Microsoft-Sicherheitsempfehlung 3009008

Sicherheitsanfälligkeit in SSL 3.0 kann Offenlegung von Information ermöglichen

Veröffentlicht: 14. Oktober 2014 | Aktualisiert: 14. April 2015

Version: 3.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist sich dessen bewusst, dass ausführliche Informationen veröffentlicht wurden, mit denen eine neue Methode zum Ausnutzen einer Sicherheitsanfälligkeit in SSL 3.0 beschrieben wird. Dies ist eine branchenweite Sicherheitsanfälligkeit, die das SSL 3.0-Protokoll an sich betrifft und nicht für das Windows-Betriebssystem spezifisch ist. Alle unterstützten Versionen von Microsoft Windows implementieren dieses Protokoll und sind von dieser Sicherheitsanfälligkeit betroffen. Microsoft ist sich zu diesem Zeitpunkt keiner Angriffe bewusst, bei denen versucht wird, die gemeldete Sicherheitsanfälligkeit auszunutzen. In Anbetracht des Angriffsszenarios wird diese Sicherheitsanfälligkeit nicht als hochriskant für Benutzern betrachtet.

Wir arbeiten aktiv mit Partnern in unserem Microsoft Active Protections Program (MAPP) zusammen, um Informationen bereitzustellen, mit denen sie einen umfassenderen Schutz für ihre Kunden bereitstellen können.

Microsoft kündigt an, dass mit der Veröffentlichung von Sicherheitsupdate 3038314 am 14. April 2015 SSL 3.0 in Internet Explorer 11 standardmäßig deaktiviert wird. Zudem gibt Microsoft bekannt, dass SSL 3.0 in den kommenden Monaten in den Microsoft-Onlinediensten deaktiviert werden wird. Wir empfehlen den Benutzern, Clients und Dienste zu Sicherheitsprotokollen mit höherer Sicherheit, z. B. TLS 1.0, TLS 1.1 oder TLS 1.2, zu migrieren.

Schadensbegrenzende Faktoren:

  • Der Angreifer muss mehrere hundert HTTPS-Anforderungen stellen, bevor der Angriff erfolgreich sein kann.
  • TLS 1.0, TLS 1.1, TLS 1.2 und alle Verschlüsselungssammlungen, bei denen nicht der CBC-Modus verwendet wird, sind nicht betroffen.

Empfehlung. Im Abschnitt Vorgeschlagene Aktionen dieser Empfehlungen finden Sie Problemumgehungen zum Deaktivieren von SSL 3.0. Microsoft empfiehlt den Kunden, die diese Problemumgehungen verwenden, ihre Clients und Dienste darauf zu testen, ob die Nutzung von SSL 3.0 möglich ist, und entsprechend zu migrieren.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

Verweise Identifizierung
Knowledge Base-Artikel 3009008
CVE-Referenz CVE-2014-3566

Betroffene Software

Diese Empfehlung betrifft die folgende Software.

Betroffene Software

Betriebssystem
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Windows 8 für 32-Bit-Systeme
Windows 8 für x64-basierte Systeme
Windows 8.1 für 32-Bit-Systeme
Windows 8.1 für x64-basierte Systeme
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
Windows Server 2012 (Server Core-Installation)
Windows Server 2012 R2 (Server Core-Installation)

Häufig gestellte Fragen (FAQs) zu dieser Empfehlung

Ich verwende eine ältere Version von Internet Explorer als Version 11. Wie kann ich mein System vor dieser Sicherheitsanfälligkeit schützen?
SSL 3.0 wird nur in Internet Explorer 11 unter allen unterstützten Editionen von Microsoft Windows deaktiviert. Wenn Sie eine andere Version von Internet Explorer verwenden, suchen Sie im Abschnitt „Empfohlene Maßnahmen‟ nach Problemumgehungen, die Sie auf Ihr System anwenden können, um es vor dieser Sicherheitsanfälligkeit zu schützen.

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass Microsoft sich ausführlicher Informationen bewusst ist, mit denen eine neue Methode zum Ausnutzen einer Sicherheitsanfälligkeit beschrieben wird, die sich auf SSL 3.0 auswirkt. Diese Sicherheitsanfälligkeit ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Bei einem Man-in-the-Middle-Angriff (MITM) kann ein Angreifer eine verschlüsselte TLS-Sitzung herunterstufen und Clients zur Verwendung von SSL 3.0 zwingen und dann durchsetzen, dass der Browser schädlichen Code ausführt. Dieser Code sendet mehrere Anforderungen an eine Ziel-HTTPS-Website, wobei automatisch Cookies gesendet werden, wenn eine bereits authentifizierte Sitzung vorhanden ist. Diese Bedingung ist erforderlich, um diese Sicherheitsanfälligkeit auszunutzen. Der Angreifer kann diesen HTTPS-Datenverkehr dann abfangen und durch Ausnutzung einer Schwachstelle in der CBC-Blockchiffre in SSL 3.0 Teile des verschlüsselten Datenverkehrs (z. B. Authentifizierungscookies) entschlüsseln.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Teile des verschlüsselten Datenverkehrs entschlüsseln.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird durch eine Schwachstelle im CBC-Verschlüsselungsalgorithmus in SSL 3.0 verursacht.

Was ist SSL?
SSL (Secure Sockets Layer) ist ein kryptografisches Protokoll, das Kommunikationssicherheit über das Internet bereitstellt. Mit SSL werden die Daten verschlüsselt, die über das Netzwerk transportiert werden. Dabei werden die Kryptografie für den Datenschutz und ein kodierter Nachrichtenauthentifizierungscode für die Nachrichtenzuverlässigkeit verwendet.

Was ist TLS?
TLS (Transport Layer Security) ist ein Standardprotokoll, mit dem eine sichere Internetkommunikation im Internet oder in Intranets bereitgestellt wird. Es ermöglicht Clients, Server zu authentifizieren, und optional auch Servern, Clients zu authentifizieren. Des Weiteren wird damit ein sicherer bereitgestellt, indem die Kommunikation verschlüsselt wird. TLS ist die aktuelle Version des Protokolls SSL (Secure Sockets Layer).

Ist TLS von diesem Problem betroffen?
Nein. Dieses Problem ist spezifisch für SSL 3.0.

Ist dies ein branchenweites Problem?
Ja. Die Sicherheitsanfälligkeit liegt in der Gestaltung des SSL 3.0-Protokolls und ist nicht auf dessen Implementierung durch Microsoft beschränkt.

Empfohlene Maßnahmen

Anwenden von Problemumgehungen

Problemumgehungen beziehen sich auf eine Einstellung oder Konfigurationsänderung, die das zugrunde liegende Problem nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bis ein Sicherheitsupdate zur Verfügung steht.

  • Deaktivieren von SSL 3.0 und Aktivieren von TLS 1.0, TLS 1.1 und TLS 1.2 in Internet Explorer

    Sie können das Protokoll SSL 3.0 Internet Explorer deaktivieren, indem Sie die erweiterten Sicherheitseinstellungen in Internet Explorer ändern.

    Führen Sie die folgenden Schritte durch, um die Standardprotokollversion zu ändern, die für HTTPS-Anforderungen verwendet wird:

    1. Klicken Sie im Internet Explorer-Menü Extras auf Internetoptionen.
    2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Erweitert.
    3. Deaktivieren Sie in der Kategorie Sicherheit das Kontrollkästchen SSL 3.0verwenden, und aktivieren Sie die Kontrollkästchen TLS 1.0 verwenden, TLS 1.1 verwenden und TLS 1.2 verwenden (falls verfügbar).
    4. Hinweis Aktivieren Sie unbedingt die aufeinander folgenden Versionen. Wenn Sie nicht alle aufeinander folgenden Versionen auswählen (z. B. wenn Sie TLS 1.0 und 1.2. aktivieren, nicht jedoch 1.1), kann dies zu Verbindungsfehlern führen.
    5. Klicken Sie auf OK.
    6. Beenden Sie Internet Explorer, und starten Sie ihn neu.

Hinweis Nachdem diese Problemumgehung angewendet wurde, kann Internet Explorer keine Verbindung mehr zu Webservern herstellen, die SSL nur bis zu Version 3.0 und die TLS 1.0, TLS 1.1 und TLS 1.2 nicht unterstützen.

Hinweis

Informationen bezüglich der automatisierten Microsoft Fix it-Lösung zum Deaktivieren von SSL 3.0 nur in Internet Explorer finden Sie im Microsoft Knowledge Base-Artikel 3009008.

So machen Sie die Problemumgehung rückgängig Gehen Sie wie folgt vor, um SSL 3.0 in Internet Explorer zu aktivieren:

  1. Klicken Sie im Internet Explorer-Menü Extras auf Internetoptionen.
  2. Klicken Sie im Dialogfeld Internetoptionen auf die Registerkarte Erweitert.
  3. Aktivieren Sie in der Kategorie Sicherheit die Option SSL3.0verwenden.
  4. Klicken Sie auf OK.
  5. Beenden Sie Internet Explorer, und starten Sie ihn neu.
  • Deaktivieren von SSL 3.0 und Aktivieren von TLS 1.0, TLS 1.1 und TLS 1.2 für Internet Explorer durch Gruppenrichtlinien

    Sie können die Unterstützung des Protokolls SSL 3.0 in Internet Explorer über Gruppenrichtlinien deaktivieren, indem Sie das Gruppenrichtlinienobjekt "Unterstützung der Verschlüsselung deaktivieren" ändern.

    1. Öffnen Sie die „Gruppenrichtlinienverwaltung“.
    2. Wählen Sie das Gruppenrichtlinienobjekt aus, das Sie ändern möchten, klicken Sie mit der rechten Maustaste, und wählen Sie Bearbeiten aus.
    3. Blättern Sie im „Gruppenrichtlinienverwaltungs-Editor“ zur folgenden Einstellung:

      Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Seite "Erweitert" -> Unterstützung der Verschlüsselung deaktivieren

    4. Doppelklicken Sie auf die Einstellung Unterstützung der Verschlüsselung deaktivieren, um sie zu bearbeiten.

    5. Klicken Sie auf Aktiviert.
    6. Ändern Sie im Fenster „Optionen“ die Einstellung „Kombinationen von sicheren Protokollen zu TLS 1.0, TLS 1.1 und TLS 1.2 verwenden.
    7. Hinweis Aktivieren Sie unbedingt die aufeinander folgenden Versionen. Wenn Sie nicht alle aufeinander folgenden Versionen auswählen (z. B. wenn Sie TLS 1.0 und 1.2. aktivieren, nicht jedoch 1.1), kann dies zu Verbindungsfehlern führen.
    8. Klicken Sie auf OK.

Hinweis: Administratoren sollten sicherstellen, dass diese Gruppenrichtlinie ordnungsgemäß angewendet wird, indem das Gruppenrichtlinienobjekt in ihrer Umgebung mit der entsprechenden Organisationseinheit verknüpft wird.

Hinweis Nachdem diese Problemumgehung angewendet wurde, kann Internet Explorer keine Verbindung mehr zu Webservern herstellen, die SSL nur bis zu Version 3.0 und die TLS 1.0, TLS 1.1 und TLS 1.2 nicht unterstützen.

So machen Sie die Problemumgehung rückgängig Gehen Sie wie folgt vor, um die Richtlinieneinstellung für SSL 3.0 zu deaktivieren:

  1. Öffnen Sie die „Gruppenrichtlinienverwaltung“.
  2. Wählen Sie das Gruppenrichtlinienobjekt aus, das Sie ändern möchten, klicken Sie mit der rechten Maustaste, und wählen Sie Bearbeiten aus.
  3. Blättern Sie im „Gruppenrichtlinienverwaltungs-Editor“ zur folgenden Einstellung:

    Computer Configuration -> Administrative Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Advanced Page -> Turn off encryption support

  4. Doppelklicken Sie auf die Einstellung Unterstützung der Verschlüsselung deaktivieren, um sie zu bearbeiten.

  5. Klicken Sie auf Deaktiviert.
  6. Klicken Sie auf OK.
  • Deaktivieren von SSL 3.0 in Windows

    Serversoftware

    Sie können die Unterstützung für das Protokoll SSL 3.0 unter Windows wie folgt deaktivieren:

    1. Klicken Sie auf Start und auf Ausführen, geben Sie regedt32 in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Suchen Sie im Registrierungs-Editor folgenden Registrierungsschlüssel:

          HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
      

      Hinweis Wenn nicht der gesamte Registrierungsschlüsselpfad vorhanden ist, können Sie ihn erstellen. Erweitern Sie dazu die verfügbaren Schlüssel, und wählen Sie im Menü Bearbeiten die OptionNeu -> Schlüssel.

    3. Klicken Sie im Menü Bearbeiten auf Werthinzufügen.

    4. Klicken Sie in der Liste Datentyp auf DWORD.
    5. Geben Sie in das Feld Wertname den Begriff Enabled ein, und klicken Sie dann auf OK.

      Hinweis Wenn dieser Wert vorhanden ist, doppelklicken Sie auf den Wert, um seinen aktuellen Wert zu ändern.

    6. Geben Sie im Dialogfeld DWORD-Wert (32-Bit) bearbeiten den Wert 0 ein.

    7. Klicken Sie auf OK. Starten Sie den Computer neu.

Hinweis Mit dieser Problemumgehung wird SSL 3.0 für alle auf einem System installierten Serversoftwarekomponenten, einschließlich IIS, deaktiviert.

Hinweis Nachdem diese Problemumgehung angewendet wurde, können Clients, die sich auf SSL 3.0 stützen, nicht mehr mit dem Server kommunizieren.

So machen Sie die Problemumgehung rückgängig Gehen Sie wie folgt vor, um SSL 3.0 in Windows-Serversoftware zu deaktivieren:

  1. Öffnen Sie den Registrierungs-Editor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
    
  3. Klicken Sie im Menü „Bearbeiten‟ auf Löschen.

  4. Klicken Sie auf Ja, wenn Sie dazu aufgefordert werden.
  5. Beenden Sie den Registrierungs-Editor.
  6. Starten Sie das System neu.

    Clientsoftware

    Sie können die Unterstützung für das Protokoll SSL 3.0 unter Windows wie folgt deaktivieren:

  7. Klicken Sie auf Start und auf Ausführen, geben Sie regedt32 in das Feld Öffnen ein, und klicken Sie auf OK.

  8. Suchen Sie im Registrierungs-Editor folgenden Registrierungsschlüssel:

          HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
    

    Hinweis Wenn nicht der gesamte Registrierungsschlüsselpfad vorhanden ist, können Sie ihn erstellen. Erweitern Sie dazu die verfügbaren Schlüssel, und wählen Sie im Menü Bearbeiten die OptionNeu -> Schlüssel.

  9. Klicken Sie im Menü Bearbeiten auf Werthinzufügen.

  10. Klicken Sie in der Liste Datentypauf DWORD.
  11. Geben Sie in das Feld Wertname den Begriff Enabled ein, und klicken Sie dann auf OK.

    Hinweis Wenn dieser Wert vorhanden ist, doppelklicken Sie auf den Wert, um seinen aktuellen Wert zu ändern.

  12. Geben Sie im Dialogfeld DWORD-Wert (32-Bit) bearbeiten den Wert 0 ein.

  13. Klicken Sie auf OK. Starten Sie den Computer neu.

Hinweis Mit dieser Problemumgehung wird SSL 3.0 für alle auf einem System installierten Clientsoftwarekomponenten deaktiviert.

Hinweis Nachdem diese Problemumgehung angewendet wurde, können auf dem Computer installierte Clientanwendungen nicht mehr Servern kommunizieren, die nur SSL 3.0 unterstützen.

So machen Sie die Problemumgehung rückgängig Gehen Sie wie folgt vor, um SSL 3.0 in Windows-Clientsoftware zu deaktivieren:

  1. Öffnen Sie den Registrierungs-Editor.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:

          HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
    
  3. Klicken Sie im Menü „Bearbeiten‟ auf Löschen.

  4. Klicken Sie auf Ja, wenn Sie dazu aufgefordert werden.
  5. Beenden Sie den Registrierungs-Editor.
  6. Starten Sie das System neu.

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. Oktober 2014): Die Empfehlung wurde veröffentlicht.
  • V1.1 (15. Oktober 2014): Die Empfehlung wurde überarbeitet, um eine Problemumgehung für die Deaktivierung des Protokolls SSL 3.0 in Windows aufzunehmen.
  • V2.0 (29. Oktober 2014): Die Empfehlung wurde überarbeitet, um über die Ablehnung von SSL 3.0 zu informieren, um die Anweisungen der Problemumgehung zur Deaktivierung von SSL 3.0 auf Windows-Servern und auf Windows-Clients zu erläutern und um die Verfügbarkeit einer Microsoft Fix it-Lösung für Internet Explorer anzukündigen. Weitere Informationen finden Sie im Knowledge Base-Artikel 3009008.
  • V2.1 (9. Dezember 2014): Microsoft kündigt die Verfügbarkeit von Warnungen beim Ausweichen auf SSL 3.0 in Internet Explorer 11 an. Weitere Informationen finden Sie im Knowledge Base-Artikel 3013210.
  • V2.2 (10. Februar 2015): Microsoft kündigt an, dass Ausweichversuche auf SSL 3.0 in Internet Explorer 11 standardmäßig deaktiviert sind. Weitere Informationen finden Sie imMicrosoft Knowledge Base-Artikel 3021952.
  • V2.3 (16. Februar 2015): Die Empfehlung wurde überarbeitet, um die standardmäßige Deaktivierung von SSL 3.0 in Internet Explorer 11 bekannt zu geben.
  • V3.0 (14. April 2015) Die Empfehlung wurde überarbeitet, um anzukündigen, dass mit dem Sicherheitsupdate 3038314 vom 14. April 2015 SSL 3.0 in Internet Explorer 11 standardmäßig deaktiviert wird, und um Anleitungen zum Rückgängigmachen der Problemumgehungen hinzuzufügen.

Seite generiert am 04.07.2015 um 14:32Z-07:00.