Patchday-Nachlese: Microsoft schließt kritische Schannel-Lücke

win7Erinnert ihr euch noch an Heartbleed? Führte zu hektischer Patcherei bei Servern, um die SSL-Sicherheitslücke zu schließen. Wenn ich es richtig sehe, hat Microsoft am gestrigen Patchday eine ähnlich kritische Sicherheitslücke für die Windows-Welt geschlossen bzw. bietet zumindest einen Patch an. Update: Ich habe den Artikel zwischenzeitlich um ein paar Infos zur Patchday-Nachlese erweitert. So hat's mein Netzwerk unter Windows 7 zerschossen, wobei VMware Workstation scheinbar der Teilschuldige war.


Anzeige

Es geht um den Patch MS14-066 (KB2992611) für Windows mit dem Namen Vulnerability in Schannel Could Allow Remote Code Execution (2992611). Da ist sie wieder, die berühmte Sicherheitslücke, die das Ausführen von Remote Code ermöglicht. Microsoft gibt nicht viele Infos preis und schreibt nur:

This security update resolves a privately reported vulnerability in the Microsoft Secure Channel (Schannel) security package in Windows. The vulnerability could allow remote code execution if an attacker sends specially crafted packets to a Windows server.

This security update is rated Critical for all supported releases of Microsoft Windows. For more information, see the Affected Software section. The security update addresses the vulnerability by correcting how Schannel sanitizes specially crafted packets.

Das Update ist als kritisch eingestuft und betrifft praktisch alle aktuell noch unterstützten Windows-Versionen, von Windows Vista, Windows 7, Windows 8 bis Windows 8.1 und die korrespondierenden Server-Versionen Windows Server 2003, 2008, 20012.

Who cares? Was kratzt es mich, wenn ein Sack Reis in China umfällt? Sollte euch aber kratzen. Die Site TheNextWeb weist hier darauf hin, dass die Sicherheitslücke wohl in der Schannel-Library zu finden ist. Und diese ist für Encryption (Ver-/Entschlüsselung) und Authentification beim HTTP-Protokoll zuständig. Wenn aber so eine zentrale und wichtige Komponente eine Sicherheitslücke aufweist, ist die "Hütte am brennen". Heißt zu deutsch: Alle Administratoren von Windows Server-Maschinen sind aufgefordert, unverzüglich zu patchen. Und die Administratoren von Windows-Clients stehen in der gleichen Pflicht.

PostScriptum: Und damit kommen wir zu Windows XP, welches nicht mehr gewartet wird. Wer also jetzt mit diesem Teil im Internet unterwegs ist, ist angreifbar. Also Internetverbindung kappen oder auf neuere Windows-Versionen upgraden. Oder ihr beachtet den Hinweis von Frank.

Was bedeutet Franks "POS-Kappe" für Windows XP?

Für die Mitleser hier, die mit dem Kommentar von Frank Hammerschmidt nichts anfangen können, möchte ich das Ganze kurz aufdröseln. Windows XP ist seit April 2014 aus dem Support gefallen und bekommt auch keine Sicherheits-Updates mehr!

Aber es gibt weiterhin Support für Windows Embedded. Und die Variante Windows Embedded POSReady 2009 (POS = Windows Embedded) basiert quasi auf Windows XP Professional (siehe). Nun gibt es findige Köpfe, die Windows XP durch einen Registrierungseingriff beigebracht haben, sich gegenüber den Microsoft Update-Servern als POSReady 2009 auszugeben – so dass die neuesten Update bezogen werden können. Ich habe im Blog dazu folgende Artikel veröffentlicht.

Registry-Hack ermöglicht weiter Windows XP-Updates
Neues zum Windows XP-Update-Registry-Hack – Microsofts Statement

Patchday-Kurznachlese

Microsoft hat zwischenzeitlich diese Webseite mit einer Übersicht über die Updates freigeschaltet. Für das Update MS14-068 ist das Release-Datum übrigens noch offen. Zudem gibt es diese Webseite, wo weitere Updates (u.a. Flash-Update für Windows 8/8.1) beschrieben werden. Ich selbst habe am 11.11.2014 den Artikel Microsoft November-Patch-Info: 16 + 60 Updates kommen veröffentlicht, der alles Wissenswerte zusammenfasst.

VMware Workstation trägt mein Win 7 Netzwerk aus der Kurve

Hier bei mir hat es unter Windows 7 einen Kollateralschaden gegeben. Gestern hatte ich VMware Workstation 10.0.4 installiert. Nachdem heute morgen die Windows 7-Updates zum Patchday durchgelaufen waren, hatte ich ein Netzwerk mehr – es wurde ein nicht identifiziertes Netzwerk angezeigt. Die Diagnose meldete, dass der virtuelle Netzwerkadapter keinen DHCP-Server habe und ein nicht identifiziertes Netzwerk vorläge.


Anzeige

Ich habe dann den Virtual Network Editor von VMware aufgerufen (ist bei Workstation) dabei und fand diese Infos. Schon merkwürdig, die sich widersprechenden Angaben der Windows 7 Netzwerk-Problembehandlung und des Virtual Network Editors.

Ich habe dann noch versucht, mit einer Bridge das Problem zu beheben (obwohl ich weiß, dass die VMware-Adapter da zicken). Ich bekam dann diese Meldung der Netzwerkdiagnose, die mich aber nicht weiter brachte.

Damit stand ich an der Wand: Der VMware Netzwerk-Editor meldete, dass DHCP für verschiedene virtuelle Adapter eingeschaltet sei, konnte aber für den betreffenden Adapter nichts tun (den Tipp von Frank Hammerschmidt, die Default-Angaben zurücksetzen zu lassen, kannte ich noch nicht).

Da ich kein Internet mehr hatte und nicht mal mehr auf die FRITZ!Box zugreifen konnte, habe ich VMware Workstation deinstalliert. Im Anschluss ließ sich das Netzwerk per Problembehandlung reparieren. Ich untersuche nun noch kurz, ob eine Re-Installation von VMware Workstation 10.0.4, das Zurückgehen auf 10.0.3 oder weitere Trick das Netzwerk wieder zum Leben erwecken können.

Update: Ich habe VMware Workstation 10.0.4 neu installieren lassen – und das Netzwerk funktioniert immer noch. Mal schauen, ob es heute Abend auch einen Neustart überlebt – jetzt muss ich erst mal an meinem iPad-Manuskript weiter schnitzen.

Ergänzende Infos zum Patchday bei heise.de und Dr. Windows

Die Reaktion von heise.de hat ebenfalls einen umfangreicheren Artikel rund um den Patchday veröffentlicht, der noch ein paar ergänzende Infos enthält. Zudem hat MVP-Kollege Martin Geuß hier bei Dr. Windows ein paar Infos zusammen getragen. Einfach zur Lektüre empfohlen.

RDP-Verbindungen klappen nach Patchday nicht mehr

Bei einigen Benutzern lassen sich nach der Installation der Updates keine RDP-Verbindungen mehr aufbauen. Scheint ein Lizenzierungsproblem zu sein. Eine Lösung ist ist in diesem Forenthread beschrieben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit Patch, Sicherheitslücke, Update, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Patchday-Nachlese: Microsoft schließt kritische Schannel-Lücke

  1. Frank Hammerschmidt sagt:

    Ich bin bestimmt kein Verteidiger von Altertümern, jedoch lädt XP mit der POS-Kappe ganz brav das in http://support.microsoft.com/?kbid=2992611 beschriebene Update.

    Frank

  2. Günter Born sagt:

    @Frank: Danke für den Einwurf – mir fehlen Zeit und Nerven, das hier auch noch zu testen. Momentan kämpfe ich offenbar mit einem Kollateralschaden des Microsoft November-Patchday. Hatte kein Internet mehr, wegen eines nicht identifizierten Netzwerks. Hängt mit VMware Workstation 10.0.4 zusammen. Nach der Deinstallation von VMware Workstation 10.0.4 konnte ich das Netzwerk reparieren lassen. Muss jetzt mal schauen, wie ich das auf die Reihe bekomme.

    Und hier hat es ein System wohl auf den Rücken geworfen.

  3. Frank Hammerschmidt sagt:

    Ich kann mich dunkel erinnern, auch mal Netzwerkprobleme durch VMWare Produkte gehabt zu haben. Seinerzeit reichte es, vmnetcfg.exe laufen zu lassen und "Restore Default" zu klicken.
    Blöd, wenn man nur den Player hat und sich erst aus einer WS-Installation vmnetcfg.exe und nötige dll holen muss.

    Frank

  4. Günter Born sagt:

    Noch ein Nachtrag

    Die Schannel-Sicherheitslücke hat zwischenzeitlich den Namen WinShock erhalten. Bei Arstechnica gibt es diesen Artikel zum Thema.

    Von Gavin Millard, EMEA Technical Director bei Tenable Network Security, ist mir dazu folgender Kommentar zugegangen, den ich jetzt mal hier einstelle.

    Bisher wurde noch kein Proof-of-Concept-Code gefunden, da Microsoft auch keine genauen Details zur Schwachstelle bekanntgegeben hat. Aber es wird nicht lange dauern, bis es so weit ist und es verheerenden Folgen haben kann, falls der Admin kein Update durchgeführt hat. Es ist äußerst wichtig, dass alle Windows-Versionen ein Update erhalten, da Angreifer über die Schwachstelle aus der Ferne auf dem Server Code ausführen können, der es ihnen erlaubt, privilegierten Zugriff auf das Netzwerk zu erhalten, den die Angreifer ausnutzen können, um beispielsweise Hosts mit Malware oder Rootkits zu infizieren oder sensible Daten zu stehlen.

    Ist "WinShock" genauso gefährlich wie ShellShock oder Heartbleed? Derzeit ist das angesichts der wenigen bekannten Details und des fehlenden Proof-of-Concept-Codes schwer einzuschätzen. Aber eine Schwachstelle, die auf Code basiert, der aus der Ferne ausgeführt werden kann und sämtliche Versionen von Windows Server an einer weit verbreiteten Komponente wie Schannel betrifft, stellt wirklich ein Problem dar.

    Wie bei all den anderen „Bugs des Tages" ist es entscheidend, dass jedes in Frage kommende System in der Umgebung erkannt und wenn nötig gepatcht wird. So kann die Gefahr des Datenverlusts durch gezielte Angriffe genauso gesenkt werden, wie die Auswirkungen sämtlicher Malware und Würmer, die in den kommenden Tagen auftauchen werden.

    Ach übrigens, das Thema hat es sogar bis in Spiegel Online geschafft.

    Und in diesem Artikel gibt es noch ähnliche Informationen (wohl zu zwei Sicherheitslücken, die seit Win 95 vorhanden waren).

    Probleme mit SSL-Verbindungen
    Durch den SChannel-Patch kann es passieren, dass TSL-abgesicherte Verbindungen nicht mehr funktionieren und es in der Ereignisanzeige zu Problemen kommt. Ich habe hier einen kurzen Artikel zum Thema veröffentlicht.

  5. elli sagt:

    also ich versteh den abschnitt mit dem update (KB2992611) nicht ganz..bin nit so ah pc genie^^ und versteh texte nicht so gut :/.soll mas sein lassen des zum install oder soll mas?und mit englisch hab ichs auch nit so^^"

  6. Pingback: Fehlermeldung im Zusammenhang mit heutigem Patch-Day ?

  7. Pingback: Schannel 36887

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.