Cisco Applied Mitigation Bulletin-
Im Rahmen des monatlichen Security Bulletins vom 9. Dezember 2014 kündigte Microsoft sieben Security Bulletins zur Behebung von 23 Sicherheitslücken an. Eine Zusammenfassung dieser Bulletins finden Sie auf der Microsoft-Website unter https://technet.microsoft.com/library/security/ms14-dec. Dieses Dokument enthält Identifizierungs- und Eindämmungstechniken, die Administratoren auf Cisco Netzwerkgeräten bereitstellen können.
Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, erfordern eine Benutzerinteraktion oder können mithilfe von webbasierten Angriffen (wie z. B. Site-übergreifendem Scripting, Phishing und webbasierten E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden. Diese sind in der folgenden Liste aufgeführt:
Die folgende Liste enthält eine Schwachstelle, die das Netzwerk entschärft, einschließlich Web- und E-Mail-Sicherheitsproblemen. Cisco Geräte bieten verschiedene Gegenmaßnahmen für die Schwachstelle, die einen Angriffsvektor auf das Netzwerk hat. Auf diese wird später in diesem Dokument noch näher eingegangen.
Informationen zu betroffenen und nicht betroffenen Produkten finden Sie in den entsprechenden Microsoft-Warnmeldungen und -Warnmeldungen, auf die im Cisco Event Response: Microsoft Security Bulletin Release vom Dezember 2014 verwiesen wird.
Darüber hinaus verwenden mehrere Cisco Produkte Microsoft-Betriebssysteme als Basisbetriebssystem. Cisco Produkte, die durch die in den Microsoft Advisories genannten Sicherheitslücken betroffen sein könnten, werden in der Tabelle "Associated Products" im Abschnitt "Product Sets" genauer beschrieben.
-
MS14-080, Kumulatives Sicherheits-Update von Internet Explorer (3008923): Diesen Schwachstellen wurden Common Vulnerabilities and Exposures (CVE) Identifiers CVE-2014-6327, CVE-2014-6328, CVE-2014-6328 zugewiesen 9, CVE-2014-6330, CVE-2014-6363, CVE-2014-6365, CVE-2014-6366, CVE-2014-6368 2014-6369, CVE-2014-6373, CVE-2014-6374, CVE-2014-6375, CVE-2014-6376 und CVE-201 14-8966 Diese Schwachstellen können ohne Authentifizierung per Remote-Zugriff ausgenutzt werden und erfordern eine Benutzerinteraktion. Eine erfolgreiche Ausnutzung dieser Schwachstellen kann die Ausführung von beliebigem Code ermöglichen. Der Angriffsvektor für die Ausnutzung dieser Schwachstellen sind HTTP- und HTTPS-Pakete, die in der Regel TCP-Port 80 und Port 443 verwenden, aber auch TCP-Ports 3128, 8000, 8010, 8080, 8888 und 24326 verwenden können.
Site-übergreifendes Skripting und Phishing könnten ebenfalls eingesetzt werden, um diese Schwachstellen auszunutzen. Weitere Informationen zu Site-übergreifenden Skripting-Angriffen und den Methoden zur Ausnutzung dieser Schwachstellen finden Sie im Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
-
Informationen zu anfälliger, nicht betroffener und fester Software finden Sie in der Microsoft Security Bulletin Summary for December 2014 unter dem folgenden Link: https://technet.microsoft.com/library/security/ms14-dec
-
Die Schwachstellen mit einem Client-Software-Angriffsvektor können lokal auf dem anfälligen Gerät ausgenutzt werden, erfordern eine Benutzerinteraktion oder können mithilfe von webbasierten Angriffen (wie z. B. Site-übergreifendem Scripting, Phishing und webbasierten E-Mail-Bedrohungen) oder E-Mail-Anhängen ausgenutzt werden. Diese sind in der folgenden Liste aufgeführt:
Diese Schwachstellen werden am erfolgreichsten am Endpunkt durch Software-Updates, Benutzerschulungen, Best Practices für die Desktop-Administration und Endpunkt-Schutzsoftware wie Host Intrusion Prevention Systems (HIPS) oder Antivirus-Produkte behoben.
Die folgende Liste enthält eine Schwachstelle, die das Netzwerk entschärft, einschließlich Web- und E-Mail-Sicherheitsproblemen. Cisco Geräte bieten verschiedene Gegenmaßnahmen für diese Schwachstelle. Dieser Abschnitt des Dokuments bietet einen Überblick über diese Techniken.
Die effektive Nutzung von Cisco Intrusion Prevention System (IPS)-Ereignisaktionen bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
Die effektive Nutzung von Ereignisaktionen des Sourcefire Intrusion Prevention System (IPS) bietet Transparenz und Schutz vor Angriffen, die diese Schwachstellen ausnutzen.
-
Den Unternehmen wird empfohlen, die potenziellen Auswirkungen dieser Schwachstellen anhand ihrer Standardprozesse zur Risikobewertung und -minderung zu ermitteln. Triage bezieht sich auf das Sortieren von Projekten und die Priorisierung von Bemühungen, die am wahrscheinlichsten erfolgreich sein werden. Cisco hat Dokumente bereitgestellt, die Unternehmen bei der Entwicklung einer risikobasierten Triage-Funktion für ihre Informationssicherheitsteams unterstützen. Risikoanalyse für Ankündigungen zu Sicherheitslücken sowie Risikoanalyse und -prototyping unterstützen Unternehmen bei der Entwicklung wiederholbarer Sicherheitsevaluierungs- und Reaktionsprozesse.
-
Vorsicht: Die Effektivität jeglicher Eindämmungstechnik hängt von spezifischen Kundensituationen wie Produktmix, Netzwerktopologie, Datenverkehrsverhalten und organisatorischem Auftrag ab. Prüfen Sie wie bei jeder Konfigurationsänderung die Auswirkungen dieser Konfiguration, bevor Sie die Änderung übernehmen.
Spezifische Informationen zur Risikominderung und Identifizierung sind für diese Geräte verfügbar:
Cisco Intrusion Prevention System
Eindämmung: Cisco IPS-Signaturereignisaktionen
Administratoren können die Cisco IPS-Appliances und -Servicemodule verwenden, um Bedrohungen zu erkennen und Versuche zur Ausnutzung einiger der in diesem Dokument beschriebenen Schwachstellen zu verhindern. Die folgende Tabelle bietet einen Überblick über CVE-IDs und die jeweiligen Cisco IPS-Signaturen, die Ereignisse auslösen, wenn diese Schwachstellen ausgenutzt werden.
CVE-ID Signaturfreigabe Signature-ID Signaturname Aktiviert Schweregrad Genauigkeit* CVE 2014 6327 S840 4832/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2014 6328 S840 4819/0 Microsoft Internet Explorer XSS-Filterumgehung Ja Hoch 80 CVE 2014 6329 S840 4824/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 80 CVE 2014 6330 S840 4826/0 Microsoft Internet Explorer 11 - Speicherbeschädigung Ja Hoch 85 CVE 2014 6365 S840 4833/0 Microsoft Internet Explorer Cross-Site Scripting Schwachstelle Ja Hoch 85 CVE 2014 6366 S840 4821/0 Microsoft Internet Explorer-Sicherheitslücke bei Speicherbeschädigung Ja Hoch 85 CVE 2014 6369 S840 4813/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 85 CVE 2014 6373 S840 4817/0 Microsoft Internet Explorer: Speicherbeschädigung Ja Hoch 80 CVE 2014 6374 S840 4814/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 80 CVE 2014 6376 S840 4815/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 80 CVE 2014 8966 S840 4816/0 Microsoft Internet Explorer: Remotecodeausführung Ja Hoch 80 CVE 2014 6325 S840 4787/0 Umgehung der Sicherheitsfunktionen von Microsoft Exchange Server Ja Hoch 80 CVE 2014 6326 S840 4785/0 Umgehung der Sicherheitsfunktionen von Microsoft Exchange Server Ja Hoch 85 CVE 2014 6355 S840 4825/0 Microsoft Graphics Component Information Disclosure Ja Niedrig 80 CVE 2014 6357 S840 4823/0 Microsoft Office Word Kostenlos verwenden Ja Hoch 80
* Fidelity wird auch als Signature Fidelity Rating (SFR) bezeichnet und ist das relative Maß für die Genauigkeit der Signatur (vordefiniert). Der Wert reicht von 0 bis 100 und wird von Cisco Systems, Inc. festgelegt.
Administratoren können Cisco IPS-Sensoren so konfigurieren, dass sie eine Ereignisaktion ausführen, wenn ein Angriff erkannt wird. Die konfigurierte Ereignisaktion führt eine präventive oder abschreckende Kontrolle durch, um den Schutz vor einem Angriff zu gewährleisten, der versucht, die in der vorherigen Tabelle aufgeführten Schwachstellen auszunutzen.
Cisco IPS-Sensoren sind am effektivsten, wenn sie im Inline-Schutzmodus in Verbindung mit einer Ereignisaktion bereitgestellt werden. Der automatische Schutz vor Bedrohungen für Cisco IPS 7.x- und 6.x-Sensoren, die im Inline-Schutzmodus bereitgestellt werden, bietet Schutz vor Bedrohungen bei einem Angriff, der versucht, die in diesem Dokument beschriebene Schwachstelle auszunutzen. Der Schutz vor Bedrohungen wird durch eine Standardüberschreibung erreicht, die eine Ereignisaktion für ausgelöste Signaturen mit einem riskRatingValue größer als 90 ausführt.
Weitere Informationen zur Berechnung von Risikoeinstufung und Bedrohungseinstufung finden Sie unter Risikoeinstufung und Bedrohungseinstufung: Vereinfachtes IPS-Richtlinienmanagement.
Informationen zur Verwendung von Cisco Security Manager zum Anzeigen der Aktivität von einem Cisco IPS-Sensor finden Sie im Whitepaper Identification of Malicious Traffic Using Cisco Security Manager.
Signaturinformationen von Sourcefire
Die folgenden Sourcefire Snort-Signaturen sind für das Microsoft Security Update vom Dezember 2014 verfügbar.
Microsoft Advisory-ID Microsoft Advisory-Name CVE(s) Geltende Regeln MS14-075 Sicherheitslücken in Microsoft Exchange Server könnten die Privilegstufe erhöhen CVE-2014-6319, CVE-2014-6325, CVE-2014-6326, CVE-2014-6336 1:32681, 1:32682, 1:32705 MS14-080 Kumuliertes Sicherheitsupdate für Internet Explorer CVE-2014-6327 bis CVE-2014-6330, CVE-2014-6363, CVE-2014-6365, CVE-2014-6366, CVE-20 014-6368, CVE-2014-6369, CVE-2014-6373 bis CVE-2014-6376 und CVE-2014-8966 1:32679, 1:32680, 1:32685, 1:32686, 1:32689 bis 1:32694, 1:32703, 1:32704, 1:32709 1:32710, 1:32713 bis 1:32717 und 1:32720 bis 1:32725 MS14-081 Schwachstellen in Microsoft Word und Office Web Apps könnten die Ausführung von Remote-Code ermöglichen CVE-2014-6356 und CVE-2014-6357 1:32707, 1:32708, 1:32711 und 1:32712 MS14-082 Schwachstellen in Microsoft Office könnten die Ausführung von Remote-Code ermöglichen CVE 2014 6364 1:32687 und 1:32688 MS14-083 Schwachstellen in Microsoft Excel könnten die Ausführung von Remote-Code ermöglichen CVE-2014-6360 und CVE-2014-6361 1:32683, 1:32684, 1:32718 und 1:32719 MS14-084 Schwachstelle in der VBScript-Skript-Engine könnte die Ausführung von Remote-Code ermöglichen CVE 2014 6363 1:32709 MS14-085 Schwachstelle in Microsoft Graphics Component kann Offenlegung von Informationen ermöglichen CVE 2014 6355 1:32695 bis 1:32702
Informationen zur Verwendung von Sourcefire Snort und Sourcefire Next Generation IPS finden Sie unter Sourcefire Security der nächsten Generation.
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. Cisco behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren.
-
Weniger anzeigenVersion Beschreibung Abschnitt Datum 2 Die Signaturinformationen von Sourcefire sind für die Microsoft Security Bulletins vom Dezember 2014 verfügbar. 2014-Dezember-09 22:23 GMT 1 Cisco Applied Mitigation Bulletin (erste öffentliche Version) 2014-Dezember-09 19:01 GMT
-
Vollständige Informationen zur Meldung von Sicherheitslücken in Cisco Produkten, zum Erhalt von Unterstützung bei Sicherheitsvorfällen und zur Registrierung für den Erhalt von Sicherheitsinformationen von Cisco finden Sie auf der weltweiten Cisco Website unter https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dies beinhaltet Anweisungen für Presseanfragen bezüglich der Sicherheitshinweise von Cisco. Alle Cisco Sicherheitsankündigungen finden Sie unter http://www.cisco.com/go/psirt.
-
Die Sicherheitslücke betrifft die folgenden Produktkombinationen.
Primäre Produkte Microsoft, Inc. Exchange-Server 2007 (SP3) | 2010 (SP3) | 2013 (CU6, SP1) Internet-Explorer 6,0 (Basis, SP1, SP2) | 7,0 (Basis) | 8,0 (Basis) | 9,0 (Basis) | 10,0 (Basis) | 11,0 (Basis) Microsoft Office Excel-Viewer 2007 (Basis, SP1, SP2) Microsoft VBScript 5,8 (Basis) Büro 2007 (SP3) | 2010 (SP1, SP2) | 2013 (32-Bit-Editionen, 32-Bit-Editionen Service Pack 1, 64-Bit-Editionen, 64-Bit-Editionen Service Pack 1) | 2013 RT (Basis, Service Pack 1) Office-Kompatibilitätspaket Ursprüngliche Version (SP3) | SP3 (Basis) Office für Mac 2011 (Basis) Windows 7 für 32-Bit-Systeme (SP1) | für x64-basierte Systeme (SP1) Windows 8 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows 8.1 für 32-Bit-Systeme (Basis) | für x64-basierte Systeme (Basis) Windows RT Ursprüngliche Version (Basis) | 8.1 (Basis) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-Bit (SP2) | Itanium-basierte Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-Bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-Bit (SP2) | Standard Edition (SP2) | Standard Edition, 64-Bit (SP2) | Webserver (SP2) | Webserver, 64-Bit (SP2) Windows Server 2008 R2 x64-basierte Systems Edition (SP1) | Itanium-basierte Systems Edition (SP1) Windows Server 2012 Ursprüngliche Version (Basis) Windows Server 2012 R2 Ursprüngliche Version (Basis) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Unternehmen (SP2) | Unternehmen (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2) Word-Viewer Ursprüngliche Version (Basis) SharePoint-Grundlage 2010 (SP2) | 2013 (Basis, SP1) Office-Web-Apps 2010 (SP2) | 2013 (Basis, SP1)
Zugehörige Produkte Microsoft, Inc. Windows 7 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8 für 32-Bit-Systeme | für x64-basierte Systeme Windows 8.1 für 32-Bit-Systeme | für x64-basierte Systeme Windows RT Ursprüngliche Version | 8,1 Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-Bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-Bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard Edition | Standard Edition, 64-Bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web-Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-Bit | Itanium-basierte Systems Edition | Enterprise Edition | Enterprise Edition, 64-Bit | Essential Business Server Standard | Essential Business Server Premium | Essential Business Server Premium, 64-Bit | Standard Edition | Standard Edition, 64-Bit | Webserver | Webserver, 64-Bit Windows Server 2008 R2 x64-basierte Systems Edition | Itanium-basierte Systems Edition Windows Server 2012 Ursprüngliche Version Windows Server 2012 R2 Ursprüngliche Version Windows Vista Home Basic | Home Premium | Unternehmen | Unternehmen | Ultimativ | Home Basic x64 Edition | Home Premium x64 Edition | Business x64-Edition | Enterprise x64 Edition | Ultimative x64-Edition
-
Dieses Dokument wird in der vorliegenden Form bereitgestellt und impliziert keine Garantie oder Gewährleistung, einschließlich der Gewährleistung der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Die Nutzung der Informationen im Dokument oder den Materialien, die mit dem Dokument verknüpft sind, erfolgt auf Ihr eigenes Risiko. CISCO BEHÄLT SICH DAS RECHT VOR, WARNUNGEN JEDERZEIT ZU ÄNDERN ODER ZU AKTUALISIEREN.
Eine eigenständige Kopie oder Umschreibung des Texts in diesem Dokument, die die Verteilungs-URL auslässt, ist eine unkontrollierte Kopie und enthält möglicherweise keine wichtigen Informationen oder sachliche Fehler. Die Informationen in diesem Dokument sind für Endbenutzer von Cisco Produkten bestimmt.