-
Im Rahmen des monatlichen Security Bulletins vom 09. September 2014 kündigte Microsoft vier Security Bulletins zur Behebung von 42 Sicherheitslücken an. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms14-sep. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern oder mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden können, sind in der folgenden Liste aufgeführt:
Die folgende Liste enthält eine Liste von Schwachstellen, die das Netzwerk entschärfen, einschließlich Web- und E-Mail-Sicherheitsproblemen. Cisco Geräte bieten verschiedene Gegenmaßnahmen für Schwachstellen mit einem Netzwerkangriffsvektor, auf die weiter unten in diesem Dokument noch näher eingegangen wird.
Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom September 2014 verwiesen wird.
Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.
-
MS14-052, Kumulatives Sicherheits-Update für Internet Explorer (2977629): Diesen Schwachstellen wurden Common Vulnerabilities and Exposures (CVE) Identifiers CVE-2013-7331, CVE-2014-2799, CVE-2014-4059 zugewiesen 9, CVE-2014-4065 und CVE-2014-4079 bis CVE-2014-4111. Diese Schwachstellen können ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordern eine Benutzerinteraktion. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen betrifft HTTP- und HTTPS-Pakete, die in der Regel TCP-Port 80 und Port 443 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann die Ausführung von beliebigem Code ermöglichen, wodurch ein Angreifer die Kontrolle über das betroffene Gerät übernehmen könnte.
MS14-055, Sicherheitslücken in Microsoft Lync Server können Denial of Service erlauben (2990928): Diesen Sicherheitslücken wurden Common Vulnerabilities and Exposures (CVE) Identifiers CVE-2014-4068, CVE-2014-4070 und CVE-201 zugewiesen 4-4071 Diese Schwachstellen können ohne Authentifizierung per Fernzugriff ausgenutzt werden und erfordern möglicherweise eine Benutzerinteraktion. Der Angriffsvektor zur Ausnutzung dieser Schwachstellen umfasst SMTP-Pakete über TCP-Port 25 sowie HTTP- und HTTPS-Pakete, die in der Regel TCP-Port 80 und Port 443 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann zu einer Denial-of-Service (DoS)-Bedingung führen oder die Offenlegung von Informationen ermöglichen, sodass ein Angreifer Informationen über das betroffene Gerät erhalten kann. Aufgrund der Art der Site-übergreifenden Skripting-Schwachstellen werden in diesem Bulletin keine weiteren Informationen präsentiert.
Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstellen finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
-
Informationen zu anfälliger, nicht betroffener und fester Software finden Sie in der Microsoft Security Bulletin Summary for September 2014 unter dem folgenden Link: http://www.microsoft.com/technet/security/bulletin/ms14-sep
-
Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern oder mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden können, sind in der folgenden Liste aufgeführt:
Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunkt-Schutzsoftware wie Host Intrusion Prevention Systems (HIPS) oder Antivirus-Produkte behoben.
Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
Die effektive Nutzung von Ereignisaktionen des Sourcefire Intrusion Prevention System (IPS) bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
Cisco Intrusion Prevention System
Eindämmung: Cisco IPS-Signaturereignisaktionen
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2014 2799 S819 4550/0 Microsoft Internet Explorer nach der Ausführung von kostenlosem Remotecode verwenden Ja Hoch 85 CVE 2014-4065 S819 4631/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE 2014-4080 S819 4634/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE 2014-4081 S819 4629/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 85 CVE 2014-4084 S819 4627/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2014-4087 S819 4624/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 85 CVE 2014-4088 S819 4633/0 Microsoft Internet Explorer: Remotecodeausführung Ja Mittel 75 CVE 2014-4089 S819 4628/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2014-4092 S819 4626/0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 85 CVE 2014-4094 S819 4630/0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 80 CVE 2014-4095 S819 4635/0 Microsoft Internet Explorer nach freier Sicherheitslücke verwenden Ja Hoch 80 * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.
Signaturinformationen von Sourcefire
Die folgenden Sourcefire Snort-Signaturen sind für das Microsoft Security Update vom September 2014 verfügbar.
Microsoft Bulletin-ID Microsoft Advisory-Name Geltende Regeln 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:29821 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:29822 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:30110 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:30111 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:30112 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:30113 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31782 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31783 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31784 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31785 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31786 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31787 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31788 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31789 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31790 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31791 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31792 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31793 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31794 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31795 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31796 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31797 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31799 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31800 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31801 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31802 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31811 2977629 Kumuliertes Sicherheitsupdate für Internet Explorer 1:31812 Informationen zur Verwendung von Sourcefire Snort und Sourcefire Next Generation IPS finden Sie unter Sourcefire Security der nächsten Generation.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigen
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Microsoft, Inc. .NET Framework 1,1 (SP1) | 2,0 (SP2) | 3,0 (SP2) | 3,5 (Basis) | 3.5.1 (Basis) | 4,0 (Basis) | 4,5 (Basis) | 4.5.1 (Basis) | 4.5.2 (Basis) Internet-Explorer 6,0 (Basis) | 7,0 (Basis) | 8,0 (Basis) | 9,0 (Basis) | 10,0 (Basis) | 11,0 (Basis) Windows 7 für 32-Bit-Systeme (SP1) | für x64-basierte Systeme (SP1) Windows 8 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows 8.1 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows RT Ursprüngliche Version (Basis) | 8.1 (Basis) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (SP2) | Itanium-basierte Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-Bit (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (SP2) | Webserver (SP2) | Webserver, 64-Bit (SP2) Windows Server 2008 R2 x64-basierte Systems Edition (SP1) | Itanium-basierte Systems Edition (SP1) Windows Server 2012 Ursprüngliche Version (Basis) Windows Server 2012 R2 Ursprüngliche Version (Basis) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Unternehmen (SP2) | Unternehmen (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2) Lync-Server 2010 (Basis) | 2013 (Basis)
Zugehörige Produkte Microsoft, Inc. Windows 7 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8.1 für 32-Bit-Systeme | für x64-basierte Systeme Windows RT Ursprüngliche Version | 8,1 Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-Bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-Bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard Edition | Standard Edition, 64-Bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web-Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-Bit | Itanium-basierte Systems Edition | Enterprise Edition | Enterprise Edition, 64-Bit | Essential Business Server Standard | Essential Business Server Premium | Essential Business Server Premium, 64-Bit | Standard Edition | Standard Edition, 64-Bit | Webserver | Webserver, 64-Bit Windows Server 2008 R2 x64-basierte Systems Edition | Itanium-basierte Systems Edition Windows Server 2012 Ursprüngliche Version Windows Server 2012 R2 Ursprüngliche Version Windows Vista Home Basic | Home Premium | Unternehmen | Unternehmen | Ultimativ | Home Basic x64 Edition | Home Premium x64 Edition | Business x64-Edition | Enterprise x64 Edition (Basis) | Ultimative x64-Edition
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.