Gestern abend hat Microsoft ein außerplanmäßiges Sicherheitsupdate veröffentlicht, das eine Sicherheitsanfälligkeit in der Windows Shell beseitigt. Das Update betrifft alle unterstützten Versionen von Windows (Windows XP SP2 und höher). Anwender, die Windows Update aktiviert haben, müssen sich um nichts kümmern, da in diesem Fall das Update automatisch installiert wird. Allen anderen Anwendern empfiehlt Microsoft, das Update möglichst sofort zu installieren. Informationen zu diesem Update finden Sie auf Technet.

Kay Giza, MSDN Online Team-Lead bei Microsoft Deutschland, hat in seinem Blog einen umfangreichen Artikel veröffentlicht, in dem er sich mit den meist unbegründeten Bedenken gegenüber Microsoft Update und Windows Update beschäftigt. Ich kann nur jedem empfehlen, den Link zu diesem Artikel anzuklicken und den Artikel zu lesen. Er widerlegt leicht verständlich und unterhaltsam geschrieben die meisten der immer wieder auftauchenden Bedenken gegen die automatischen Updates. Besser bekomme ich das auch nicht hin und werde hier deshalb die Inhalte auch nicht wiederholen, sondern lediglich noch einige wenige Anmerkungen anbringen:

Kay bringt den folgenden Mythos ins Spiel: Mein PC läuft danach langsamer oder unstabil! Dazu schreibt er: “Die Dienste Windows Update oder Microsoft Update und die automatische Installation der Updates und die Suche nach Updates bewirken in der Regel keine Verlangsamung Ihres Computers, da die Aktionen im Hintergrund ablaufen.” OK, “in der Regel” stimmt diese Aussage. Allerdings widerspricht diese Aussage einem Statement von Microsoft, das ich auf einer Veranstaltung gehört habe. Dort wurde ausgeführt, dass für den Fall, dass ein sicherheitskritisches Loch gefixt wird, der Hotfix sich auf das Stopfen dieses Lochs konzentriert und dass er in diesem Fall nicht optimiert ist. Die Optimierung findet in diesem Fall erst am nächsten Patchday statt. Aber sollte das wirklich ein Grund sein, keine automatischen Updates zu verwenden? Die Frage ist doch, ob es besser ist, kurzfristig mit einem halben Prozent Performanceverlust oder doch lieber mit einem potentiell unsicheren Rechner zu arbeiten. Die Antwort sollte klar sein.

Manche Sicherheitsupdates werden von Microsoft als “kritisch” eingestuft. Diese Einstufung erfolgt sicher zu Recht, wird aber von etlichen Anwendern vollkommen missverstanden. Ich weiß nicht, wie vielen Anwendern ich schon erklärt habe, dass nicht die Installation des Updates kritisch ist, sondern dass es kritisch ist, mit dem ungepatchten System weiterzuarbeiten. Eventuell könnte sich Microsoft einmal eine andere Benennung der Einstufung überlegen. Die ersten Male ist die Aufklärung des Anwenders ja noch witzig, irgendwann wird sie aber doch nervtötend. Das aber nur nebenbei.

Eigentlich gibt es nur einen Grund, die automatischen Updates (temporär) auszuschalten – immer dann wenn man mobil online geht. Was das mobile Internet angeht ist Deutschland immer noch Entwicklungsland, die Netzabdeckung beträgt aktuell je nach Anbieter zwischen 51 und 81 % der Fläche, im Durchschnitt sind es 70 % (Quelle: Bundesnetzagentur). Auf dem Land sieht es also wirklich mau aus. Wer schon einmal ein etwas umfangreicheres Update mit GPRS-Tempo heruntergeladen hat, würde sich wünschen, dass Windows erkennt, dass eine Funkverbindung vorliegt und dass das Update auf einen späteren Zeitpunkt verschoben würde, wenn wieder eine WLAN- oder Kabelverbindung vorhanden ist. Auch die Flatrates der Anbieter sind meist eher dürftig. Teilweise wird das Tempo bereits nach 200 MB auf GPRS-Tempo gedrosselt. Ein automatisches Update kann also das schnelle mobile Internet für einen ganzen Monat verbrennen.

Gerade hat Microsoft die folgende Pressemitteilung veröffentlicht, die ich hier unkommentiert weitergebe:

Unterschleißheim, 21. Januar 2010. Wir haben in den letzten zwei Tagen zahlreiche Kundenanfragen zur Verfügbarkeit eines Sicherheitsupdates für die bekannte Lücke in allen Internet Explorer Versionen und damit verbundenen HTML Attacken bekommen. Wir wissen, dass gerade für Unternehmenskunden diese Information wichtig ist, weil sie entsprechende Ressourcen zum Einspielen des Updates auf den PCs der Mitarbeiter einplanen müssen. Deshalb war die Abwägung für oder gegen ein sogenanntes “out-of-band” Update nicht leicht. Wir sind aber davon überzeugt, dass ein “außer-der-Reihe” Update jetzt die richtige Entscheidung ist. Das Update für das unter Security Advisory 979352 bekannte Problem wird heute (21.1.2010 MESZ) am frühen Abend zur Verfügung stehen.

Wenn Ihr Rechner häufig auch von einer anderen Person verwendet wird, wollen sie eventuell den Zugriff dieser Person auf Ihre Anwendungen, Dateien oder Dokumente beschränken. Mit dem Werkzeug AppLocker haben Sie einige Möglichkeiten, den Zugriff anderer Anwender auf ausführbare Dateien, Installationspakete oder Skripte einzuschränken. Drücken Sie einfach die Windows-Taste und geben Sie gpedit.msc ein. Damit rufen Sie den Editor für lokale Gruppenrichtlinien auf. Wechseln Sie in ihm zu Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Anwendungssteuerungsrichtlinien -> Applocker. Klicken Sie mit der rechten Maustaste auf eine der Optionen (Ausführbare Regeln, Windows Installer-Regeln oder Skriptregeln) und erstellen Sie eine neue Regel. Diese kleine Aufgabe wird Ihnen in der Zukunft viel Arbeit ersparen.

Microsoft gestern, Dienstag 28. Juli 2009, gegen 19.00 Uhr deutscher Zeit zwei außerplanmäßige Sicherheitsupdates veröffentlicht. Die Updates betreffen alle unterstützten Versionen des Windows Internet Explorer (Internet Explorer 5, 6, 7 und 8 für Windows 2000, Windows XP und Windows Vista sowie Windows Server 2003 und Windows Server 2008) sowie die Visual Studio-Produktfamilie (Microsoft Visual Studio .NET 2003, 2005, 2008 sowie Visual C++ 2005 und 2008).

Microsoft empfieht dringend, die verfügbaren Sicherheitsupdates umgehend und direkt über Microsoft Update zu installieren.
Für IT-Professionals hat Microsoft unter ‘Microsoft Security Bulletin MS09-034 – Critical: Cumulative Security Update for Internet Explorer (972260)‘ und ‘Microsoft Security Bulletin MS09-035 – Moderate: Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution (969706)‘ bereits englischsprachige technische Beschreibungen der Updates in Form von Security Bulletins hinterlegt, die innerhalb der nächsten 24 Stunden im TechNet-Sicherheitscenter auch in deutscher Sprache verfügbar sein werden.

Microsoft untersucht eine vertraulich gemeldete Sicherheitsanfälligkeit im Microsoft Video-ActiveX-Steuerelement. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Wenn Internet Explorer verwendet wird, wird die Codeausführung von einem Remotestandort aus durchgeführt und erfordert möglicherweise keinen Benutzereingriff.

Uns ist bekannt, dass es zu Angriffen unter Ausnutzung der Sicherheitsanfälligkeit gekommen ist.

Unsere Untersuchung hat ergeben, dass es keine geplanten Verwendungen für dieses ActiveX-Steuerelement in Internet Explorer gibt, was alle Klassenkennungen innerhalb der Datei “msvidctl.dll” umfasst, die dieses ActiveX-Steuerelement hostet. Benutzern von Windows XP und Windows Server 2003 empfiehlt Microsoft, die Unterstützung für dieses ActiveX-Steuerelement in Internet Explorer zu entfernen und alle Klassenkennungen zu verwenden, die im Abschnitt Problemumgehung aufgeführt werden. Auch wenn Windows Vista und Windows Server 2008 nicht von dieser Sicherheitsanfälligkeit betroffen sind, empfiehlt Microsoft den Benutzern, die Unterstützung für dieses ActiveX-Steuerelement in Internet Explorer zu entfernen und dieselben Klassenkennungen als Tiefenverteidigungsmaßnahme zu verwenden.

Benutzer können verhindern, dass das Microsoft Video-ActiveX-Steuerelement in Internet Explorer ausgeführt wird. Dies kann entweder manuell mithilfe der Anweisungen im Abschnitt Problemumgehung erfolgen oder automatisch mithilfe der Lösung im Microsoft Knowledge Base-Artikel 972890. Durch das Verhindern der Ausführung des Microsoft Video-ActiveX-Steuerelements in Internet Explorer wird die Anwendungskompatibilität nicht beeinträchtigt.

Wir arbeiten aktiv mit Partnern in unserem Microsoft Active Protections Program (MAPP) zusammen, um Informationen bereitzustellen, mit denen sie einen umfassenderen Schutz für ihre Kunden bereitstellen können.

Microsoft arbeitet derzeit an der Entwicklung eines Sicherheitsupdates für Windows, um diese Sicherheitsanfälligkeit zu beheben, und wird das Update veröffentlichen, wenn eine Qualität erreicht ist, die für eine breite Verteilung angemessen ist.

Schadensbegrenzende Faktoren:

Ich habe ja eine gute Erziehung genossen und dabei auch gelernt, dass Schadenfreude äußerst unhöflich ist. Trotzdem fällt es mir manchmal schwer, diese unhöfliche Gefühlsregung zu unterdrücken. So auch in diesem Fall.

Conficker – ein Virus wie aus dem Museum

Eigentlich hatte ich ja gedacht, dass Schadsoftware, die sich per Wechseldatenträger verbreitet, mit der Verbreitung des Internets veraltet ist und nicht mehr entwickelt wird. Conficker beweist das Gegenteil. Die Software verbreitet sich wirklich über USB-Sticks und installiert sich über die Autorun-Funktion von Windows. Obwohl Microsoft bereits Ende Okotober 2008 einen Sicherheitspatch bereitgestellt hat, hat Conficker auf diese Weise nach verschiedenen Schätzungen bereits mehrere Millionen Rechner infiziert. Dabei handelt es sich nicht nur um Rechner von Privatanwendern, auch das Netz der Landesregierung von Kärnten hat es erwischt. Wie konnte es dazu kommen?

OK, jeder steckt mal einen USB-Stick in einen fremden Rechner. Dass sich dabei eine Schadsoftware auf den Stick kopiert ist nicht auszuschließen. Das kann jedem passieren. Aber wie kommt die Schadsoftware anschließend auf den eigenen Rechner? Zunächst einmal muss der Administrator irgendwann einmal angegeben haben, dass Installationsprogramme auf Wechseldatenträgern automatisch gestartet werden. In vielen Fällen ist das ja auch ganz bequem, beispielsweise wenn eine DVD eingelegt wird, von der eine Software installiert werden soll. Automatisch werden die Bildschirme des Installationsprograms angezeigt. Aber wenn es sich um eine Schadsoftware handelt, ist es mit der Bequemlichkeit  schnell vorbei. Sicher – der Virus ist problemlos installiert – aber will man das wirklich? Bei mir ist die Autorun-Funktion auf allen Rechnern ausgeschaltet.

Was geschieht eigentlich während der Installation einer Schadsoftware? Zunächst einmal muss sich die Software an eine Stelle kopieren, an der sie nicht so einfach gefunden werden kann. Zwischen den Dokumenten des Anwenders würde sie auffallen und würde schnell entdeckt. In c:\Windows\system oder einem ähnlichen Verzeichnis ist sie erheblich besser versteckt und die Gefahr, dass der Anwender die Schadsoftware entdeckt und einfach löscht, ist erheblich geringer. Dann muss sich die Software noch in der Registry eintragen, damit sie beim nächsten Systemstart erneut gestartet wird. In vielen Fällen muss sie auch noch weitere Funktionalitäten aus dem Internet nachladen und dafür eine Lücke in der Firewall aufmachen. Alle diese Aufgaben erfordern Adminrechte. Diese Adminrechte hat eine Software aber nur, wenn sie unter einem Administrator-Account gestartet wird. Ein “normaler” Benutzer hat weder das Recht, in die Systemverzeichnisse zu schreiben, noch darf er die Registry verändern oder die Firewall öffnen. Damit Sie sich einen Virus oder eine andere Malware einfangen können, müssen Sie daher zum Einen mit Adminrechten arbeiten, und Sie müssen die Sicherheitsabfrage deaktiviert haben, in der Sie Ihr Passwort eingeben müssen, bevor Sie eine Aktion ausführen können, die Adminrechte erfordert. Wie dieser Sicherheitsmechanismus deaktiviert wird, stand kurz nach Erscheinen von Vista in allen Gazetten, da sie ja so furchtbar störend ist. Wenn Sie diese Abfrage ausgeschaltet haben, erhalten Sie jetzt die Quittung und Sie müssen nicht einmal bestätigen, dass Sie den Virus auch wirklich haben wollen.

Eigentlich ist es doch ganz einfach, sich gegen die Schadsoftware zu schützen. Fassen wir noch einmal zusammen:

• Deaktivieren Sie die Autorun-Funktion
• Arbeiten Sie immer mit den geringsten Benutzerrechten, die Sie benötigen. Loggen Sie sich nur dann mit Admin-Rechten ein, wenn Sie sie auch wirklich benötigen.
• Lassen Sie die Sicherheitsabfrage vor den Aktionen mit Adminrechten eingeschaltet.
• Sollte auf Ihrem Rechner das automatische Update ausgeschaltet sein, ändern Sie dies, damit Ihr Rechner durch die aktuellsten Sicherheitspatches geschützt wird.

Auch ja, benötigen Sie dann noch eine Anti-Virensoftware? Selbstverständlich. Aber das sollte halt nicht der einzige Schutz sein, sondern lediglich der Sicherheitsanker für Situationen, in denen alle anderen Mechanismen nicht greifen können.

Gerade kam aktuell die folgende Sicherheitswarnung:

Am Wochenende wurde gemeldet, dass es verstärkte Angriffe auf die Sicherheitslücke gibt, die in dem Microsoft Security Bulletin MS08-067 beschrieben wurde. Hierin wurde auf die Verfügbarkeit von Angreifer-Code hingewiesen, der die in Security Bulletin MS08-067 adressierte Sicherheitsanfälligkeit im Serverdienst ausnutzt und Remotecodeausführung ermöglichen kann. Betroffen sind Systeme unter Windows 2000, Windows XP und Windows Server 2003, auf denen das in MS08-067 bereitgestellte Sicherheitsupdate noch nicht installiert wurde.

Empfehlung: Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Sicherheitsupdate für Microsoft Internet Explorer (960714)

Version: 1.0

Allgemeine Informationen

Dieses Sicherheitsupdate wird für Internet Explorer 5.01, Internet Explorer 6, Internet Explorer 6 Service Pack 1 und Internet Explorer 7 als kritisch eingestuft. Informationen zu Internet Explorer 8 Beta 2 finden Sie im Abschnitt Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Internet Explorer Datenbindungsparameter überprüft und den Fehler verarbeitet, der zu der Sicherheitsanfälligkeit führt. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ im nächsten Abschnitt, Informationen zu Sicherheitsanfälligkeiten.

Mit diesem Sicherheitsupdate wird auch die Sicherheitsanfälligkeit behoben, die erstmals in der Microsoft-Sicherheitsempfehlung 961051 beschrieben wurde.

Empfehlung. Microsoft empfiehlt Benutzern die sofortige Installation des Updates.

Bekannte Probleme. Keine

Ich veröffentliche hier die aktuelle Sicherheitswarnung aus dem Hause Microsoft.

Sicherheitsanfälligkeit in Internet Explorer kann Remotecodeausführung ermöglichen

Microsoft setzt seine Untersuchungen bezüglich neuer öffentlicher Meldungen über Angriffe, die eine neue Sicherheitsanfälligkeit in Internet Explorer ausnutzen, auch weiterhin fort. Unsere bisherige Untersuchung hat ergeben, dass die Angriffe nur gegen Windows Internet Explorer 7 unter den unterstützten Editionen von Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1 und Windows Server 2008 gerichtet sind. Microsoft Internet Explorer 5.01 Service Pack 4, Microsoft Internet Explorer 6 Service Pack 1, Microsoft Internet Explorer 6 und Windows Internet Explorer 8 Beta 2 unter allen unterstützten Versionen von Microsoft Windows sind möglicherweise ebenfalls anfällig.

Diese Sicherheitslücke basiert auf einer ungültigen Zeigerreferenz in der Datenbindungs-Funktion von Internet Explorer. Wenn die Datenbindung aktiviert ist (dies ist standardmäßig der Fall), dann ist es unter bestimmten Bedingungen möglich, ein Objekt ohne Aktualisierung der Array-Länge freizugeben was eine Möglichkeit eröffnet, auf den Speicherbereich des gelöschten Objektes zuzugreifen. Dies kann zu einer unerwarteten Beendigung von Internet Explorer führen. Internet Explorer verbleibt in einem Status, in dem die Sicherheitslücke ausgenutzt werden kann.

Im Moment sind uns nur wenige Angriffe bekannt, die diese Sicherheitslücke gegen Windows Internet Explorer 7 nutzen. Unsere Untersuchungen dieser Angriffe haben so weit bestätigt, dass die Angriffe gegen Kunden, die die Problemumgehungen aus dieser Sicherheitsempfehlung umgesetzt haben, wirkungslos sind. Sie finden in dieser Sicherheitsempfehlung außerdem zusätzliche Möglichkeiten zur Problembehebung diese sorgen dafür, dass es noch schwieriger wird, die Sicherheitslücke auszunutzen.

Wir arbeiten aktiv mit Partnern in unseren Microsoft Active Protections Program (MAPP)- und Microsoft Security Response Alliance (MSRA)- Programmen zusammen, um Informationen bereitzustellen, mit denen Sie Ihren Benutzern einen breiteren Schutz bereitstellen können. Außerdem arbeiten wir aktiv mit Partnern zusammen, um die Bedrohungslage zu überwachen, und ergreifen Maßnahmen gegen schädliche Websites, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen.

Wir untersuchen die Sicherheitsanfälligkeit, die durch diese Angriffe ausgenutzt werden soll, aktiv. Wir werden die Bedrohungslage weiter überwachen und diese Empfehlung aktualisieren, wenn die Situation sich ändert. Nach Abschluss dieser Untersuchung wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Dabei kann es sich um die Bereitstellung einer Lösung durch ein Service Pack, die monatliche Veröffentlichung von Sicherheitsupdates oder ein außerordentliches Sicherheitsupdate handeln, je nach Kundenanforderungen.

Microsoft ermutigt Benutzer weiter, die Richtlinien zum Schutz des eigenen Computers zu befolgen, indem sie eine Firewall aktivieren, alle Softwareupdates anwenden und Antivirus- und Anti-Spyware-Software installieren. Zusätzliche Informationen finden Sie unter Sicherheit zu Hause.

Schadensbegrenzende Faktoren: