Antwort von Cisco

• Im Rahmen des monatlichen Security Bulletins am 8. April 2014 kündigte Microsoft vier Security Bulletins an, die 11 Schwachstellen beseitigen. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/en-us/security/bulletin/ms14-apr. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.

  Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, erfordern eine Benutzerinteraktion oder können durch webbasierte Angriffe (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhänge ausgenutzt werden. Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:

  • MS14-017
  • MS14-018
  • MS14-019
  • MS14-020

  Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten verschiedene Gegenmaßnahmen für Schwachstellen mit einem Netzwerkangriffsvektor, auf die weiter unten in diesem Dokument noch näher eingegangen wird.

  • MS14-017
  • MS14-019
  • MS14-020

  Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom April 2014 verwiesen wird.

  Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.

Merkmale der Schwachstelle

• MS14-017, Sicherheitslücken in Microsoft Word und Office Web Apps können die entfernte Codeausführung ermöglichen (2949660): Diesen Sicherheitslücken wurden Common Vulnerabilities and Exposures (CVE) Identifiers CVE-2014-4252, CVE-2014-4253 und CVE-253 zugewiesen. 014-3704 Diese Schwachstellen können ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordern eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP- und HTTPS-Pakete, die in der Regel TCP-Port 80 und 443 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.

  MS14-019, Kumulatives Sicherheitsupdate für Internet Explorer (2950467): Diesen Schwachstellen wurden Common Vulnerabilities and Exposures (CVE) Identifiers (CVE) zugewiesen (CVE-2014-0235, CVE-2014-1751, CVE-2014-1751) 2, CVE-2014-1753, CVE-2014-1755 und CVE-2014-1760. Diese Schwachstellen können ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordern eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP- und HTTPS-Pakete, die in der Regel TCP-Port 80 und 443 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.

  MS14-020, Schwachstelle in Microsoft Publisher Könnte Remote Code Execution erlauben (2950145): Dieser Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-ID CVE-2014-1759 zugewiesen. Diese Schwachstellen können ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordern eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP- und HTTPS-Pakete, die in der Regel TCP-Port 80 und 443 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.

  Die Cisco Adaptive Security Appliance der Serien ASA 5500 und 5500-X, das Cisco Catalyst ASA Services Module (ASASM) der Serie 6500, das Cisco Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600, die Cisco ACE Application Control Engine Appliance und das Cisco Web- Email Security Appliances und Cisco Cloud Web Security bieten Schutz für potenzielle Versuche, diese Schwachstellen auszunutzen (ein Thema, das in diesem Dokument behandelt wird).

Überblick über Sicherheitslücken

• Informationen zu anfälliger, nicht betroffener und fester Software finden Sie in der Microsoft Security Bulletin Summary for April 2014 unter dem folgenden Link: http://technet.microsoft.com/en-us/security/bulletin/ms14-apr

Überblick über die Risikominderungstechnik

• Die Schwachstellen mit einem Client-Software-Angriffsvektor, die lokal auf dem anfälligen Gerät ausgenutzt werden können, eine Benutzerinteraktion erfordern, können mithilfe von webbasierten Angriffen (darunter Site-übergreifendes Skripting, Phishing und webbasierte E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden. Dateien, die in Netzwerkfreigaben gespeichert sind, sind in der folgenden Liste aufgeführt:

  • MS14-017
  • MS14-018
  • MS14-019
  • MS14-020

  Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunkt-Schutzsoftware wie Host Intrusion Prevention Systems (HIPS) oder Antivirus-Produkte behoben.

  Die folgende Liste enthält die Schwachstellen, die durch die Eindämmung des Netzwerks beseitigt werden können. Cisco Geräte bieten eine Reihe von Gegenmaßnahmen für diese Sicherheitslücken. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.

  • MS14-017
  • MS14-019
  • MS14-020

  Cisco Adaptive Security Appliances der Serien ASA 5500 und 5500-X, Cisco Catalyst ASA Services Module (ASASM) der Serie 6500 und das Firewall Services Module (FWSM) für Cisco Catalyst Switches der Serie 6500 und Cisco Router der Serie 7600 bieten ebenfalls eine effektive Exploit-Abwehr:

  • Protokollüberprüfung auf Anwendungsebene
  • URL-Filterung
  • Firewall-Services der nächsten Generation

  Diese Schutzmechanismen filtern und löschen Pakete, die versuchen, die Schwachstellen auszunutzen, die einen Angriffsvektor im Netzwerk haben.

  Die Cisco ACE Application Control Engine Appliance und das Cisco ACE-Modul bieten zudem mithilfe der Anwendungsprotokollüberprüfung einen effektiven Schutz vor Exploits.

  Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.

  Die effektive Nutzung von Ereignisaktionen des Sourcefire Intrusion Prevention System (IPS) bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.

  Eine effektive Nutzung der Cisco Web Security Appliance kann vor Schwachstellen schützen, die über einen Angriffsvektor im Internet verfügen.

  Die effektive Nutzung der Cisco Email Security Appliance kann vor Schwachstellen mit einem E-Mail-Angriffsvektor schützen.

  Eine effektive Nutzung von Cisco Cloud Web Security kann vor Schwachstellen schützen, die über das Internet einen Angriffsvektor haben.

Risikomanagement

• Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.

Gerätespezifische Eindämmung und Identifizierung

• Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.

  Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:

  • Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls
  • Cisco ACE
  • Cisco Intrusion Prevention System
  • Cisco Sourcefire Snort-Signaturen
  • Cisco Web und E-Mail Security
  • Cisco Cloud Web Security

  Cisco ASA, Cisco ASASM und Cisco FWSM-Firewalls

  Eindämmung: Protokollüberprüfung auf Anwendungsebene

  Die Protokollprüfung auf Anwendungsebene ist ab Cisco IOS Software Release 7.2(1) für die Cisco Adaptive Security Appliance der Serien ASA 5500 und 5500-X, IOS Software Release 8.5 für das Cisco Catalyst ASA Services Module der Serie 6500 und IOS Software Release 4.0(1) für das Cisco Firewall Services Module verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der die Firewall passiert. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden. Bei der Anwendungsinspektion werden sowohl IPv4- als auch IPv6-Pakete überprüft, die den in der Klassenzuordnung der Richtlinie definierten Paketen entsprechen.

  Weitere Informationen zur Protokollprüfung auf Anwendungsebene und zum Modular Policy Framework (MPF) finden Sie im Abschnitt Erste Schritte mit der Protokollprüfung auf Anwendungsebene in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

  Vorsicht: Die Protokollprüfung auf Anwendungsebene führt zu einer Verringerung der Firewall-Leistung. Den Administratoren wird empfohlen, die Auswirkungen auf die Leistung in einer Laborumgebung zu testen, bevor diese Funktion in Produktionsumgebungen bereitgestellt wird.

  HTTP-Anwendungsinspektion
  Für MS14-017 und MS14-020 können Administratoren mithilfe der HTTP-Prüfungs-Engine der Cisco Adaptive Security Appliances der Serien ASA 5500 und 5500-X, der Cisco ASA Services Modules der Serie 6500 und des Cisco Firewall Services-Moduls reguläre Ausdrücke (Regexe) konfigurieren. ) für Mustervergleich und Konstruktionsinspektionsklassen- und Inspektionsrichtlinien-Karten. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Bei der folgenden HTTP-Anwendungsinspektionskonfiguration wird das Cisco Modular Policy Framework (MPF) verwendet, um eine Richtlinie für die Inspektion des Datenverkehrs an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326 zu erstellen. Diese sind die Standardports für die Cisco IPS #WEBPORTS-Variable. Die HTTP-Anwendungsinspektionsrichtlinie verwirft Verbindungen, bei denen der HTTP-Antworttext einen der regulären Werte enthält, die so konfiguriert sind, dass sie mit dem ActiveX-Steuerelement übereinstimmen, das mit diesen Sicherheitslücken verknüpft ist.

  Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Text einer HTML-Antwort zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, ohne das ActiveX-Steuerelement aufzurufen, nicht beeinträchtigt werden. Weitere Informationen zur Syntax von regex finden Sie unter Erstellen eines regulären Ausdrucks.

  Weitere Informationen zu ActiveX-Exploits und Abwehrmechanismen, die Cisco Firewall-Technologien nutzen, finden Sie im Whitepaper Preventing ActiveX Exploits with Cisco Firewall Application Layer Protocol Inspection Cisco Security Intelligence Operations.

  ! !-- Configure regexes that look for either the !-- .rtf or the .pub file extensions that are !-- typically used to exploit the vulnerability !-- associated with MS14-017 and MS14-020 ! 
  regex MS14-017 ".+\x2e[Rr][Tt][Ff]"
  regex MS14-020 ".+\x2e[Pp][Uu][Bb]"
  ! !-- The "?" in the above regexes must be escaped with !-- [CTRL-v]. See Creating a Regular Expression for !-- details  
  ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! 
  class-map type regex match-any MS14-regex_class
   match regex MS14-017
   match regex MS14-020
  ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 !
  object-group service WEBPORTS tcp
   port-object eq www 
   port-object eq 3128 
   port-object eq 8000 
   port-object eq 8010 
   port-object eq 8080 
   port-object eq 8888 
   port-object eq 24326 
  ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device !
  access-list Webports_ACL extended permit tcp any any object-group WEBPORTS 
  ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map Webports_Class
   match access-list Webports_ACL
  ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Apr_2014_policy
   parameters
  ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments. !  body-match-maximum 1380
   match response body regex class MS14-regex_class    
    drop-connection log  
  ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! 
  policy-map global_policy
   class Webports_Class
    inspect http MS_Apr_2014_policy  ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces !
  service-policy global_policy global

  Weitere Informationen zur Konfiguration und Verwendung von Objektgruppen finden Sie im Abschnitt Hinzufügen globaler Objekte in Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.1.

  Weitere Informationen zu HTTP-Anwendungsprüfungen und MPF finden Sie im Abschnitt HTTP-Prüfung in Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.1.

  Informationen zur Verwendung der Cisco Firewall Command Line Interface (CLI) zur Messung der Effizienz der Anwendungsinspektion finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Security Exploits with Cisco ASA, Cisco ASASM, and Cisco FWSM Firewalls.

  Eindämmung: URL-Filterung

  Die URL-Filterung kann auf die ASA angewendet werden, indem Websense Enterprise Secure Computing SmartFilter Server (ehemals N2H2) für die Internetfilterung verwendet wird. Wenn die URL-Filterung aktiviert ist, setzt die ASA nur die Filterrichtlinienentscheidungen durch, die für HTTP, HTTPS und FTP durch die Produktkonfigurationen für die Internetfilterung getroffen wurden.

  Insbesondere für HTTPS-Inhalte sendet die ASA die URL-Suche ohne Verzeichnis- und Dateinameninformationen. Wenn der Filterserver eine HTTPS-Verbindungsanforderung genehmigt, ermöglicht die ASA den Abschluss der SSL-Verbindungsaushandlung und die Antwort vom Webserver kann den ursprünglichen Client erreichen. Wenn der Filterserver die Anforderung ablehnt, verhindert die ASA den Abschluss der SSL-Verbindungsaushandlung. Der Browser zeigt eine Fehlermeldung an, z. B. "The Page" (Die Seite) oder der Inhalt kann nicht angezeigt werden.

  Die URL-Filterung wird mithilfe von url-server und filter global CLI-Befehlen konfiguriert.

  Mithilfe der URL-Filterung können die in diesem Dokument beschriebenen Schwachstellen behoben werden, indem HTTP- oder HTTPS-Anforderungen gefiltert werden, die im URI-Feld die Erweiterung .rtf oder .pub enthalten.

  Weitere Informationen finden Sie unter Filtern von HTTPS-URLs im Cisco ASA-Konfigurationsleitfaden und Konfigurieren der URL-Filterung in der Cisco Support Community.

  Eindämmung: Firewall-Services der nächsten Generation

  Ab Cisco ASA Softwareversion 8.4(5) für Cisco ASA 5585-X mit ASA CX SSP-10 und -20; Cisco ASA Softwareversion 9.1 für Cisco ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X und ASA 5555 Cisco ASA Next-Generation Firewall (NGFW)-Services ermöglichen es einem Administrator, die Richtlinien basierend auf der Identität des Benutzers (Wer), der Anwendung oder Website, auf die der Benutzer zuzugreifen versucht (Was), dem Ursprung des Zugriffsversuchs (Wo), der Uhrzeit des versuchten Zugriffs (wann) und die Eigenschaften des für den Zugriff verwendeten Geräts (wie).

  Die NGFW-Services werden in einem separaten Hardwaremodul (SSP für ASA5585-X) oder Softwaremodul (ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) ausgeführt. Die ASA leitet den Datenverkehr (mithilfe von MPF-Richtlinien) an das NGFW-Modul weiter, das die konfigurierten Richtlinien überwacht und/oder durchsetzt. NGFW-Richtlinien können über die Benutzeroberfläche von Cisco Prime Security Manager (PRSM) im Einzel- oder Mehrfachmodus konfiguriert werden. Im Rahmen des AVC-Service (Application Visibility and Control) der NGFW können eine Vielzahl von Anwendungen erkannt und ausgeführt werden. Die Anwendungserkennung wird mithilfe von Signatur- und Modulaktualisierungen kontinuierlich aktualisiert. Ebenso kann der Web Security Essentials (WSE)-Dienst Webfeatures und -anforderungen prüfen und darauf reagieren. Web-Reputationsrichtlinien können außerdem verwendet werden, um Datenverkehr basierend auf der Reputation der besuchten Ziele zu filtern.

  Mit der Cisco NGFW können MS14-017, MS14-019 und MS14-020 durch Filtern der folgenden Elemente reduziert werden:

  • URL-Ziele mit niedriger Reputation
  • Dateien mit .rtf oder .pub Dateitypen

  Überwachungs- und Filterrichtlinien (AVC und WSE) können auch auf verschlüsselten TLS-Datenverkehr angewendet werden.

  Weitere Informationen zu unterstützten Anwendungen finden Sie unter ASA NGFW Services Applications Portal. Weitere Informationen zur Konfiguration der ASA finden Sie im Abschnitt Konfigurieren des ASA CX-Moduls im Cisco ASA-Konfigurationsleitfaden. Weitere Informationen zur Konfiguration der ASA CX finden Sie im Benutzerhandbuch für ASA CX und Cisco Prime Security Manager.

  Cisco ACE

  Eindämmung: Anwendungsprotokollüberprüfung

  Die Anwendungsprotokollüberprüfung ist für die Cisco ACE Application Control Engine Appliance und das Modul verfügbar. Diese erweiterte Sicherheitsfunktion führt eine eingehende Paketprüfung des Datenverkehrs durch, der das Cisco ACE-Gerät durchläuft. Administratoren können eine Überprüfungsrichtlinie für Anwendungen erstellen, die eine besondere Behandlung erfordern. Hierzu können sie Überprüfungsklassen- und Überprüfungsrichtlinienzuordnungen konfigurieren, die über eine globale Richtlinie oder eine Richtlinie für Schnittstellendienste angewendet werden.

  Weitere Informationen zur Prüfung von Anwendungsprotokollen finden Sie im Abschnitt Configuring Application Protocol Inspection im Security Guide vA5(1.0), Cisco ACE Application Control Engine.

  HTTP Deep Packet Inspection

  Zur Durchführung von HTTP Deep Packet Inspection für MS14-017 und MS14-020 können Administratoren reguläre Ausdrücke (Regexes) für den Mustervergleich konfigurieren und Klassenzuordnungen und Richtlinienzuordnungen für die Überprüfung erstellen. Diese Methoden können zum Schutz vor spezifischen Schwachstellen, wie der in diesem Dokument beschriebenen, und anderen Bedrohungen, die mit HTTP-Datenverkehr in Verbindung stehen, beitragen. Die folgende HTTP-Anwendungsprotokollprüfungskonfiguration prüft den Datenverkehr an den TCP-Ports 80, 3128, 8000, 8010, 8080, 8888 und 24326, den Standardports für die Cisco IPS #WEBPORTS-Variable.

  Achtung: Die konfigurierten regulären Ausdrücke können Textzeichenfolgen an jeder beliebigen Stelle im Inhalt eines HTML-Pakets zuordnen. Es sollte darauf geachtet werden, dass legitime Geschäftsanwendungen, die übereinstimmende Textzeichenfolgen verwenden, nicht beeinträchtigt werden.

   ! !-- Configure an HTTP application inspection class that looks !-- for HTTP packets that contain either of the .rtf or !-- .pub file extensions that are typically used to exploit !-- the vulnerabilities associated with MS14-017 and MS14-020 ! 
  class-map type http inspect match-any MS14_class
    2 match content ".*.+\x2e[Rr][Tt][Ff].*"
    3 match content ".*.+\x2e[Pp][Uu][Bb].*" 
  ! !-- The "?" in the above regexes must be escaped with !-- [CTRL-v].   
  ! !-- Configure an HTTP application inspection policy that !-- identifies, resets, and logs connections that contain !-- the regexes that are configured above !
  policy-map type inspect http all-match MS_Apr_2014
    class MS14_class
      reset log  
  ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device !
  access-list WEBPORTS line 8 extended permit tcp any any eq www 
  access-list WEBPORTS line 16 extended permit tcp any any eq 3128 
  access-list WEBPORTS line 24 extended permit tcp any any eq 8000 
  access-list WEBPORTS line 32 extended permit tcp any any eq 8010 
  access-list WEBPORTS line 40 extended permit tcp any any eq 8080 
  access-list WEBPORTS line 48 extended permit tcp any any eq 8888 
  access-list WEBPORTS line 56 extended permit tcp any any eq 24326 
  ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable !
  class-map match-all L4_http_class
    match access-list WEBPORTS
  ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable !
  policy-map multi-match L4_MS_Apr_2014
    class L4_http_class
      inspect http policy MS_Apr_2014  
  ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Apr_2014

  Weitere Informationen zur Verwendung der ACE-CLI zur Messung der Effektivität der Anwendungsprüfung finden Sie im Whitepaper Cisco Security Intelligence Operations Identification of Malicious Traffic Using Cisco ACE.

  Cisco Intrusion Prevention System

  Eindämmung: Cisco IPS-Signaturereignisaktionen

  Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.

  CVE-ID	Signaturfreigabe	Signature-ID	Signaturname	Aktiviert	Schweregrad	Genauigkeit*
  CVE 2014 1761	S780	1709/0	Schwachstelle bei der Ausführung von beliebigem Code in Microsoft Office Word RTF-Dokumenten	Ja	Hoch	85
  CVE 2014 1751	S784	4109/0	Microsoft Internet Explorer: Remotecodeausführung	Ja	Hoch	85
  CVE 2014 1752	S784	4108/0	Microsoft Internet Explorer kostenlos verwenden	Ja	Hoch	85
  CVE 2014 1753	S784	4136/0	Microsoft Internet Explorer kostenlos verwenden	Ja	Hoch	85
  CVE 2014-1755	S784	4137/0	Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung	Ja	Hoch	85

  * Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.

  Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.

  Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebenen Schwachstellen auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.

  Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.

  Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.

  Signaturinformationen von Sourcefire

  Die folgenden Sourcefire Snort-Signaturen sind für das Microsoft Security Update vom April 2014 verfügbar.

  Microsoft Bulletin-ID	Geltende Regeln
  MS14-017	1:24974
  MS14-017	1:24975
  MS14-018	1:30497
  MS14-018	1:30498
  MS14-018	1:30499
  MS14-018	1:30500
  MS14-018	1:30501
  MS14-018	1:30502
  MS14-020	1:30508
  MS14-020	1:30509

  Cisco Web und E-Mail Security

  Eindämmung: Web-Sicherheit

  Cisco Web Security Appliances (WSA) filtern Unternehmensnetzwerke und schützen sie vor webbasierter Malware und Spyware, die die Sicherheit des Unternehmens gefährden und geistiges Eigentum ans Tageslicht bringen kann. Sie dienen als Proxy und stellen benutzer- und gruppenbasierte Richtlinien bereit, die bestimmte URL-Kategorien, Webinhalte, Transparenz und Kontrolle von Webanwendungen (AVC), Websites auf Basis der Webreputation und Malware filtern. Mithilfe der L4-Datenverkehrsüberwachung (L4TM) kann die WSA auch infizierte Clients erkennen und schädliche Aktivitäten daran hindern, sich außerhalb des Unternehmensnetzwerks zu bewegen. Richtlinien können über eine Web-GUI konfiguriert werden. Eine CLI kann ebenfalls verwendet werden. Die WSA bietet Schutz für Standard-Kommunikationsprotokolle wie HTTP, HTTPS, FTP und SOCKS.

  Für den Betrieb mit Netzwerkgeräten wie Routern und Firewalls verwendet die WSA das Web Cache Communication Protocol (WCCP). Mit WCCP werden Content-Anfragen transparent an die WSA weitergeleitet, die auf Basis ihrer Konfiguration agiert. Benutzer müssen in ihren Browsern keinen Web-Proxy konfigurieren. In Cisco IOS wird WCCP mithilfe der Befehle ip wccp und in Cisco ASA mithilfe der Befehle wccp aktiviert.

  Die Cisco WSA kann verwendet werden, um MS14-017, MS14-019 und MS14-020 abzuschwächen, indem der Web-Datenverkehr auf folgenden Grundlagen gefiltert wird:

  • URL-Ziele mit niedriger Reputation
  • .rtf- oder .pub-Dateitypen
  • .rtf oder .pub schädliche Dateien

  Weitere Informationen finden Sie im Dokument ASA: WCCP Step-by-Step Configuration in der Cisco Support Community und im Cisco AsyncOS Web User Guide (PDF).

  Risikominimierung: E-Mail-Sicherheit

  Cisco Email Security Appliances (ESA) beseitigen E-Mail-Spam und -Viren, setzen Unternehmensrichtlinien durch und sichern den Netzwerkperimeter. Sie fungieren als SMTP-Gateway, auch bekannt als Mail-Exchanger oder MX. Sie können Viren, Spam und Phishing-Angriffe filtern. Sie bieten außerdem E-Mail-Verschlüsselung, Nachrichtenfilterung, Anti-Spam-Services, Antivirus-Services und vieles mehr.

  Mithilfe der Cisco ESA können MS14-017 und MS14-020 durch Filtern von Nachrichten auf Basis des Anlagetyps .rtf oder .pub gemindert werden.

  Filteraktionen ermöglichen das Verwerfen, Zurücksenden, Archivieren, Kopieren oder Ändern von Nachrichten mit blindem CO2-Filter.

  Filter können auch Benachrichtigungen generieren.

  Weitere Informationen finden Sie im Cisco AsyncOS Email Configuration Guide (PDF).

  Cisco Cloud Web Security

  Eindämmung: Cloud Web Security

  Cisco Cloud Web Security (CWS) analysiert sämtliche Webanfragen und -antworten, um anhand der definierten Sicherheitsrichtlinien festzustellen, ob Inhalte bösartig, bedenklich oder akzeptabel sind. Dies bietet effektiven Schutz vor Bedrohungen, einschließlich Zero-Day-Bedrohungen, die andernfalls erfolgreich wären. Cisco CWS kann benutzer- und gruppenbasierte Richtlinien bereitstellen, die bestimmte URL-Kategorien, Webinhalte, Dateien und Dateitypen, Webanwendungen (AVC), Websites nach Webreputation und Malware filtern. Es kann sowohl HTTP- als auch HTTPS-Datenverkehr prüfen.

  Ab Cisco IOS 15.2MT auf ISR-G2-Routern und der Cisco ASA Software Version 9.0 kann Cisco CWS transparent in Cisco IOS und Cisco ASA integriert werden. Darüber hinaus kann CWS ab AnyConnect 3.0 mit dem AnyConnect-Client bereitgestellt werden. CWS kann auch auf Endhosts als Cisco Cloud Connector-Anwendung bereitgestellt werden.

  Cisco CWS kann zur Reduzierung von MS14-017, MS14-019 und MS14-020 verwendet werden, indem der Web-Datenverkehr auf folgenden Grundlagen gefiltert wird:

  • URL-Ziele mit niedriger Reputation
  • .rtf und .pub Dateitypen
  • .rtf oder .pub schädliche Dateien

  Konfigurationsbeispiele finden Sie in den Dokumenten ASA: ScanSafe Step-by-Step Configuration und IOS: ScanSafe Step-by-Step Configuration in der Cisco Support Community. Weitere Informationen zur Cisco IOS- und ASA-Konfiguration finden Sie im Abschnitt Cisco Cloud Web Security und Konfiguration Cisco Cloud Web Security im Cisco ASA-Konfigurationsleitfaden. Weitere Informationen zum CWS-Portal finden Sie im Cisco ScanCenter Administratorhandbuch.

Zusätzliche Informationen

• Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.

Revisionsverlauf

• Version	Beschreibung	Abschnitt	Datum
  1	Erstveröffentlichung		2014-April-08 17:17 GMT

  Weniger anzeigen

Cisco Sicherheitsverfahren

• Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.

Zugehörige Informationen

• • Microsoft Security Bulletin-Zusammenfassung für April 2014
  • Cisco Applied Mitigation Bulletins
  • Cisco Security Intelligence Operations
  • Cisco Leitfaden zum Absichern von Cisco IOS-Geräten
  • Cisco Network Foundation Protection - Whitepaper
  • Cisco Network Foundation Protection - Präsentationen
  • Ein sicherheitsorientierter Ansatz für die IP-Adressierung
  • Cisco Firewall-Produkte - Startseite auf Cisco.com
  • Cisco Catalyst ASA Services Module der Serie 6500
  • Cisco Serie 5500-X
  • Cisco ASA-CX
  • Cisco ACE Application Control Engine Module - Dokumentation
  • Cisco Intrusion Prevention System
  • Cisco IPS-Signatur-Downloads
  • Seite für die Suche nach Cisco IPS-Signaturen
  • Sourcefire Security der nächsten Generation
  • Sourcefire IPS-Snort-Regeln
  • Cisco Security Manager
  • Cisco Web Security Appliance (PDF)
  • Cisco E-Mail Security Appliance (PDF)
  • Cisco Cloud Web Security - Leitfaden
  • Common Vulnerabilities and Exposures (CVE)
  • Cisco Applied Mitigation Bulletins abonnieren

Betroffene Produkte

• Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
  
  

  Primäre Produkte
  Microsoft, Inc.	Internet-Explorer	6,0 (Basis) | 7,0 (Basis) | 8,0 (Basis) | 9,0 (Basis) | 11,0 (Basis)
  	Microsoft Office Publisher	2003 (SP3) | 2007 (SP3)
  	Büro	2007 (SP3) | 2010 (SP1, SP2)
  	Office-Kompatibilitätspaket	SP3 (Basis)
  	Office für Mac	2011 (Basis)
  	Windows 7	für 32-Bit-Systeme (SP1) | für x64-basierte Systeme (SP1)
  	Windows 8	für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis)
  	Windows 8.1	für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis)
  	Windows RT	Ursprüngliche Version (Basis) | 8.1 (Basis)
  	Windows Server 2003	Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2)
  	Windows Server 2008	Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (SP2) | Itanium-basierte Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-Bit (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (SP2) | Webserver (SP2) | Webserver, 64-Bit (SP2)
  	Windows Server 2008 R2	x64-basierte Systems Edition (SP1) | Itanium-basierte Systems Edition (SP1)
  	Windows Server 2012	Ursprüngliche Version (Basis)
  	Windows Server 2012 R2	Ursprüngliche Version (Basis)
  	Windows Vista	Home Basic (SP2) | Home Premium (SP2) | Unternehmen (SP2) | Unternehmen (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2)
  	Wort	2003 (Basis, SP1, SP2, SP3) | 2007 (Basis, SP1, SP2, SP3) | 2010 (32-Bit Edition, 64-Bit Edition, SP1, SP2) | 2013 (Basis, RT, 32-Bit-Editionen, 64-Bit-Editionen)
  	Word-Viewer	Ursprüngliche Version (Basis)
  	Office-Web-Apps	2010 (Basis, SP1, SP2) | 2013 (Basis)

  
  
  

  Zugehörige Produkte
  Microsoft, Inc.	Büro	2003 (Basis, SP1, SP2, SP3) | 2007 (Basis, SP1, SP2) | 2010 (Basis) | 2013 (32-Bit-Editionen, 64-Bit-Editionen) | 2013 RT (Basis)
  	Windows 7	für 32-Bit-Systeme | für x64-basierte Systeme
  	Windows 8.1	für 32-Bit-Systeme | für x64-basierte Systeme
  	Windows RT	8.1
  	Windows Server 2003	Datacenter Edition | Datacenter Edition, 64-Bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-Bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard Edition | Standard Edition, 64-Bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web-Edition
  	Windows Server 2008	Datacenter Edition | Datacenter Edition, 64-Bit | Itanium-basierte Systems Edition | Enterprise Edition | Enterprise Edition, 64-Bit | Essential Business Server Standard | Essential Business Server Premium | Essential Business Server Premium, 64-Bit | Standard Edition | Standard Edition, 64-Bit | Webserver | Webserver, 64-Bit
  	Windows Server 2008 R2	x64-basierte Systems Edition | Itanium-basierte Systems Edition
  	Windows Server 2012 R2	Ursprüngliche Version
  	Windows Vista	Home Basic | Home Premium | Unternehmen | Unternehmen | Ultimativ | Home Basic x64 Edition | Home Premium x64 Edition | Business x64-Edition | Enterprise x64 Edition | Ultimative x64-Edition