Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (15.05.2015):
Microsoft stellt Updates für die Standardprioritätenfolge der
Verschlüsselungssammlungen bereit, Details finden sich im Abschnitt
‘Beschreibung’.
Version 3 (25.03.2015):
Microsoft stellt für Windows Server 2003 SP2 den Artikel 3050509 in der
Knowledge Base zur Verfügung (siehe Referenzen), worin erklärt wird, wie
für dieses System die stärkeren Advanced Encryption Standard (AES)
Krypto-Suiten eingeschaltet und die schwächeren Krypto-Algorithmen
abgeschaltet werden.
Version 2 (11.03.2015):
Mit dem März Patchday stellt Microsoft Sicherheitsupdates zur Behebung der
Schwachstelle, die bereits ausgenutzt wird, zur Verfügung.
Version 1 (06.03.2015):
Neues Advisory
Betroffene Software:
Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2003 Sp2
Microsoft Windows Server 2003 Sp2 Itanium
Microsoft Windows Server 2003 Sp2 X64
Microsoft Windows Server 2008 Microsoft Server 2008 64-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Microsoft Server 2008 32-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 Microsoft Server 2008 R2 64-Bit SP1 Server
Core Installation
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64
Betroffene Plattformen:
Microsoft Windows
Eine Schwachstelle in Microsoft Schannel ermöglicht einem entfernten, nicht
authentifizierten Angreifer in einer Mittelsmannposition im Netzwerk,
Sicherheitsvorkehrungen zu umgehen. Diese Schwachstelle ist ebenfalls der
derzeit bekannten ‘FREAK’-Problematik zugeordnet.
Mit dem März-Patchday stellt Microsoft Sicherheitsupdates zur Behebung der
Schwachstelle, die bereits ausgenutzt wird, bereit.
Microsoft stellt für Windows Server 2003 SP2 den Artikel 3050509 in der
Knowledge Base zur Verfügung (siehe Referenzen), worin erklärt wird, wie für
dieses System die stärkeren Advanced Encryption Standard (AES) Krypto-Suiten
eingeschaltet und die schwächeren Krypto-Algorithmen abgeschaltet werden.
Update: Microsoft stellt für Windows 7 SP1 32/64-Bit, Windows Server 2008 R2
SP1 64Bit/Itanium (inkl. Server Core Installationen), Windows 8 32/64Bit,
Windows 8.1 32/64Bit, Windows Server 2012 (inkl. Server Core Installationen)
und Windows Server 2012 R2 (inkl. Server Core Installationen) das Update
3042058 für Schannel bereit, um die Qualität der Kryptographie-Unterstützung
von Windows im Rückblick auf die FREAK-Problematik weiter zu verbessern.
Das Update kann bisher nur über eine Download-Seite (siehe Referenzen)
manuell heruntergeladen werden und soll erst im 4. Quartal 2015 über
Microsoft Update und WSUS verfügbar sein.
Durch das Update wird eine Änderung der Reihenfolge der verwendeten
Verschlüsselungsalgorithmen in Windows (schannel.dll) angeboten. Zusätzlich
werden damit vier Verschlüsselungssammlungen mit Unterstützung für Perfect
Forward Secrecy (PFS) hinzugefügt. Microsoft empfiehlt, dass jede Anwendung,
inklusive des Internet Explorers, IIS, SQL Servers oder Exchange Servers,
die Schannel für die Aushandlung von SSL/TLS-Verbindungen benutzt, ausgiebig
nach erfolgtem Update getestet wird, da die Erhöhung der Sicherheit auch
erhöhte Anforderungen an die Rechenleistung stellt.
Patch:
Microsoft Sicherheitshinweise MSA-3046015
https://technet.microsoft.com/de-de/library/security/3046015
Patch:
Microsoft Sicherheitshinweise MS15-031 (Schannel)
https://technet.microsoft.com/de-de/library/security/MS15-031
Patch:
Microsoft Knowledge-Base-Artikel 3050509
https://support.microsoft.com/de-de/kb/3050509
Patch:
Microsoft Sicherheitshinweise MSA-3042058
https://technet.microsoft.com/de-de/library/security/3042058
CVE-2015-1637: Schwachstelle in Microsoft Schannel ermöglicht das Umgehen
von Sicherheitsvorkehrungen
Es existiert eine Schwachstelle in Microsoft Schannel, die das
Herunterstufen der Stärke von Verschlüsselungsverfahren in
SSL/TLS-Verbindungen von Windows Client Systemen ermöglicht. Ein entfernter,
nicht authentifizierter Angreifer in einer Mittelsmannposition im Netzwerk
kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0300/
Microsoft Sicherheitshinweise MSA-3046015:
https://technet.microsoft.com/de-de/library/security/3046015
Schwachstelle CVE-2015-1637 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1637
Microsoft Sicherheitshinweise MS15-031 (Schannel):
https://technet.microsoft.com/de-de/library/security/MS15-031
Microsoft Knowledge-Base-Artikel 3050509:
https://support.microsoft.com/de-de/kb/3050509
Microsoft Sicherheitshinweise MSA-3042058:
https://technet.microsoft.com/de-de/library/security/3042058
Microsoft Download-Seite für Update zu MSA-3042058:
https://support.microsoft.com/de-de/kb/3042058
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
