-
Microsoft kündigte im Rahmen des monatlichen Security Bulletins am 13. Januar 2015 acht Security Bulletins an, die sich mit acht Schwachstellen befassen. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms15-jan. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
Die Schwachstellen, die einen Client-Software-Angriffsvektor aufweisen oder lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern oder durch webbasierte Angriffe ausgenutzt werden können (dazu gehören u. a. Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen), E-Mail-Anhänge oder Dateien, die auf Netzwerkfreigaben gespeichert sind], sind in der folgenden Liste aufgeführt:
Die folgende Liste enthält eine Liste von Schwachstellen, die das Netzwerk entschärfen, einschließlich Web- und E-Mail-Sicherheitsproblemen. Cisco Geräte bieten verschiedene Gegenmaßnahmen für Schwachstellen mit einem Netzwerkangriffsvektor, auf die weiter unten in diesem Dokument noch näher eingegangen wird.
Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom Januar 2015 verwiesen wird.
Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.
-
MS15-002, Schwachstelle in Windows Telnet Service Could Allow Remote Code Execution (3020393): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2015-0014 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriff aus der Ferne ausgenutzt werden.
Eine erfolgreiche Ausnutzung der Schwachstelle kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung besteht aus vorgefertigten Telnet-Paketen mit TCP-Port 23.
MS15-005, Vulnerability in NLA Could Allow Security Feature Bypass (3022777): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2015-0006 zugewiesen. Diese Schwachstelle kann ohne Authentifizierung und ohne Benutzereingriff aus der Ferne ausgenutzt werden.
Wenn die Schwachstelle erfolgreich ausgenutzt wird, kann die Sicherheitsfunktion umgangen werden. Der Angriffsvektor für die Ausnutzung wird durch erstellten DNS- und LDAP-Rückverkehr über UDP-Port 53 bzw. TCP- und UDP-Ports 389 generiert. Ein Angreifer könnte diese Verwundbarkeit mit gefälschten Paketen ausnutzen.
-
Informationen zu anfälliger, nicht betroffener und korrigierter Software finden Sie in der Microsoft Security Bulletin Summary for January 2015, die unter dem folgenden Link verfügbar ist: http://technet.microsoft.com/library/security/ms15-jan
-
Die Schwachstellen, die einen Client-Software-Angriffsvektor aufweisen oder lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern oder durch webbasierte Angriffe ausgenutzt werden können (dazu gehören u. a. Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen), E-Mail-Anhänge oder Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:
Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunkt-Schutzsoftware wie Host Intrusion Prevention Systems (HIPS) oder Antivirus-Produkte behoben.
Die folgende Liste enthält eine Liste von Schwachstellen, die das Netzwerk entschärfen, einschließlich Web- und E-Mail-Sicherheitsproblemen. Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die Cisco IOS Software bietet mithilfe der folgenden Methoden einen effektiven Schutz vor und die Identifizierung von Exploits:
- Transit-Zugriffskontrolllisten (tACLs)
- Unicast Reverse Path Forwarding (URPF)
- IP Source Guard (IPSG)
Diese Schutzmechanismen filtern Pakete, die versuchen, Schwachstellen mit einem Netzwerkangriffsvektor auszunutzen, und löschen sie, sowie überprüfen sie die Quell-IP-Adresse dieser Pakete.
Die ordnungsgemäße Bereitstellung und Konfiguration von uRPF bietet einen effektiven Schutz vor Angriffen, bei denen Pakete mit gefälschten Quell-IP-Adressen verwendet werden. Unicast-RPF sollte so nahe wie möglich an allen Datenverkehrsquellen bereitgestellt werden.
Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG bietet einen effektiven Schutz vor gefälschten Paketen auf der Zugriffsebene.
Da die Möglichkeit besteht, dass ein vertrauenswürdiger Netzwerk-Client durch bösartigen Code beeinträchtigt wird, der keine Pakete mit gefälschten Quelladressen verwendet, bieten uRPF und IPSG keinen vollständigen Schutz vor diesen Schwachstellen.
Wirksame Methoden zur Verhinderung von Exploits und zur Identifizierung von Exploits können auch durch Cisco Adaptive Security Appliances der Serien ASA 5500 und 5500-X, Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bereitgestellt werden. die folgenden Methoden:
- tACL
- uRPF
Diese Schutzmechanismen filtern Pakete, die versuchen, Schwachstellen mit einem Netzwerkangriffsvektor auszunutzen, und löschen sie, sowie überprüfen sie die Quell-IP-Adresse dieser Pakete.
Die Datensätze von Cisco IOS NetFlow und Flexible NetFlow bieten Transparenz für netzwerkbasierte Exploit-Versuche.
Die effektive Nutzung von Ereignisaktionen des Sourcefire Intrusion Prevention System (IPS) bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeder Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
- Cisco IOS-Router und -Switches
- Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
- Cisco Intrusion Prevention System
- Sourcefire Intrusion Prevention-System
Cisco IOS-Router und -Switches
Eindämmung: Transit-Zugriffskontrolllisten
Für MS15-002 wird Administratoren empfohlen, Transit-Zugriffskontrolllisten (tACLs) bereitzustellen, um das Netzwerk vor Datenverkehr zu schützen, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte Telnet-over-IPv4- und IPv6-Pakete auf TCP-Port 23, die an betroffene Geräte gesendet werden. Im folgenden Beispiel stellen 192.168.60.0/24 und 2001:DB8:1:60::/64 den IP-Adressraum dar, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie unter Transit Access Control Lists: Filtering at Your Edge.
!-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable Telnet TCP port !-- for MS15-002 ! access-list 150 permit tcp host 192.168.100.1 192.168.60.0 0.0.0.255 eq 23 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks against MS15-002 ! access-list 150 deny tcp any 192.168.60.0 0.0.0.255 eq 23 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list 150 deny ip any any ! !-- Create the corresponding IPv6 tACL ! ipv6 access-list IPv6-Transit-ACL-Policy ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable Telnet TCP port !-- for MS15-002 ! ! permit tcp host 2001:DB8::100:1 2001:DB8:1:60::/64 eq 23 ! !-- The following vulnerability-specific ACEs can !-- aid in identification of attacks to global and !-- link-local addresses ! deny tcp any 2001:DB8:1:60::/64 eq 23 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in !-- accordance with existing security policies and configurations !-- and allow IPv6 neighbor discovery packets, which !-- include neighbor solicitation packets and neighbor !-- advertisement packets ! permit icmp any any nd-ns permit icmp any any nd-na !
!-- Explicit deny for all other IPv6 traffic !
deny ipv6 any any ! ! !-- Apply tACLs to interfaces in the ingress direction ! interface GigabitEthernet0/0 ip access-group 150 in ipv6 traffic-filter IPv6-Transit-ACL-Policy inBeachten Sie, dass das Filtern mit einer Schnittstellenzugriffsliste die Übertragung von nicht erreichbaren ICMP-Nachrichten zurück an die Quelle des gefilterten Datenverkehrs auslöst. Das Generieren dieser Nachrichten könnte den unerwünschten Effekt einer erhöhten CPU-Auslastung auf dem Gerät haben. In Cisco IOS-Software ist nicht-erreichbare Generation ICMP auf ein Paket alle 500 Millisekunden standardmäßig begrenzt. Die Erzeugung von nicht erreichbaren ICMP-Nachrichten kann mithilfe der Schnittstellenkonfigurationsbefehle no ip unreachables und no ipv6 unreachables deaktiviert werden. Die Durchsatzbegrenzung "ICMP unreachable" kann mithilfe der globalen Konfigurationsbefehle vom Standard abgesetzt werden.ip icmp rate-limit unreachable interval-in-ms und ipv6 icmp-Fehlerintervall-Intervall in ms.
Informationen zur Verwendung der IOS-Befehlszeilenschnittstelle zur Messung der Wirksamkeit der tACL finden Sie im Cisco Security Whitepaper Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.
Eindämmung: Spoofing-Schutz
Unicast Reverse Path Forwarding
Die in diesem Dokument beschriebene MS15-005 hat einen Netzwerkangriffsvektor, der durch gefälschte IP-Pakete ausgenutzt werden kann. Administratoren können Unicast Reverse Path Forwarding (uRPF) als Schutzmechanismus gegen Spoofing bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. Den Administratoren wird empfohlen, während der Bereitstellung dieser Funktion sicherzustellen, dass der geeignete uRPF-Modus (flexibel oder strikt) konfiguriert wird, da legitimer Datenverkehr, der das Netzwerk durchquert, verworfen werden kann. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene an den benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.
IP-Quellschutz
IP Source Guard (IPSG) ist eine Sicherheitsfunktion, die den IP-Datenverkehr an nicht gerouteten Layer-2-Schnittstellen beschränkt, indem Pakete auf Basis der DHCP-Snooping-Bindungsdatenbank und manuell konfigurierter IP-Source-Bindings gefiltert werden. Administratoren können IPSG verwenden, um Angriffe eines Angreifers zu verhindern, der versucht, Pakete durch Fälschung der Quell-IP-Adresse und/oder der MAC-Adresse zu fälschen. Die ordnungsgemäße Bereitstellung und Konfiguration von IPSG in Verbindung mit dem strengen Modus "uRPF" kann den wirksamsten Spoofing-Schutz bieten, um die Auswirkungen von MS15-005 zu minimieren.
Weitere Informationen zur Bereitstellung und Konfiguration von IPSG finden Sie unter Konfigurieren der DHCP-Funktionen und von IP Source Guard.
Identifikation: Identifikation des IPv4- und IPv6-Datenverkehrs mithilfe von Cisco IOS NetFlow und Flexible NetFlow
Administratoren können Cisco IOS NetFlow und Cisco IOS Flexible NetFlow auf Cisco IOS-Routern und -Switches konfigurieren, um IPv4- und IPv6-Datenverkehrsflüsse zu identifizieren, die als Exploit-Versuche zur Eindämmung von MS15-002 dienen können. Den Administratoren wird empfohlen, Datenflüsse zu untersuchen, um festzustellen, ob es sich dabei um Versuche handelt, diese Schwachstellen auszunutzen, oder ob es sich um legitime Datenflüsse handelt. Administratoren können auch Filter konfigurieren, um Datenverkehr auf einzelnen Ports hervorzuheben und so Datenverkehrsflüsse zu identifizieren, die die in diesem Dokument erwähnten Schwachstellen ausnutzen könnten. Weitere Informationen finden Sie im Abschnitt Cisco IOS NetFlow und Cisco IOS Flexible NetFlow im Dokument Identifying the Effectiveness of Security Mitigations Using Cisco IOS Software.
Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
Eindämmung: Transit-Zugriffskontrolllisten
Für MS15-002 wird empfohlen, zum Schutz des Netzwerks vor Datenverkehr, der an Eingangs-Zugangspunkten in das Netzwerk gelangt, z. B. Internetverbindungspunkten, Verbindungspunkten von Partnern und Lieferanten oder VPN-Verbindungspunkten, tACLs für die Richtliniendurchsetzung bereitzustellen. Administratoren können eine tACL erstellen, indem sie explizit zulassen, dass nur autorisierter Datenverkehr an den Eingangs-Access Points in das Netzwerk eindringt, oder indem sie autorisiertem Datenverkehr gestatten, das Netzwerk gemäß den bestehenden Sicherheitsrichtlinien und -konfigurationen zu passieren. Eine tACL-Problemumgehung kann keinen vollständigen Schutz vor diesen Schwachstellen bieten, wenn der Angriff von einer vertrauenswürdigen Quelladresse ausgeht.
Die tACL-Richtlinie verweigert nicht autorisierte Telnet-over-IPv4- und IPv6-Pakete auf TCP-Port 23, die an betroffene Geräte gesendet werden. Im folgenden Beispiel sind 192.168.60.0/24 und 2001:DB8:1:60::/64 der IP-Adressraum, der von den betroffenen Geräten verwendet wird, und die Hosts unter 192.168.100.1 und 2001:DB8::100:1 gelten als vertrauenswürdige Quellen, die Zugriff auf die betroffenen Geräten. Es sollte darauf geachtet werden, dass der für das Routing und den Administratorzugriff erforderliche Datenverkehr zugelassen wird, bevor nicht autorisierter Datenverkehr abgelehnt wird.
Weitere Informationen zu tACLs finden Sie in Transit Access Control Lists: Filtering at Your Edge.
! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable Telnet TCP port !-- for MS15-002 ! access-list tACL-Policy extended permit tcp host 192.168.100.1 192.168.60.0 255.255.255.0 eq 23 ! !-- The following vulnerability-specific ACEs !-- can aid in identification of attacks ! access-list tACL-Policy extended deny tcp any 192.168.60.0 255.255.255.0 eq 23 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! access-list tACL-Policy extended deny ip any any ! !-- Create the corresponding IPv6 tACL ! !-- Include explicit permit statements for trusted sources that !-- require access on the vulnerable Telnet TCP ports !-- for MS15-002 ! ipv6 access-list IPv6-tACL-Policy permit tcp host 2001:DB8::100:1 2001:db8:1:60::/64 eq 23 ! !-- The following vulnerability-specific access control entries !-- (ACEs) can aid in identification of attacks ! ipv6 access-list IPv6-tACL-Policy deny tcp any 2001:db8:1:60::/64 eq 23 ! !-- Permit or deny all other Layer 3 and Layer 4 traffic in accordance !-- with existing security policies and configurations ! !-- Explicit deny for all other IP traffic ! ipv6 access-list IPv6-tACL-Policy deny ip any any ! !-- Apply tACLs to interfaces in the ingress direction ! access-group tACL-Policy in interface outside access-group IPv6-tACL-Policy in interface outside
Informationen zur Verwendung der Cisco Firewall-Kommandozeilenschnittstelle zur Messung der Effektivität von Zugriffskontrolllisten für die Übertragung finden Sie im Cisco Security Whitepaper Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.
Ab Version 9.0 der Cisco Adaptive Security Appliance (ASA) Software unterstützen Zugriffskontrolllisten (ACLs), d. h. einheitliche ACLs, IPv4- und IPv6-Adressen. Es kann eine Mischung aus IPv4- und IPv6-Adressen für die Quelle und das Ziel der ACL angegeben werden. Die Schlüsselwörter any4 und any6 wurden hinzugefügt, um reinen IPv4-Datenverkehr bzw. reinen IPv6-Datenverkehr darzustellen.
Die in den IPv4- und IPv6-ACLs dieses Abschnitts dargestellten IPv4- und IPv6-Zugriffslisteneinträge (ACEs) können auch in eine einheitliche ACL integriert werden.
Weitere Informationen zu einheitlichen Zugriffskontrolllisten finden Sie im Abschnitt Erweiterte Zugriffskontrolllisten im Cisco ASA-Konfigurationsleitfaden.
Ab Version 8.4(2) der Cisco ASA Software können Zugriffsregeln und Sicherheitsrichtlinien basierend auf Benutzernamen und Benutzergruppennamen anstelle von Quell-IP-Adressen konfiguriert werden. Die ASA wendet die Sicherheitsrichtlinien basierend auf einer Verknüpfung von IP-Adressen mit Windows Active Directory-Anmeldeinformationen an und meldet Ereignisse basierend auf den zugeordneten Benutzernamen anstelle der Netzwerk-IP-Adressen. Die Identitäts-Firewall (IDFW) lässt sich in Microsoft Active Directory integrieren, zusammen mit einem externen Active Directory (AD) Agent (in Windows Server) oder Context Directory Agent (CDA), der die tatsächlichen Identitätszuordnungen bereitstellt. Identitätsbasierte ACLs können auch für andere Richtlinientypen wie die Anwendungsinspektion verwendet werden.
Ab Version 9.0 der Cisco ASA-Software kann die ASA auch in Cisco TrustSec integriert werden, um eine Durchsetzung von Richtlinien auf der Basis von Sicherheitsgruppen zu ermöglichen. Die Zugriffsrichtlinien in der Cisco TrustSec-Domäne sind topologieunabhängig und basieren auf den Rollen der Quell- und Zielgeräte statt auf den Netzwerk-IP-Adressen. Cisco TrustSec-ACLs können auch für andere Arten von Richtlinien verwendet werden, z. B. für die Anwendungsinspektion.
Die in den IPv4- und IPv6-ACLs dieses Abschnitts aufgeführten ACEs können auch auf Benutzer-, Benutzer- oder Sicherheitsgruppenbasis mithilfe von ID-basierten oder SGT-ACLs (Security Group Tag) angewendet werden.
Konfigurationsbeispiele zu IDFW finden Sie im Dokument ASA: IDFW (Identity Firewall) zur schrittweisen Konfiguration in der Cisco Support Community und im Abschnitt Identity Firewall des Cisco ASA-Konfigurationsleitfadens. Weitere Informationen zu den externen Agents finden Sie unter Übersicht über den Active Directory-Agenten und Übersicht über den Context Directory-Agenten. Weitere Informationen zur Cisco ASA-Integration mit TrustSec finden Sie im Abschnitt ASA und Cisco TrustSec des Cisco ASA-Konfigurationsleitfadens.
Eindämmung: Spoofing-Schutz mit Unicast Reverse Path Forwarding
Für MS15-005 können die in diesem Dokument beschriebenen Schwachstellen durch gefälschte IP-Pakete ausgenutzt werden. Administratoren können uRPF als Spoofing-Schutzmechanismus bereitstellen und konfigurieren.
uRPF wird auf Schnittstellenebene konfiguriert und kann Pakete erkennen und verwerfen, denen eine verifizierbare Quell-IP-Adresse fehlt. Administratoren sollten sich nicht darauf verlassen, dass uRPF einen vollständigen Spoofing-Schutz bietet, da gefälschte Pakete über eine uRPF-fähige Schnittstelle in das Netzwerk gelangen können, wenn eine entsprechende Rückgaberoute zur Quell-IP-Adresse vorhanden ist. In einer Unternehmensumgebung kann uRPF am Internet-Edge und auf der internen Zugriffsebene der benutzerunterstützenden Layer-3-Schnittstellen aktiviert werden.
Weitere Informationen zur Konfiguration und Verwendung von uRPF finden Sie in der Cisco Security Appliance Command Reference for ip verify reverse path und im Cisco Security Whitepaper Understanding Unicast Reverse Path Forwarding.
Informationen zur Verwendung der Firewall-Kommandozeilenschnittstelle zur Messung der Effektivität des Spoofing-Schutzes finden Sie im Cisco Security Whitepaper Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.
Cisco Intrusion Prevention System
Eindämmung: Cisco IPS-Signaturereignisaktionen
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2015-0014 S844 4949/0 Windows Telnet Service-Pufferüberlauf Ja Hoch 85 CVE 2015-0015 S844 4957/0 Microsoft Windows RADIUS-Authentifizierungsverarbeitung - Denial-of-Service Ja Mittel 80 CVE 2015-0016 S844 4952/0 Windows-Komponenten-Privilegienerweiterung Ja Mittel 85 * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.
Exploits, die gefälschte IP-Adressen verwenden, können dazu führen, dass eine konfigurierte Ereignisaktion versehentlich den Datenverkehr von vertrauenswürdigen Quellen blockiert.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.
Signaturinformationen von Sourcefire
Die folgenden Sourcefire Snort-Signaturen sind für das Microsoft Security Update vom Januar 2015 verfügbar.
Microsoft Advisory-ID Microsoft Advisory-Name CVE(s) Geltende Regeln MS15-001 Schwachstelle in Windows AppCompatCache könnte Privilegserhöhung ermöglichen CVE 2015-0002 32965:32966 MS15-002 Schwachstelle im Windows Telnet-Dienst kann die Ausführung von Remote-Code verursachen CVE 2015-0014 33050 MS15-004 Schwachstelle im Windows-Benutzerprofildienst könnte Rechteerweiterung ermöglichen CVE 2015-0016 33051:33052 MS15-007 Schwachstelle im RADIUS des Netzwerkrichtlinienservers kann Diensteverweigerung verursachen CVE 2015-0015 33053 MS15-008 Sicherheitslücken in Windows-Kernel-Modus-Treibern können die Privilegierung erhöhen CVE 2015-0011 33048:33049 Informationen zur Verwendung von Sourcefire Snort und Sourcefire Next Generation IPS finden Sie unter Sourcefire Security der nächsten Generation.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Version Beschreibung Abschnitt Datum 1 Erstveröffentlichung 13. Januar 2015, 18:49 Uhr GMT
-
Vollständige Informationen über das Melden von Sicherheitslücken in Cisco Produkten, den Erhalt von Unterstützung bei Sicherheitsvorfällen und die Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie unter Cisco.com unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Diese Webseite enthält Anweisungen für Presseanfragen zu Cisco Security Advisories. Alle Cisco Security Advisories stehen unter http://www.cisco.com/go/psirt zur Verfügung.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Microsoft, Inc. Windows 7 für 32-Bit-Systeme (SP1) | für x64-basierte Systeme (SP1) Windows 8 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows 8.1 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows RT Ursprüngliche Version (Basis) | 8.1 (Basis) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (SP2) | Itanium-basierte Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-Bit (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (SP2) | Webserver (SP2) | Webserver, 64-Bit (SP2) Windows Server 2008 R2 x64-basierte Systems Edition (SP1) | Itanium-basierte Systems Edition (SP1) Windows Server 2012 Ursprüngliche Version (Basis) Windows Server 2012 R2 Ursprüngliche Version (Basis) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Unternehmen (SP2) | Unternehmen (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2)
Zugehörige Produkte Cisco Cisco Broadband-Problemhilfe Ursprüngliche Version (Basis) | 3.1 (Basis) | 3.2 (Basis) Cisco Building Broadband Service Manager (BBSM) Ursprüngliche Version (Basis) | 2,5 (.1) | 3,0 (Basis) | 4,0 (Basis, 0,1) | 4.2 (Basis) | 4,3 (Basis) | 4,4 (Basis) | 4,5 (Basis) | 5,0 (Basis) | 5.1 (Basis) | 5.2 (Basis) Cisco CNS Network Registrar 2,5 (Basis) | 3,0 (Basis) | 3,5 (Basis, 0,1) | 5,0 (Basis) | 5,5 (Basis, 0,13) | 6,0 (.5, .5.2, .5.3, .5.4) | 6.1 (Basis, .1, .1.1, .1.2, .1.3, .1.4) Cisco Collaboration Server Dynamic Content Adapter (DCA) Ursprüngliche Version (Basis) | 1,0 (Basis) | 2,0 (Basis, (1)_SR2) Cisco CTI-Option (Computer Telefony Integration) 4.7 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 | 5.1 (0)_SR1, (0)_SR2, (0)_SR3 | 6,0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5 | 7,0 (0)_SR1, (0)_SR2 | 7,1 (2), (3), (4), (5) Cisco Konferenzverbindung 1.1 (3), (3)spA) | 1,2 (Basis, (1), (2), (2) SR1, (2) SR2) Cisco E-Mail Manager Ursprüngliche Version (Basis) | 4,0 (Basis, .5i, .6) | 5,0 (Basis, (0)_SR1, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7) Cisco Emergency Responder 1,1 (Basis, (3), (4) | 1.2 (Basis, (1), (1) SR1, (2) SR1, (3)a, (3)SR1, (3a)SR2) | 1,3 (Basis, (1a), (2)) Cisco Intelligent Contact Manager (ICM) Ursprüngliche Version (Basis) | 4.6 ((2)_SR1, (2)_SR2, (2)_SR3, (2)_SR4, (2)_SR5, (2)_SR6 | 5,0 (0), (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10, (0)_SR11, (0)_SR12, (0)_SR13) | 6.0 ((0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4, (0)_SR5, (0)_SR6, (0)_SR7, (0)_SR8, (0)_SR9, (0)_SR10) | 7.0 (0)_SR1, (0)_SR2, (0)_SR3, (0)_SR4 | 7,1 (2), (3), (4), (5) Cisco Unified Contact Center Enterprise Edition (Base, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) | Express Edition (Base, 2.0, 2.0.2, 2.1, 2.1.1a, 2.1.2, 2.1.3, 2.2, 2.2.1, 2.2.2, 2.2.3b, 2.2.3b_spE, 3.0, 3.0.2, 3.0.3a_spA, 3.0.3a_spB, 3.0.3a_spC, 3.0.3a_spD, 3.1, 3.1(1)_SR1, 3.1(1)_SR2, 3.1(2)_SR1, 3.1(2)_SR2, 3.1(2)_SR3, 3.1(2)_SR4, 3.1(3)_SR2 , 3.1(3)_SR3, 3.1(3)_SR4, 3.1(3)_SR5, 3.5, 3.5.1, 3.5(1)_SR1, 3.5(2)_SR1, 3.5(3), 3.5(3)_SR1, 3.5(3)_SR2, 3.5(3)_SR3, 3.5 5(4)_SR1, 3.5(4)_SR2, 4.0, 4.0(1)_SR1, 4.0(4)_SR1, 4.0(5)_SR1, 4.1, 4.1(1)_SR1, 4.5 (2)_SR1, 4.5(2)_SR2, 5.0(1)_SR1 | Hosted Edition (Basis, 4.6.2, 5.0, 6.0, 7.0, 7.1, 7.1.1, 7.1.3) Cisco Unified IP IVR 2,0 (0,2) | 2.1 (.1a, .2, .3) | 2.2 ((5), .1, .2, .3b, .3b_spE, .5, .4) | 3,0 (.1_spB, .2, .3a_spA, .3a_spB, .3a_spC, .3a_spD) | 3.1 (1)_SR2, (2)_SR1, (2)_SR2, (2)_SR3, (3)_SR1, (3)_SR2, (3)_SR3, (3)_SR4, (3)_SR5 | 3.5 ((1)_SR1, (1)_SR2, (1)_SR3, (2)_SR1, (3)_SR1, (3)_SR2, (3)_SR3, (4)_SR1, (4)_SR2, .1, .3) | 4,0 (1)_SR1, (4)_SR1 | 4,1 (1)_SR1 | 4,5 (2)_SR1, (2)_SR2 | 5,0 (1)_SR1 Cisco IP Interoperability and Collaboration System (IPICS) 1,0 (1,1) Cisco IP Queue Manager 2.2 (Basis) Cisco IP/VC 3540 Anwendungsserver-Modul 3,2 (.0.1, .138) | 3,5 (.0,8) Cisco IP/VC 3540 Rate Matching-Modul 3,0 (0,9) Cisco Media Blender Ursprüngliche Version (Basis) | 3,0 (Basis) | 4,0 (Basis) | 5,0 (Basis, (0)_SR1, (0)_SR2) Cisco Networking Services für Active Directory Ursprüngliche Version (Basis) Cisco Outbound-Option Ursprüngliche Version (Basis) Cisco Personal Assistant 1,0 (Basis, 1) | 1,1 (Basis) | 1,3 (Basis, .1, .2, .3, .4) | 1,4 (Basis, 0,2, 0,3, 0,4, 0,5, 0,6) Cisco Remote Monitoring Suite-Option 1,0 (Basis) | 2,0 (Basis, (0)_SR1) Cisco Secure Access Control Server (ACS) für Windows 2,6 (Basis) | 2.6.3.2 (Basis) | 2.6.4 (Basis) | 2.6.4.4 (Basis) | 3,0 (Basis) | 3.0.1 (Basis) | 3.0.1.40 (Basis) | 3.0.2 (Basis) | 3.0.3 (Basis) | 3.0.3.6 (Basis) | 3.0.4 (Basis) | 3.1.1 (Basis) | 3.1.1.27 (Basis) | 3.1.2 (Basis) | 3.2 (Basis) | 3.2.1 (Basis) | 3.2.3 (Basis) | 3.3.1 (Basis) | 3.3.2.2 (Basis) | 3.3.1.16 (Basis) | 3.3.3.11 (Basis) | 4,0 (Basis) | 4.0.1 (Basis) | 4.0.1.27 (Basis) | 4.1.1.23 (Basis) Cisco Secure Access Control Server Solution Engine (ACSE) 3.1 (Basis, .1) | 3.2 (Basis, .1.20, .2.5, .3) | 3.3 (Basis, .1, .1.16, .2.2, .3, .4, .4.12) | 4,0 (Basis, .1, .1.42, .1.44, .1.49) | 4.1 (Basis, .1.23, .1.23.3, .3, .3.12) Cisco Secure User Registration Tool (URT) Ursprüngliche Version (Basis) | 1,2 (Basis, 0,1) | 2,0 (Basis, 0,7, 0,8) | 2,5 (Basis, .1, .2, .3, .4, .5) Cisco SN 5420 Storage-Router 1,1 (Basis, 0,3, 0,4, 0,5, 0,7, 0,8) | 2.1 (.1, .2) Cisco SN 5428-2 Storage-Router 3,2 (.1, .2) | 3,3 (.1, .2) | 3,4 (.1) | 3,5 (Basis, .1, .2, .3, .4) Cisco TrailHead Ursprüngliche Version (Basis) | 4,0 (Basis) Cisco Unified Communications Manager Ursprüngliche Version (Basis) | 1,0 (Basis) | 2,0 (Basis) | 3,0 (Basis) | 3.0.3(a) (Basis) | 3.1 (Basis, .1, .2, .3a) | 3.1(1) (Basis) | 3.1(2) (Basis) | 3.1(2)SR3 (Basis) | 3.1(3) (Basis) | 3.1(3)SR2 (Basis) | 3.1(3)SR4 (Basis) | 3.2 (Basis) | 3.2(3)SR3 (Basis) | 3,3 (Basis) | 3.3(2)SPc (Basis) | 3.3(3) (Basis) | 3.3(3)ES61 (Basis) | 3.3(3)SR3 (Basis) | 3.3(3)SR4a (Basis) | 3.3(3a) (Basis) | 3.3(4) (Basis) | 3.3(4)ES25 (Basis) | 3.3(4)SR2 (Basis) | 3.3(4c) (Basis) | 3.3(5) (Basis) | 3.3(5)ES24 (Basis) | 3.3(5)SR1 (Basis) | 3.3(5)SR1a (Basis) | 3.3(5)SR2 (Basis) | 3.3(5)SR2a (Basis) | 3.3(5)SR3 (Basis) | 3.3(59) (Basis) | 3.3(61) (Basis) | 3.3(63) (Basis) | 3.3(64) (Basis) | 3.3(65) (Basis) | 3.3(66) (Basis) | 3.3(67,5) (Basis) | 3.3(68.1) (Basis) | 3.3(71,0) (Basis) | 3.3(74,0) (Basis) | 3.3(78) (Basis) | 3.3(76) (Basis) | 4,0 (.1, .2) | 4.0(2a)ES40 (Basis) | 4.0(2a)ES56 (Basis) | 4.0(2a)SR2b (Basis) | 4.0(2a)SR2c (Basis) | 4.1 (Basis) | 4.1(2) (Basis) | 4.1(2)ES33 (Basis) | 4.1(2)ES50 (Basis) | 4.1(2)SR1 (Basis) | 4.1(3) (Basis) | 4.1(3)ES (Basis) | 4.1(3)ES07 (Basis) | 4.1(3)ES24 (Basis) | 4.1(3)SR (Basis) | 4.1(3)SR1 (Basis) | 4.1(3)SR2 (Basis) | 4.1(3)SR3 (Basis) | 4.1(3)SR3b (Basis) | 4.1(3)SR3c (Basis) | 4.1(3)SR4 (Basis) | 4.1(3)SR4b (Basis) | 4.1(3)SR4d (Basis) | 4.1(3)SR5 (Basis) | 4.1(4) (Basis) | 4.1(9) (Basis) | 4.1(17) (Basis) | 4.1(19) (Basis) | 4.1(22) (Basis) | 4.1(23) (Basis) | 4.1(25) (Basis) | 4.1(26) (Basis) | 4.1(27.7) (Basis) | 4.1(28.2) (Basis) | 4.1(30.4) (Basis) | 4.1(36) (Basis) | 4.1(39) (Basis) | 4.2(1) (Basis) | 4.2(1)SR1b (Basis) | 4.2(1.02) (Basis) | 4.2(1.05.3) (Basis) | 4.2(1.06) (Basis) | 4.2(1.07) (Basis) | 4.2(3) (Basis) | 4.2(3)SR1 (Basis) | 4.2(3)SR2 (Basis) | 4.2(3.08) (Basis) | 4.2(3.2.3) (Basis) | 4.2(3.3) (Basis) | 4.2(3.13) (Basis) | 4.3(1) (Basis) | 4.3(1)SR (Basis) | 4,3(1,57) (Basis) Cisco Unified Customer Voice Portal (CVP) 3,0 (0), (0)SR1, (0)SR2) | 3.1 (0), (0)SR1, (0)SR2) | 4,0 (0), (1), (1)SR1, (2) Cisco Unified MeetingPlace 4.3 (Basis) | 5.3 (Basis) | 5.2 (Basis) | 5,4 (Basis) | 6,0 (Basis) Cisco Unified MeetingPlace Express 1.1 (Basis) | 1,2 (Basis) | 2,0 (Basis) Cisco Unity Ursprüngliche Version (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis) | 2,3 (Basis) | 2,4 (Basis) | 2,46 (Basis) | 3,0 (Basis, 0,1) | 3.1 (Basis, .2, .3, .5, .6) | 3.2 (Basis) | 3,3 (Basis) | 4,0 (Basis, .1, .2, .3, .3b, .4, .5) | 4.1 (Basis, .1) | 4.2 (Basis, .1, .1 ES27) | 5,0 (1) | 7,0 (2) Cisco Unity Express 1.0.2 (Basis) | 1.1.1 (Basis) | 1.1.2 (Basis) | 2.0.1 (Basis) | 2.0.2 (Basis) | 2.1.1 (Basis) | 2.1.2 (Basis) | 2.1.3 (Basis) | 2.2.0 (Basis) | 2.2.1 (Basis) | 2.2.2 (Basis) | 2.3.0 (Basis) | 2.3.1 (Basis) Cisco Wireless Control System (WCS)-Software 1,0 (Basis) | 2,0 (Basis, 44,14, 44,24) | 2,2 (.0, .111.0) | 3,0 (Basis, .101.0, .105.0) | 3.1 (Basis, .20.0, .33.0, .35.0) | 3.2 (Basis, .23.0, .25.0, .40.0, .51.0, .64.0) | 4,0 (Basis, .1.0, .43.0, .66.0, .81.0, .87.0, .96.0, .97.0) | 4.1 (Basis, .83.0) CiscoWorks IP Telefony Environment Monitor (ITEM) 1,3 (Basis) | 1,4 (Basis) | 2,0 (Basis) CiscoWorks LAN Management-Lösung (LMS) 1,3 (Basis) | 2.2 (Basis) | 2,5 (Basis) | 2,6 (Basis) CiscoWorks QoS Policy Manager (QPM) 2,0 (Basis, .1, .2, .3) | 2,1 (.2) | 3,0 (Basis, 0,1) | 3.1 (Basis) | 3.2 (Basis, .1, .2, .3) CiscoWorks Routed WAN Management Solution (RWAN) 1,0 (Basis) | 1,1 (Basis) | 1,2 (Basis) | 1,3 (Basis, 0,1) CiscoWorks Small Network Management-Lösung (SNMS) 1,0 (Basis) | 1,5 (Basis) CiscoWorks VPN/Security Management Solution (VMS) 1,0 (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis) | 2,3 (Basis) Cisco Collaboration-Server 3,0 (Basis) | 3,01 (Basis) | 3,02 (Basis) | 4,0 (Basis) | 5,0 (Basis) Cisco DOCSIS CPE-Konfigurator 1,0 (Basis) | 1,1 (Basis) | 2,0 (Basis) Cisco Unified IP Interactive Voice Response (IVR) 2,0 (Basis) | 2.1 (Basis) Cisco Service Control Engine (SCE) 3,0 (Basis) | 3.1 (Basis) Cisco Transport Manager Ursprüngliche Version (Basis) | 2,0 (Basis) | 2.1 (Basis) | 2.2 (Basis, .1) | 3,0 (Basis, .1, .2) | 3.1 (Basis) | 3.2 (Basis) | 4,0 (Basis) | 4.1 (Basis, .4, .6, .6.6.1) | 4,6 (Basis) | 4,7 (Basis) | 5,0 (Basis, .0.867.2, .1.873.2, .2, .2.92.1, .2.99.1, .2.105.1, .2.110.1) | 6,0 (Basis, 0,405,1, 0,407,1, 0,412,1) | 7,0 (Basis, 0,370,1, 0,372,1, 0,377,1, 0,389,1, 0,400,1, 395,1) | 7.2 (Basis, 0.0.199.1)
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.