Microsoft Patchday Januar 2015

Kritisches Update für den Telnet Service

| Redakteur: Stephan Augsten

Nur Systeme mit aktiviertem Telnet-Dienst erhalten das einzige kritische Update im Januar 2015.
Nur Systeme mit aktiviertem Telnet-Dienst erhalten das einzige kritische Update im Januar 2015. (Bild: VBM)

Microsoft stellt im Januar 2015 acht Security Bulletins für ebenso viele Sicherheitslücken bereit. Nur einer der damit korrigierten Fehler gilt als schwerwiegend. Die kritische Schwachstelle findet sich in sämtlichen Windows-Versionen, genauer gesagt im Telnet-Dienst.

Alle noch unterstützten Client- und Server-Betriebssysteme von Microsoft könnten vom Security Bulletin MS15-002 betroffen sein. Voraussetzung ist allerdings, dass der anfällige Telnet Service in der Vergangenheit installiert und aktiviert worden ist. Bei allen Client-Vertretern nach Windows Vista ist Telnet von Haus aus nicht installiert.

Interessant ist das Update deshalb insbesondere für Unternehmen, in denen Administratoren Telnet nutzen – aber eben auch für technisch versierte Privatanwender, die die Komponente aktiviert haben. Schickt ein Angreifer speziell gestaltete Datenpakete an Telnet, kann er beliebigen Code von außen auf dem Rechner ausführen (Remote Code Execution, RCE). Nach dem Update werden Benutzereingaben, die an Telnet gerichtet sind, strenger geprüft.

Vier der übrigen sieben Sicherheitslücken erlauben es, in verschiedenen Szenarios die Rechte des aktuell angemeldeten Benutzers zu erhöhen (Elevation of Privilege. EoP). So behebt das Update MS15-001 eine Schwachstelle im Windows Application Compatibility Cache (Anwendungskompatibilitäts-Cache). Nur Windows Vista und Windows Server 2003 sind nicht betroffen, alle übrigen Microsoft-Betriebssysteme werden aktualisiert.

Um die Anfälligkeit auszunutzen, muss der Angreifer sich zunächst einen Zugang zum System verschaffen, also im Besitz der Zugangsdaten sein oder den Benutzer anderweitig austricksen. Anschließend muss der Eindringling eine speziell gestaltete Anwendung starten.

Ähnlich ist das Vorgehen bei einer aktuellen EoP-Lücke im Windows User Profile Service. Erschwerend kommt in diesem Fall allerdings hinzu, dass ein Angreifer sich vor Ort am betroffenen Rechner anmelden muss. Die Sicherheitsaktualisierung MS15-003 schafft Abhilfe auf sämtlichen Windows-Systemen.

Etwas bedeckt hält sich Microsoft bei der Beschreibung des Update-Eintrags MS15-004: Der Hersteller spricht allgemein von einer Schwachstelle in Windows-Komponenten, die sich mit Ausnahme von Server 2003 in allen unterstützten Betriebssystemen findet. Auch in den Kernelmodus-Treibern von Windows wurde eine EoP-Schwachstelle gefunden, die mit dem Patch MS15-008 ausgeräumt werden soll.

Zwei Sicherheitslücken, die das Umgehen von Sicherheitsmechanismen ermöglichen, wurden im Network Location Awareness Service sowie in der Fehlerberichterstattung gefunden. Die Fehler werden mithilfe der Sicherheitsupdates MS15-005 und MS15-006 bereinigt.

Bleibt am ersten Patchday des Jahres 2015 noch das wichtige Security Bulletin MS15-007, das sich einer Denial-of-Service-Schwachstelle annimmt. Diese betrifft zum einen den Internet Authentication Service (IAS), zum anderen Network Policy Server (NPS). Die Anfälligkeit erlaubt eine RADIUS-Authentifizierung auf anfälligen Installationen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43153084 / Schwachstellen-Management)