Sicherheitsempfehlung
Microsoft Security Advisory 899588
Sicherheitsanfälligkeit in Plug & Play könnte Remotecodeausführung und Rechteerweiterung zulassen
Veröffentlicht: 11. August 2005 | Aktualisiert: 17. August 2005
Zotob ist ein Wurm, der auf Windows 2000-basierten Computern ausgerichtet ist und ein Sicherheitsproblem nutzt, das von Microsoft Security Bulletin MS05-039 behoben wurde. Dieser Wurm und seine Varianten installieren bösartige Software und suchen dann nach anderen Computern, um infizieren.
Wenn Sie das mit dem Sicherheitsbulletin MS05-039 veröffentlichte Update installiert haben, sind Sie bereits vor Zotob und seinen Varianten geschützt. Wenn Sie eine andere unterstützte Version von Windows als Windows 2000 verwenden, sind Sie nicht gefährdet von Zotob und den zugehörigen Varianten. Im Rahmen unseres Reaktionsprozesses für Softwaresicherheitsvorfälle hat unsere Untersuchung festgestellt, dass nur eine kleine Anzahl von Kunden betroffen ist, und Microsoft-Sicherheitsexperten arbeiten direkt mit ihnen zusammen. Wir haben keine Anzeichen für weitverbreitete Auswirkungen auf das Internet gesehen. Kunden, die der Meinung sind, dass sie angegriffen wurden, sollten sich an ihr lokales FB-Büro wenden oder ihre Beschwerde auf der Website des Internet Fraud Complaint Centers veröffentlichen. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden.
Weitere Informationen zu diesen Würmern, um zu ermitteln, ob Sie von diesen Würmern infiziert wurden, und anweisungen zum Reparieren Ihres Systems, wenn Sie von diesen Würmern infiziert wurden, finden Sie auf der Zotob Security Incident-Website oder der Microsoft Virus Encyclopedia. Informationen zu Microsoft Virus Encyclopedia-Referenzen finden Sie im Abschnitt "Übersicht". Sie können auch das Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden, um nach dem Zotob-Wurm und seinen Varianten von Ihrer Festplatte zu suchen und zu entfernen.
Andere Versionen von Windows, einschließlich Windows XP Service Pack 2 und Windows Server 2003, sind nicht von Worm:Win32/Zotob.A, seinen Variationen und ähnlichen Würmern betroffen, die versuchen, die Sicherheitsanfälligkeit von Windows Plug & Play auszunutzen, es sei denn, sie wurden bereits durch andere Schadsoftware kompromittiert. Kunden können sich vor Angriffen schützen, die versuchen, diese Sicherheitsanfälligkeit zu nutzen, indem sie die Sicherheitsupdates installieren, die vom Microsoft Security Bulletin MS05-039 sofort bereitgestellt werden. Das Sicherheitsbulletin MS05-039 ist auf der folgenden Website verfügbar.
Microsoft ist enttäuscht, dass bestimmte Sicherheitsforscher die allgemein akzeptierte Industriepraxis beim Zurückhalten von Sicherheitsrisikendaten so nah an der Updateversion verletzt und Exploit-Code veröffentlicht haben, wodurch Computerbenutzer potenziell schaden. Wir fordern Sicherheitsforscher weiterhin nachdrücklich auf, sicherheitsrelevante Informationen verantwortungsbewusst offenzulegen und Kunden Zeit für die Bereitstellung von Updates zu ermöglichen, damit sie kriminelle Personen nicht bei ihrem Versuch unterstützen, Softwarerisiken nutzen zu können.
Mildernde Faktoren:
- Windows 2000-Systeme sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Windows 2000-Kunden, die das Sicherheitsupdate MS05-039 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen. Wenn ein Administrator anonyme Verbindungen deaktiviert hat, indem die Standardeinstellung des RestrictAnonymous-Registrierungsschlüssels auf einen Wert von 2 geändert wird, wären Windows 2000-Systeme nicht remote von anonymen Benutzern anfällig. Aufgrund eines großen Anwendungskompatibilitätsrisikos empfehlen wir Kunden jedoch nicht, diese Einstellung in Produktionsumgebungen zu aktivieren, ohne zunächst die Einstellung in ihrer Umgebung umfassend zu testen. Weitere Informationen finden Sie auf der Microsoft-Hilfe- und Supportwebsite nach RestrictAnonymous.
- Obwohl nicht das aktuelle Ziel dieser Angriffe, ist es wichtig zu beachten, dass ein Angreifer unter Windows XP Service Pack 2 und Windows Server 2003 über gültige Anmeldeinformationen verfügen muss und sich lokal anmelden kann, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte nicht remote von anonymen Benutzern oder Benutzern mit Standardbenutzern unter Windows XP Service Pack 2 oder Windows Server 2003 ausgenutzt werden. Dies liegt an verbesserter Sicherheit, die direkt in die betroffene Komponente integriert ist. Selbst wenn ein Administrator anonyme Verbindungen aktiviert hat, indem die Standardeinstellung des RestrictAnonymous-Registrierungsschlüssels geändert wird, sind Windows XP Service Pack 2 und Windows Server 2003 nicht remote durch anonyme Benutzer oder Benutzer mit Standardbenutzern anfällig. Die betroffene Komponente ist jedoch remote für Benutzer verfügbar, die über Administratorberechtigungen verfügen.
- Obwohl nicht das aktuelle Ziel dieser Angriffe, ist es wichtig zu beachten, dass ein Angreifer unter Windows XP Service Pack 1 über gültige Anmeldeinformationen verfügen muss, um zu versuchen, diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit konnte nicht remote von anonymen Benutzern ausgenutzt werden. Die betroffene Komponente ist jedoch remote für Benutzer verfügbar, die über Standardbenutzerkonten unter Windows XP Service Pack 1 verfügen. Die vorhandenen Angriffe sind nicht für die Bereitstellung der Authentifizierung vorgesehen, die erforderlich ist, um dieses Problem auf diesen Betriebssystemen auszunutzen. Selbst wenn ein Administrator anonyme Verbindungen aktiviert hat, indem die Standardeinstellung des RestrictAnonymous-Registrierungsschlüssels geändert wird, sind Windows XP Service Pack 1-Systeme nicht remote von anonymen Benutzern anfällig.
- Dieses Problem wirkt sich nicht auf Windows 98, Windows 98 SE oder Windows Millennium Edition aus.
Allgemeine Informationen
Übersicht
Zweck der Empfehlung: Benachrichtigung über aktive Kundenangriffe und die Verfügbarkeit eines Sicherheitsupdates, um vor dieser potenziellen Bedrohung zu schützen.
Advisory Status: Advisory published. Da dieses Problem bereits im Rahmen des Sicherheitsbulletins MS05-039 behoben wurde, ist kein zusätzliches Update erforderlich.
Empfehlung: Kunden sollten das Microsoft Windows-Tool zum Entfernen bösartiger Software verwenden, um die Zotob-Infektion zu überprüfen und zu entfernen und das MS05-039-Sicherheitsupdate zu installieren, um vor dieser Sicherheitsanfälligkeit zu schützen.
| References | Identifikation |
|---|---|
| Sicherheitsrisikoverweise | |
| CVE-Referenz | CAN-2005-1983 |
| Sicherheitsbulletin | MS05-039 |
| Exploit- und Wurmdetails | |
| Zotob-Sicherheitsvorfall | Website |
| Tool zum Entfernen bösartiger Software | Website |
| Microsoft Virus Encyclopedia | Worm:Win32/Zotob.A, Worm:Win32/Zotob.B, Worm:Win32/Zotob.C, Worm:Win32/Zotob.D, Worm:Win32/Zotob.EWorm:Win32/Esbot.A, Worm:Win32/Rbot.MA, Worm:Win32/Rbot.MB, Worm:Win32/Rbot.MC, Bobax.O |
| Symantec | W32. Zotob.A, W32. Zotob.B, W32. Zotob.D, W32. Zotob.E,W32. Zotob.G |
| F-Secure | Zotob.A, Zotob.B, Zotob.C, Bozori.A, Bozori.B, Bozori.C |
| McAfee | W32/Zotob.worm,W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm! MS05-039, W32/Sdbot.worm! MS05-039,W32/Sdbot.worm!51326 |
Hinweis : Diese Empfehlung wird nicht für zukünftige Variationen aktualisiert, es sei denn, sie unterscheiden sich wesentlich von den vorhandenen Versionen.
In dieser Empfehlung wird die folgende Software erläutert.
| Verwandte Software |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 für Itanium-basierte Systeme |
| Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme |
| Microsoft Windows Server 2003 x64 Edition |
| Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) und Microsoft Windows Millennium Edition (ME) |
Häufig gestellte Fragen
Was ist der Umfang der Beratung?
Zotob ist ein Wurm, der auf Windows 2000-basierten Computern ausgerichtet ist und ein Sicherheitsproblem nutzt, das von Microsoft Security Bulletin MS05-039 behoben wurde. Dieser Wurm und seine Varianten installieren bösartige Software und suchen dann nach anderen Computern, um infizieren. Wenn Sie das mit dem Sicherheitsbulletin MS05-039 veröffentlichte Update installiert haben, sind Sie bereits vor Zotob und seinen Varianten geschützt. Wenn Sie eine andere unterstützte Version von Windows als Windows 2000 verwenden, sind Sie nicht gefährdet von Zotob und den zugehörigen Varianten.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein zusätzliches Sicherheitsupdate ausgibt?
Nein Kunden, die die MS05-039-Sicherheitsupdates installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
Was verursacht diese Bedrohung?
Ein deaktivierter Puffer im Plug & Play Dienst. Weitere Details zu Sicherheitsrisiken finden Sie im Sicherheitsbulletin MS05-039 .
Was kann ein Angreifer für diese Funktion verwenden?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Vorgeschlagene Aktionen
Suchen Sie nach und entfernen Sie die Zotob-Infektion.
Sie können das Tool zum Entfernen bösartiger Software von Microsoft Windows verwenden, um den Zotob-Wurm und seine Varianten von Ihrer Festplatte zu suchen und zu entfernen.
Kunden sollten dieMS05-039-Sicherheitsupdatesinstallieren, um vor dieser Sicherheitsanfälligkeit zu schützen.
Windows 2000-Systeme sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Kunden, die das Sicherheitsupdate MS05-039 installiert haben, sind von dieser Sicherheitsanfälligkeit nicht betroffen.
Kunden, die der Meinung sind, dass sie angegriffen wurden, sollten sich an ihr lokales FB-Büro wenden oder ihre Beschwerde auf der Website des Internet Fraud Complaint Centers veröffentlichen. Kunden außerhalb der USA sollten sich an die nationale Strafverfolgungsbehörde in ihrem Land wenden.
Kunden in den USA und Kanada, die glauben, dass sie von dieser möglichen Sicherheitsanfälligkeit betroffen sind, können technischen Support von Microsoft Product Support Services bei 1-866-PCSAFETY erhalten. Es gibt keine Kosten für Den Support, der mit Sicherheitsupdateproblemen oder Viren verbunden ist." Internationale Kunden können Support erhalten, indem Sie eine der Methoden verwenden, die auf der Website "Sicherheitshilfe" und "Support für Private Benutzer" aufgeführt sind. Alle Kunden sollten die neuesten von Microsoft veröffentlichten Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Systeme vor der versuchten Ausbeutung geschützt sind. Kunden, die automatische Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates finden Sie auf der Microsoft Security-Website.
Schützen Ihres PCs
Wir ermutigen kunden weiterhin, unseren Schutz Your PC-Anleitungen zu befolgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Ant-Virus-Software zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie die Website "Schützen Ihres PCs" besuchen.
Windows auf dem neuesten Stand halten
Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Windows Update-Website, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.
Sonstige Informationen
Ressourcen:
- Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
- Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie auf der Website für den internationalen Support.
- Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- 11. August 2005: Empfehlung veröffentlicht
- 14. August 2005: Empfehlung wurde aktualisiert, um Kunden zu beraten, dass Microsoft aktiv analysiert und Anleitungen für einen böswilligen Wurm bereitstellt, der als "Worm:Win32/Zotob.A" identifiziert wurde.
- 15. August 2005: Empfehlung wurde aktualisiert, um zusätzliche Varianten von Worm:Win32/Zotob.A zu dokumentieren. Außerdem haben wir die Empfehlung aktualisiert, um Informationen über die Auswirkungen des RestrictAnonymous-Registrierungsschlüssels zu dokumentieren.
- 16. August 2005: Empfehlung wurde aktualisiert, um zusätzliche Informationen zu Variationen von Worm:Win32/Zotob.A und zusätzliche Informationen zur laufenden Untersuchung zu dokumentieren.
- 17. August 2005: Empfehlung wurde aktualisiert, um zusätzliche Informationen zu Variationen von Worm:Win32/Zotob.A zu dokumentieren. Darüber hinaus kündigen wir die Verfügbarkeit einer überarbeiteten Version des Microsoft Windows-Tools zum Entfernen bösartiger Software an, das dazu beiträgt, diese Angriffe zu beheben.
Gebaut am 2014-04-18T13:49:36Z-07:00