MS09-042: Een beveiligingsprobleem in Telnet kan leiden tot uitvoering van externe code

Artikel ID: 960859 - Bekijk de producten waarop dit artikel van toepassing is.

Inleiding

Microsoft heeft beveiligingsbulletin MS09-042 uitgebracht. Als u het volledige beveiligingsbulletin wilt weergeven, gaat u naar een van de volgende Microsoft-websites:

Thuisgebruikers:
http://www.microsoft.com/protect/computer/updates/bulletins/200908.mspx
(http://www.microsoft.com/protect/computer/updates/bulletins/200908.mspx)
De details overslaan: Download de updates voor uw thuiscomputer of laptop nu vanaf de Microsoft Update-website:
http://update.microsoft.com/microsoftupdate
(http://update.microsoft.com/microsoftupdate)
IT-professionals:
http://www.microsoft.com/netherlands/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/netherlands/technet/security/bulletin/MS09-042.mspx)

Hulp en ondersteuning voor deze beveiligingsupdate

Thuisgebruikers hebben toegang tot gratis ondersteuning via de dichtstbijzijnde Microsoft-vestiging. Bezoek de volgende internationale Microsoft-ondersteuningswebsite voor meer informatie over hoe u contact kunt opnemen met de dichtstbijzijnde Microsoft-vestiging voor ondersteuningsvragen naar aanleiding van beveiligingsupdates:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Klanten in Noord-Amerika kunnen ook onmiddellijk toegang krijgen tot onbeperkte gratis e-mailondersteuning of onbeperkte individuele chatondersteuning vanaf de volgende website van Microsoft:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

Voor zakelijke klanten is ondersteuning voor beveiligingsupdates beschikbaar via de gebruikelijke kanalen voor ondersteuning.

Naar boven | Geef ons feedback

Meer informatie

Aanvullende informatie over deze beveiligingsupdate

Waarop heeft dit beveiligingsbulletin betrekking?
Deze beveiligingsupdate heeft betrekking op reflectiebeveiliging in het Telnet-protocol. Lees het volgende beveiligingsbulletin voor meer informatie over reflectiebeveiliging:
http://www.microsoft.com/netherlands/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/netherlands/technet/security/bulletin/MS09-042.mspx)
Wat is Uitgebreide beveiliging?
Deze beveiligingsupdate bevat een verregaande beveiligingscorrectie, zodat er met betrekking tot de Telnet-client en -server kan worden gekozen voor een uitgebreide beveiliging. Deze functionaliteit is standaard uitgeschakeld. In deze beveiligingupdate en het volgende beveiligingsadvies wordt Uitgebreide beveiliging gedetailleerd beschreven. Lees beide items zorgvuldig door, zodat u bekend bent met de uitwerking van deze wijzigingen:
973811
(http://support.microsoft.com/kb/973811/ )
Microsoft-beveiligingsadvies: Uitgebreide beveiliging voor verificatie (Het Engels)
Hoe kan ik Uitgebreide beveiliging inschakelen op mijn computer?
Voordat u Uitgebreide beveiliging inschakelt, moet u ervoor zorgen dat de volgende update op de client- en de servercomputers is ge�nstalleerd:
968389
(http://support.microsoft.com/kb/968389/ )
Uitgebreide beveiliging voor verificatie
Als u voor Telnet Uitgebreide beveiliging wilt inschakelen, moeten u ervoor zorgen dat de updates in beveiligingsadvies 968389 en in dit artikel op de client- en de servercomputers zijn ge�nstalleerd.

Opmerking De instelling aan clientzijde waarmee u Uitgebreide beveiliging kunt inschakelen, is een instelling die betrekking heeft op het gehele systeem. Wanneer deze instelling wordt ingeschakeld, wordt Uitgebreide beveiliging ingeschakeld voor alle onderdelen op de clientcomputer.

Op een server moet Uitgebreide beveiliging voor elk van de afzonderlijke onderdelen apart worden ingeschakeld. Zorg ervoor dat alle clientonderdelen voor een bepaalde server zijn bijgewerkt voor Uitgebreide beveiliging voordat u deze functionaliteit op de server inschakelt omdat de verificatie anders kan mislukken. Nadat beide beveiligingsupdates zijn ge�nstalleerd, moet u Uitgebreide beveiliging inschakelen op de client- en de servercomputers.

Als u Uitgebreide beveiliging wilt inschakelen op uw computer, zijn de volgende wijzigingen vereist.

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756
(http://support.microsoft.com/kb/322756/ )
Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003
- Als de computer een Telnet-client is:
  1. Controleer of de registerwaarden SuppressExtendedProtection en LmCompatibilityLevel deel uitmaken van de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
  2. Als de registerwaarden niet aanwezig zijn, start u Register-editor en volgt u de volgende stappen:
    1. Selecteer de volgende registersleutel en klik op deze sleutel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
    2. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
    3. Typ SuppressExtendedProtection en druk op Enter.
    4. Open het menu Bewerken en klik op Wijzigen.
    5. Typ 0 en klik op OK.
    6. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
    7. Typ LmCompatibilityLevel en druk op ENTER.
    8. Open het menu Bewerken en klik op Wijzigen.
      
      Opmerking Deze stap zorgt ervoor dat de NTLM-verificatievereisten worden gewijzigd. Lees het volgende artikel in de Microsoft Knowledge Base zodat u bekend raakt met dit gedrag.
      239869
      (http://support.microsoft.com/kb/239869/ )
      NTLM 2-verificatie inschakelen (Het Engels)
    9. Typ 3 en klik op OK.
    10. Sluit Register-editor af.
- Op een Telnet-server:
  Lees voordat u beveiligingsmodi instelt het volgende MSDN-artikel. Breng daarna de volgende wijzigingen aan:
  http://msdn.microsoft.com/nl-nl/library/dd767318.aspx
  (http://msdn.microsoft.com/nl-nl/library/dd767318.aspx)
  1. Controleer of de registerwaarde ExtendedProtection deel uitmaakt van de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
  2. Als de registerwaarde niet aanwezig is, start u Register-editor en volgt u de volgende stappen:
    1. Selecteer de volgende registersleutel en klik op deze sleutel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
    3. Typ ExtendedProtection en druk op Enter.
    4. Open het menu Bewerken en klik op Wijzigen.
    5. Stel de registerwaarde in op basis van uw Telnet-vereisten door gebruik te maken van de volgende waarden en klik op OK:
      - Legacy: Alle type clients toelaten. Stel ExtendedProtection in op 0.
      - Partial: (Legacy + Uitgebreide beveiliging) Clients toestaan die geen SPN (Service Principal Name) verzenden of clients toestaan die de correcte SPN verzenden. Stel ExtendedProtection in op 1.
      - Fully Hardened: (Alleen Uitgebreide beveiliging) Clients toestaan die uitsluitend de correcte SPN verzenden. Stel ExtendedProtection in op 2.
    6. Sluit Register-editor af.
Wanneer u dit pakket installeert
De volgende registersleutel en waarde worden gemaakt op computers met Windows XP of op servers met Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
De standaardwaarde voor ExtendedProtection wordt ingesteld op 0. Onder Windows Vista moet deze sleutel handmatig worden gemaakt en de toepasselijk waarde moet worden ingevoerd op basis van de beveiligingsmodus die wordt geselecteerd. Als u de registerwaarde wilt toevoegen, volgt u de stappen die eerder in dit artikel zijn beschreven in de sectie Hoe kan ik Uitgebreide beveiliging inschakelen op mijn computer?
SPN's die standaard worden toegestaan op een Telnet-server:
- De Telnet-server staat standaard de volgende lijst met namen en IP's toe:
  - 'localhost' als een tekenreeks in het Engels.
  - Alle IP-varianten (IPv4 & IPv6) van uw eigen server of computer.
  - 127.0.0.1 & ::1
  - Hostname in een NetBIOS-notatie
  - Hostname in een FQDN-notatie
- Als de beheerder besluit om andere SPN's toe te laten, kan hij of zij op de volgende wijze meer namen toevoegen. De naam wordt niet geconverteerd van NetBIOS naar FQDN of van FQDN naar NetBIOS:
  - Als de registerwaarde AllowedSPN niet aanwezig is, start u Register-editor en volgt u de volgende stappen:
    1. Selecteer de volgende registersleutel en klik op deze sleutel:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. Wijs in het menu Bewerken de optie Nieuw aan en klik op Waarde met meerdere tekenreeksen.
    3. Typ AllowedSPN en druk op Enter.
    4. Open het menu Bewerken en klik op Wijzigen.
    5. Voeg de aliassen toe die u wilt toestaan als SPN's. De volgende vermelding is een geldige SPN voor Telnet:
      telnet/machinenaam
    6. Klik op OK en sluit Register-editor af.

Bekende problemen met deze beveiligingsupdate

Op computers met Windows XP of op servers met Windows Server 2003 kan het volgende localhost-probleem optreden bij IPv6-addressen en computeraliassen:

Microsoft Telnet-clients kunnen geen verbinding maken met lokale IPv6-adressen en aliassen van localhost, met uitzondering van localhost en hostname.

Voer de toepasselijk stappen uit om dit probleem op te lossen:
- Volg bij problemen met een IPv6-adres de stappen in de sectie Bekende problemen met deze beveiligingsupdate van het volgende Knowledge Base-artikel:
  960803
  (http://support.microsoft.com/kb/960803/ )
  MS09-013: Beveiligingsproblemen in Windows HTTP Services kunnen leiden tot uitvoering van externe code
- Volg bij een problemen met een localhost-alias Methode 1 uit de sectie Tijdelijke oplossing van het volgende Knowledge Base-artikel:
  896861
  (http://support.microsoft.com/kb/896861/ )
  Fout 401.1 wanneer u door een website bladert die ge�ntegreerde verificatie gebruikt en waarvoor IIS 5.1 of IIS 6 als host fungeert (Het Engels)
Wanneer u probeert om een Telnet-sessie met een IP-adres in het adressenbereik 127.*.*.* tot stand te brengen, mislukt de Telenet-sessie. Dit geldt echter niet voor het IP-adres 127.0.0.1.

Dit probleem treedt op onder Windows 2000, Windows XP en Windows Server 2003.
Reflectiebeveiliging is standaard niet beschikbaar onder Windows 2000.
Uitgebreide (relay) beveiliging is uitsluitend beschikbaar onder de volgende besturingssystemen:
- Alle versies van Windows Vista
- Windows Server 2003 Service Pack 2 QFE en Windows Server 2003 Service Pack 2 GDR
- Windows XP Service Pack 2 QFE, Windows XP Service Pack 2 GDR, Windows XP Service Pack 3 QFE en Windows XP Service Pack 3 GDR
U kunt geen Telnet-sessie openen op basis van een clusternaam en een FQDN-naam. U moet de clusternaam en de FQDN-naam toevoegen aan de registerwaarde AllowedSPN. Zie de sectie Wanneer u dit pakket installeert voor meer informatie over hoe u dit kunt doen.
U kunt geen Telnet-sessie met een server openen door gebruik te maken van een alias. U moet de aliasnaam toevoegen aan de registerwaarde AllowedSPN. Zie de sectie Wanneer u dit pakket installeert voor meer informatie over hoe u dit kunt doen.
Deze update wordt niet aangeboden aan klanten met Windows 2000 bij wie Services voor Unix op het systeem is ge�nstalleerd.

Naar boven | Geef ons feedback

Bestandsgegevens

Met de Engelse (VS) versie van dit updatepakket worden de bestanden ge�nstalleerd met de kenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in de UTC-notatie (Coordinated Universal Time). De datums en tijden voor deze bestanden worden weergegeven in uw lokale tijd, waarbij rekening is gehouden met de zomer- of wintertijd. De datums en tijden kunnen veranderen wanneer u bepaalde acties op de bestanden uitvoert.