und entsprechend unterdrückt oder bereinigt werden.

  Die Schwachstelle erlaubt beliebigen Netzteilnehmern einen WPAD-Eintrag in einem betroffenen DNS-Server zu platzieren, sofern dort kein gültiger (entweder noch gar keiner oder ein abgelaufener) Eintrag vorhanden ist.

  Die erfolgreiche Ausnutzung der Schwachstelle führt dazu, die Anfragen aller den WPAD-Eintrag zur Konfiguration ihres Webbrowsers verwendenden Klienten auf einen durch den Angreifer gewählten Proxy umzuleiten. Sofern dieser unter der Kontrolle des Angreifers steht, kann er alle Anfragen durch durch ihn gewählte oder erzeugte Daten beantworten und hat somit Kontrolle über den gesamten Web-Verkehr der betroffenen Klienten.

• CVE-2009-0094:
  Eine Schwachstelle in der Implementierung der Autorisierung für das Akzeptieren von WPAD-oder ISATAP-Eintrag an einen betroffenen WINS-Server kann von einem Angreifer dazu ausgenutzt werden, einen falschen Eintrag in einem betroffenen WINS-Server zu platzieren und so die Anfragen von durch den WINS-Server bedienten Webbrowsern zu einem gefälschten Web-Proxy umleiten und/oder die durch den ISATAP-Eintrag beschriebene ISATAP route zu fälschen.

  Das Web Proxy Autodiscovery Protocol (WPAD) ist ein Protokoll, das Web-Klienten (z.B. Browsern) erlaubt, in automatisierter Form Web-Proxies zu konfigurieren, in dem sie z.B. unter einer erratbaren Adresse eine entsprechende Konfiguration zur Verfügung gestellt erhalten. Windows-basierte DNS-Server sind in der Lage an ihre Klienten einen entsprechenden Record zu schicken, der zur automatischen Konfiguration des Klienten verwendet wird.

  Das Intra-Site Automatic Tunnel Addressing Protocol (ISATAP, RFC4241) ist ein Protokoll zur Konfiguration von Tunneln von IPv6 über IPv4. Innerhalb einer Windows-Domäne kann ein WINS-Server mittels seines ISATAP-Eintrags die notwendige Konfigurationsinformation für verwendete Tunnel zentral speichern und allen beteiligten Systemen auf Anfrage zur Verfügung zu stellen.

  Webbrowser, die einen Web-Proxy verwenden, stellen keine direkte Verbindung zu ihren Zielservern her, sondern fragen stattdessen den Proxy, der an ihrer Statt die Verbindung herstellt, die angefragte Seite im Cache speichert und die aktuelle sowie weitere Anfragen weiterer Klienten für eine gewisse Zeit aus dem Cache bedient. Dieses Verfahren hat neben einer Netzlastminderung auch Sicherheitsvorteile. Z.B. können die angefragten Seiten zentral auf gefährliche Inhalte (z.B. Malware) untersucht und entsprechend unterdrückt oder bereinigt werden.

  Die Schwachstelle erlaubt beliebigen Domänenteilnehmern einen WPAD-Eintrag und/oder einen ISATAP-Eintrag in einem betroffenen WINS-Server zu platzieren, sofern dort kein gültiger (entweder noch gar keiner oder ein abgelaufener) Eintrag vorhanden ist.

  Die erfolgreiche Ausnutzung der Schwachstelle führt dazu, dass die Anfragen aller den WPAD-Eintrag zur Konfiguration ihres Webbrowsers verwendenden Klienten auf einen durch den Angreifer gewählten Proxy umzuleiten. Sofern dieser unter der Kontrolle des Angreifers steht, kann er alle Anfragen durch durch ihn gewählte oder erzeugte Daten beantworten und hat somit Kontrolle über den gesamten Web-Verkehr der betroffenen Klienten.
  Ein entsprechend gefälschter ISATAP-Eintrag kann von einem Angreifer dazu ausgenutzt werden, innerhalb der Domäne verwendete IPv6-Tunnel auf ein durch den Angreifer gewähltes Ziel umzuleiten.

Workaround

• CVE-2009-0081:
  Abschaltung des Metafile Processing, siehe Microsoft Security Bulletin MS09-006: Workaround.
• CVE-2009-0082:
  Es ist kein Workaround verfügbar.
• CVE-2009-0083:
  Es ist kein Workaround verfügbar.
• CVE-2009-0085:
  Verwendung des Active Directory certificate mapping, siehe Microsoft Security Bulletin MS09-007: Workaround.
• CVE-2009-0233:
  Es ist kein Workaround verfügbar.
• CVE-2009-0234:
  Es ist kein Workaround verfügbar.
• CVE-2009-0093:
  Erzeugung und Installation eines entsprechenden WPAD-Eintrags, so dass der Server keine weiteren Einträge annimmt, siehe Microsoft Security Bulletin MS09-008: Workaround, sowie MSDN-Artikel "WinHTTP AutoProxy Support".
• CVE-2009-0094:
  Erzeugung und Installation eines entsprechenden WPAD-Eintrags, so dass der Server keine weiteren Einträge annimmt, siehe Microsoft Security Bulletin MS09-008: Workaround, sowie MSDN-Artikel "WinHTTP AutoProxy Support".

Gegenmaßnahmen

• CVE-2009-0081:
  Installation der mit dem Microsoft Security Bulletin MS09-006 bereitgestellten Patches bzw. Updates
• CVE-2009-0082:
  Installation der mit dem Microsoft Security Bulletin MS09-006 bereitgestellten Patches bzw. Updates
• CVE-2009-0083:
  Installation der mit dem Microsoft Security Bulletin MS09-006 bereitgestellten Patches bzw. Updates
• CVE-2009-0085:
  Installation der mit dem Microsoft Security Bulletin MS09-007 bereitgestellten Patches bzw. Updates
• CVE-2009-0233:
  Installation der mit dem Microsoft Security Bulletin MS09-008 bereitgestellten Patches bzw. Updates
• CVE-2009-0234:
  Installation der mit dem Microsoft Security Bulletin MS09-008 bereitgestellten Patches bzw. Updates
• CVE-2009-0093:
  Installation der mit dem Microsoft Security Bulletin MS09-008 bereitgestellten Patches bzw. Updates
• CVE-2009-0094:
  Installation der mit dem Microsoft Security Bulletin MS09-008 bereitgestellten Patches bzw. Updates

Vulnerability ID

• CVE-2009-0081
• CVE-2009-0082
• CVE-2009-0083
• CVE-2009-0085
• CVE-2009-0233
• CVE-2009-0234
• CVE-2009-0093
• CVE-2009-0094

Weitere Information zu diesem Thema

• CVE-2009-0081:
  
  • MS09-006
  • Windows GDI
  • Microsoft Knowledge Base Article 320314: image types and formats
• CVE-2009-0082:
  
  • MS09-006
• CVE-2009-0083:
  
  • MS09-006
• CVE-2009-0085:
  
  • MS09-007
• CVE-2009-0233:
  
  • MS09-008
  • RUS-CERT#1476 Kontext
• CVE-2009-0234:
  
  • MS09-008
  • RUS-CERT#1476 Kontext
• CVE-2009-0093:
  
  • MS09-008
• CVE-2009-0094:
  
  • MS09-008

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/