Microsoft Security Bulletin MS14-066 SChannel Sicherheitslücke kann Remotecodeausführung ermöglichen

Am 11. November 2014, dem Patchday von Microsoft, wurde eine kritische Lücke im SChannel (auch Secure Channel) öffentlich.

SChannel ist Microsofts Implementierung der SSL/TLS-Verschlüsselung. Diese Sicherheitslücke kann dazu missbraucht werden, dass Schadsoftware auf Windows-Servern und Dekstop-Rechnern mithilfe speziell präparierter Netzwerkpakete ausgeführt werden kann. Betroffen sind fast alle Betriebssysteme, nachzulesen auch unter Betroffene Software [1]. Aus diesem Grund wurde von Microsoft ein passendes Update verteilt.

Das Update beinhaltet außerdem vier neue Zeichenfolgen für TLS, die aktuell noch zu Fehlern führen können.

Bekannte Probleme nach der Installation des Patches MS14-066
  • Nach Einspielen der Patches wurden massive Performance-Probleme auf Microsoft SQL-Servern bemerkt. Für diese Server sollte man noch ein wenig warten, bevor man das Update einspielt.
  • Falls TLS 1.2 verwendet wird kann es zu Verbindungsabbrüchen kommen. Außerdem wird der Event mit der ID 36887 im Ereigenisprotokoll geloggt, bei dem der Fehlercode 40 erzeugt wird. Bei diesem Problem wird empfohlen, die vier neu installierten Codierschlüssel manuell aus der Registry zu entfernen und einen Neustart von Windows durchzuführen.
  • Obwohl diese Fehler bekannt sind, wird zu keiner Deinstallation geraten, sowie der Patch auf Seiten von Microsoft zurückgezogen. Die Sicherheitslücke ist dafür einfach viel zu groß.

[Update] 19.11.2014 Microsoft hat eine neue Version des Patches MS14-066 herausgebracht, welches die Registryeinträge der fehlerverursachten Chiffren entfernt. Dieses wird auch bei System mit eingespieltem Patch automatisch als Windows Update bereitgestellt. Für eine Installation über das Download Center müssen die Updates mit den Nummern 2992611 und 3018238 ausgewählt werden.

[1] https://technet.microsoft.com/library/security/ms14-066