Ungeschützter Universal Plug & Play-Puffer gefährdet möglicherweise System in Windows XP

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel wurde zuvor veröffentlicht unter D315000
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
315000 Unchecked Buffer in Universal Plug and Play Can Lead to System Compromise for Windows XP
Problembeschreibung
Mithilfe des Universal Plug & Play-Diensts (UPnP) können Computer netzwerkbasierte Geräte automatisch erkennen und verwenden. Microsoft Windows Millennium Edition (Me) und Microsoft Windows XP beinhalten UPnP-Dienste, Microsoft Windows 98 und Microsoft Windows 98 Second Edition jedoch nicht. Sie können aber auf einem Computer mit Windows 98 oder Windows 98 Second Edition die UPnP-Dienste installieren, indem Sie den Client für die Internetverbindungsfreigabe (ICS, Internet Connection Sharing), der in Windows XP enthalten ist, installieren.

Dieser Artikel beschreibt zwei Sicherheitsanfälligkeiten, die die Implementierung von UPnP in unterschiedlichen Produkten betreffen. Obwohl die beiden Sicherheitsanfälligkeiten nicht miteinander zusammenhängen, haben beide damit zu tun, wie UPnP-fähige Computer die Erkennung von neuen Geräten im Netzwerk durchführen.

Die erste Sicherheitsanfälligkeit wird durch einen möglichen Pufferüberlauf verursacht. In einer der Windows XP-Komponenten, die NOTIFY-Anweisungen (Nachrichten, die im Netzwerk über die Verfügbarkeit von UPnP-fähigen Geräten informieren) verarbeiten, befindet sich ein ungeprüfter Puffer. Ein Angreifer könnte im Kontext des UPnP-Diensts Code zur Ausführung bringen, indem er eine spezifisch manipulierte NOTIFY-Anweisung sendet. Dieser Code würde dann in Windows XP mit Systemberechtigungen ausgeführt werden. In Windows 98 und Windows Me gibt es keinen Sicherheitskontext, sodass jeder Code als Teil des Betriebssystems ausgeführt wird. Dies würde es einem Angreifer erlauben, Kontrolle über den gesamten Computer zu erlangen.

Die zweite Sicherheitsanfälligkeit resultiert daraus, dass der UPnP-Dienst die Schritte, die er zur Abfrage von Informationen über die Verwendung neu erkannter Geräte durchführt, nicht ausreichend begrenzt. Die NOTIFY-Anweisung, die das neue UPnP-Gerät aussendet, enthält Informationen, wo interessierte Computer die Gerätebeschreibung zu diesem Gerät finden können. Diese Gerätebeschreibung führt die Dienste auf, die das Gerät bietet, und erklärt, wie sie verwendet werden können. Standardmäßig ist es möglich, dass diese Gerätebeschreibung nicht auf dem Gerät selbst, sondern auf einem fremden Server zu finden ist. Die UPnP-Implementierungen regulieren jedoch leider nicht ausreichend, wie dieser Vorgang durchzuführen ist. Dies kann zwei unterschiedliche Denial-of-Service-Szenarien zur Folge haben:

Im ersten Denial-of-Service-Szenario würde ein Angreifer eine NOTIFY-Anweisung an einen UPnP-fähigen Computer senden, die angibt, dass die Gerätebeschreibung über einem bestimmten Port von einem bestimmten Server heruntergeladen werden soll. Wäre der Server darauf konfiguriert, die Download-Anforderungen einfach an den UPnP-Dienst zurückzusenden (indem zum Beispiel der Echo-Dienst für dem Port, an den der Computer die Anfrage adressieren soll, ausgeführt wird), befände sich der Computer plötzlich in einer endlosen Download-Schleife, die die gesamte Verfügbarkeit des Systems beeinträchtigen könnte. Ein Angreifer könnte diese Anweisung gezielt an den Computer eines Opfers senden, indem er die IP-Adresse dieses Computers verwendet. Auch könnte der Angreifer diese Anweisung an eine Broadcast- oder Multicast-Domäne senden und damit alle Computer mit Windows XP als Betriebssystem in dieser Broadcast- und Multicast-Domäne angreifen. Damit würde ein Teil oder die gesamte Verfügbarkeit dieser Computer aufgebraucht werden.

Im zweiten Denial-of-Service-Szenario könnte ein Angreifer in der NOTIFY-Anweisung einen fremden Server als Host für die Gerätebeschreibung angeben. Wenn genug Computer auf diese Anweisung antworten, könnte es dazu führen, dass der fremde Server mit ungültigen Anfragen überflutet wird, sodass es zu einem verteilten Denial-of-Service-Angriff kommt. Wie bereits im ersten Denial-of-Service-Szenario könnte der Angreifer die Anweisungen entweder direkt an das Opfer oder an eine Broadcast- oder Multicast-Domäne senden.

Schadensbegrenzende Faktoren

Allgemeines

Gängige Firewall-Praktiken (insbesondere die Blockierung der Ports 1900 und 5000) können dazu verwendet werden, Unternehmensnetzwerke vor internetbasierten Angriffen zu schützen.

Windows 98 und Windows 98 Second Edition

  • Standardmäßig ist die Unterstützung für UPnP in diesen Betriebssystemen nicht enthalten. Computer mit Windows 98 oder Windows 98 Second Edition können nur von diesem Problem betroffen sein, wenn auf ihnen der Client für die Internetverbindungsfreigabe von Windows XP installiert ist.
  • Wenn auf Computern mit Windows 98 oder Windows 98 Second Edition als Betriebssystem der Client für die Internetverbindungsfreigabe von Windows XP installiert ist, und dieser Windows XP-Computer verfügt bereits über dieses Update, so sind diese Computer nicht von diesem Problem betroffen.

Windows Me

Zwar bietet Windows Me UPnP-Unterstützung, jedoch ist dies UPnP-Unterstützung nicht standardmäßig installiert oder in Betrieb. Jedoch konfigurieren einige Computerhersteller (OEMs, Original Equipment Manufacturers) Ihre Computer so, dass der UPnP-Dienst automatisch installiert ist und automatisch ausgeführt wird.

Windows XP

Die Internetverbindungsfirewall (Internet Connection Firewall, ICF), die standardmäßig ausgeführt wird, hindert einen Angreifer daran, einen direkten Angriff erfolgreich durchzuführen. Da jedoch die Internetverbindungsfirewall eingehenden Broadcast- oder Multicast-Datenverkehr nicht blockiert, bietet sie keinen Schutz vor einem solchen Angriff.
Lösung
Installieren Sie das neueste Service Pack für Windows XP, um dieses Problem zu beheben. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
322389 Wie Sie das neueste Service Pack für Windows XP erhalten
Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:
Datum der Freigabe: 20.12.01

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.Die englische Version dieses Updates sollte die folgenden Dateiattribute (oder höher) aufweisen:
   Datum        Zeit   Version      Größe    Dateiname   ------------------------------------------------------   18-Dec-2001  15:12  6.0.2448.0   324,608  Netsetup.exe   17-Dec-2001  18:02  5.1.2600.23   26,624  Ssdpapi.dll   17-Dec-2001  18:02  5.1.2600.23   41,472  Ssdpsrv.dll   17-Dec-2001  18:02  5.1.2600.23  119,808  Upnp.dll   06-Dec-2001  10:58  5.1.2600.22  245,248  Update.exe   18-Dec-2001  15:53                32,573  Update.inf   18-Dec-2001  17:27                   294  Update.ver				

Status
Microsoft hat bestätigt, dass dieses Problem zu einem gewissen Maße eine Sicherheitsanfälligkeit in Windows XP zur Folge haben kann. Dieses Problem wurde erstmals in Windows XP Service Pack 1 behoben.
Weitere Informationen
Weitere Informationen dazu, wie Sie dieses Problem in anderen Betriebssystemen lösen können, finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
314757Ungeschützter Universal Plug & Play-Puffer gefährdet möglicherweise System in Windows Me
314941 Ungeschützter Universal Plug & Play-Puffer gefährdet möglicherweise System in Windows 98
Weitere Informationen zu diesem Problem finden Sie auf folgender Website von Microsoft:
security_patch dos KbSECVulnerability KbSECHack KBSECBulletin
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 315000 – Letzte Überarbeitung: 01/12/2015 19:31:35 – Revision: 3.4

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbenv kbfix kbnetwork kbsecurity kbwinxpsp1fix KB315000
Feedback