La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Approfondimenti sui Microsoft Security Bulletin di aprile 2004 16 aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services –

Presentazioni simili


Presentazione sul tema: "Approfondimenti sui Microsoft Security Bulletin di aprile 2004 16 aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services –"— Transcript della presentazione:

1 Approfondimenti sui Microsoft Security Bulletin di aprile aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services – Italia

2 Agenda Security Bulletin di aprile 2004: Security Bulletin di aprile 2004: MS : Windows - Critico MS : Windows - Critico MS : RPC/DCOM - Critico MS : RPC/DCOM - Critico MS : Outlook Express – Critico MS : Outlook Express – Critico MS : JET Database Engine - Importante MS : JET Database Engine - Importante Risorse utili ed Eventi Risorse utili ed Eventi Domande e risposte Domande e risposte

3 MS04-011: Introduzione Aggiornamento per la protezione di Microsoft Windows (835732) Aggiornamento per la protezione di Microsoft Windows (835732) Effetti delle vulnerabilità più gravi: esecuzione di codice in modalità remota Effetti delle vulnerabilità più gravi: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Netmeeting Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Netmeeting (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Livello di gravità massimo: Critico Livello di gravità massimo: Critico Non critico per Windows 98, Windows 98 SE, Windows ME Non critico per Windows 98, Windows 98 SE, Windows ME (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche

4 MS04-011: Comprendere le Vulnerabilità 14 vulnerabilità di cui 8 con effetto Remote Code Execution, 4 con Privilege Elevation, 2 con Denial of Service: LSASS Vulnerability - CAN LDAP Vulnerability – CAN PCT Vulnerability - CAN Winlogon Vulnerability - CAN Metafile Vulnerability - CAN Help and Support Center Vulnerability - CAN Utility Manager Vulnerability - CAN Windows Management Vulnerability - CAN Local Descriptor Table Vulnerability - CAN H.323 Vulnerability* - CAN Virtual DOS Machine Vulnerability - CAN Negotiate SSP Vulnerability - CAN SSL Vulnerability - CAN ASN.1 Double Free Vulnerability - CAN vulnerabilità di cui 8 con effetto Remote Code Execution, 4 con Privilege Elevation, 2 con Denial of Service: LSASS Vulnerability - CAN LDAP Vulnerability – CAN PCT Vulnerability - CAN Winlogon Vulnerability - CAN Metafile Vulnerability - CAN Help and Support Center Vulnerability - CAN Utility Manager Vulnerability - CAN Windows Management Vulnerability - CAN Local Descriptor Table Vulnerability - CAN H.323 Vulnerability* - CAN Virtual DOS Machine Vulnerability - CAN Negotiate SSP Vulnerability - CAN SSL Vulnerability - CAN ASN.1 Double Free Vulnerability - CAN

5 MS04-011: Comprendere le Vulnerabilità Modalità di attacco: nel caso peggiore Modalità di attacco: nel caso peggiore eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli di SYSTEM privilegi ottenibili: quelli di SYSTEM comunque: comunque: Non tutte le vulnerabilità si possono sfruttare da remoto Non tutte le vulnerabilità si possono sfruttare da remoto Non tutte le vulnerabilità si possono sfruttare senza credenziali valide Non tutte le vulnerabilità si possono sfruttare senza credenziali valide Non tutte le vulnerabilità permettono di ottenere i massimi privilegi sui sistemi sotto attacco Non tutte le vulnerabilità permettono di ottenere i massimi privilegi sui sistemi sotto attacco

6 MS04-011: Fattori attenuanti Fattori attenuanti Fattori attenuanti le vulnerabilità non sono presenti su tutte le piattaforme e la loro criticità varia a seconda della piattaforma: le vulnerabilità non sono presenti su tutte le piattaforme e la loro criticità varia a seconda della piattaforma: in ordine decrescente di impatto: Windows 2000, Windows XP, Windows NT, Windows Server 2003 in ordine decrescente di impatto: Windows 2000, Windows XP, Windows NT, Windows Server 2003 Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità

7 MS04-011: Soluzioni alternative Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate Blocco delle porte LDAP: TCP 389, 636, 3268, 3269 Blocco delle porte LDAP: TCP 389, 636, 3268, 3269 Disabilitare il supporto PCT da registry Disabilitare il supporto PCT da registry Limitare gli utenti con credenziali in grado di modificare le proprietà degli User Account in AD Limitare gli utenti con credenziali in grado di modificare le proprietà degli User Account in AD Leggere mail in formato solo testo Leggere mail in formato solo testo Deregistrare il protocollo HCP da registry Deregistrare il protocollo HCP da registry Disabilitare Utility Manager Disabilitare Utility Manager Cancellare il provider WMI vulnerabile Cancellare il provider WMI vulnerabile Blocco delle porte Netmeeting: TCP 1720 e 1503 Blocco delle porte Netmeeting: TCP 1720 e 1503 Disabilitare la Windows Integrated Authentication o il Negotiate SSP Disabilitare la Windows Integrated Authentication o il Negotiate SSP Blocco delle porte SSL: TCP 443 e 636 Blocco delle porte SSL: TCP 443 e 636

8 MS04-011: Modifiche di funzionalità I file con estensione.folder non sono più associati alle cartelle e visualizzati come tali I file con estensione.folder non sono più associati alle cartelle e visualizzati come tali Laggiornamento disabilita il protocollo PCT Laggiornamento disabilita il protocollo PCT Trigger di tipo event-based: Trigger di tipo event-based: Non è più possibile creare trigger event-based con il tool Eventtriggers.exe senza fornire delle credenziali valide. Non è più possibile creare trigger event-based con il tool Eventtriggers.exe senza fornire delle credenziali valide. Per creare tali tipi di trigger ora è necessario che il servizio di Task Scheduler sia attivo Per creare tali tipi di trigger ora è necessario che il servizio di Task Scheduler sia attivo Non si possono creare più di 1000 trigger di questo tipo Non si possono creare più di 1000 trigger di questo tipo Sono stati rafforzati i permessi su tali trigger Sono stati rafforzati i permessi su tali trigger

9 MS04-011: Note sulla patch Rilevamento Rilevamento MBSA 1.2 (tranne per Windows NT 4.0, la versione stand-alone di Netmeeting e quelle incluse in Windows 2000, Windows XP e Windows Server 2003) MBSA 1.2 (tranne per Windows NT 4.0, la versione stand-alone di Netmeeting e quelle incluse in Windows 2000, Windows XP e Windows Server 2003) Netmeeting (versione stand-alone): la versione aggiornata è la 3.01 ( ) Netmeeting (versione stand-alone): la versione aggiornata è la 3.01 ( ) Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì (Windows NT 4.0 non rilevato) SMS: Sì (Windows NT 4.0 non rilevato) Reboot: Sì Reboot: Sì Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì

10 MS04-012: Introduzione Aggiornamento cumulativo per Microsoft RPC/DCOM (828741) Aggiornamento cumulativo per Microsoft RPC/DCOM (828741) Effetti della vulnerabilità più grave: esecuzione di codice in modalità remota Effetti della vulnerabilità più grave: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Livello di gravità massimo: Critico Livello di gravità massimo: Critico Bassa criticità per Windows NT 4.0 Bassa criticità per Windows NT 4.0 Non critico per Windows 98, Windows 98 SE, Windows ME Non critico per Windows 98, Windows 98 SE, Windows ME (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche

11 MS04-012: Comprendere le Vulnerabilità 4 vulnerabilità di cui 1 con effetto Remote Code Execution 1 con Information Disclosure 2 con Denial of Service 4 vulnerabilità di cui 1 con effetto Remote Code Execution 1 con Information Disclosure 2 con Denial of Service RPC Runtime Library Vulnerability - CAN RPCSS Service Vulnerability - CAN COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN Object Identity Vulnerability - CAN RPC Runtime Library Vulnerability - CAN RPCSS Service Vulnerability - CAN COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN Object Identity Vulnerability - CAN

12 MS04-012: Comprendere le Vulnerabilità Modalità di attacco: nel caso peggiore Modalità di attacco: nel caso peggiore eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli di SYSTEM privilegi ottenibili: quelli di SYSTEM

13 MS04-012: Soluzioni alternative Blocco delle porte NetBIOS/RPC/SMB: Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate Blocco delle porte HTTP (TCP 80 e 443) se presente il componente CIS o RPC over HTTP Blocco delle porte HTTP (TCP 80 e 443) se presente il componente CIS o RPC over HTTP Disabilitare DCOM Disabilitare DCOM Disabilitare il componente CIS o RPC over HTTP se presenti e non utilizzati Disabilitare il componente CIS o RPC over HTTP se presenti e non utilizzati

14 MS04-012: Fattori attenuanti Fattori attenuanti Fattori attenuanti Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità Solo una vulnerabilità permetterebbe la compromissione del sistema Solo una vulnerabilità permetterebbe la compromissione del sistema Windows NT 4.0 non è interessato dalla vulnerabilità più grave. Windows NT 4.0 non è interessato dalla vulnerabilità più grave.

15 MS04-012: Note sulla patch Rilevamento Rilevamento MBSA 1.2: Sì MBSA 1.2: Sì Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì SMS: Sì Reboot: Sì Reboot: Sì Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì

16 MS04-013: Introduzione Aggiornamento cumulativo per la protezione di Outlook Express (837009) Aggiornamento cumulativo per la protezione di Outlook Express (837009) Effetti della vulnerabilità: esecuzione di codice in modalità remota Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Componenti interessati Componenti interessati Outlook Express 5.5 SP2, 6.0, 6.0 SP1 Outlook Express 5.5 SP2, 6.0, 6.0 SP1 Livello di gravità: Critico Livello di gravità: Critico (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche

17 MS04-013: Comprendere le Vulnerabilità Vulnerabilità: MHTML URL Processing Vulnerability - CAN Vulnerabilità: MHTML URL Processing Vulnerability - CAN Consiste in un difetto della gestione di URL MHTML in grado di far eseguire codice non autorizzato nel contesto di sicurezza dellutente loggato Consiste in un difetto della gestione di URL MHTML in grado di far eseguire codice non autorizzato nel contesto di sicurezza dellutente loggato Modalità di attacco: Modalità di attacco: eseguibile da remoto (mail HTML o navigazione su siti non sicuri) eseguibile da remoto (mail HTML o navigazione su siti non sicuri) non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato

18 MS04-013: Fattori attenuanti Fattori attenuanti Fattori attenuanti lattacker deve ospitare un sito Web sotto il suo controllo e convincere lutente a visitarlo per poter sfruttare queste vulnerabilità lattacker deve ospitare un sito Web sotto il suo controllo e convincere lutente a visitarlo per poter sfruttare queste vulnerabilità Per lattack vector via- lapertura di HTML nella Restricted Site security zone riduce il rischio (Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato lOutlook Security Update), ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso Per lattack vector via- lapertura di HTML nella Restricted Site security zone riduce il rischio (Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato lOutlook Security Update), ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso leventuale attacco ha le credenziali dellutente che lo ha subito. leventuale attacco ha le credenziali dellutente che lo ha subito.

19 MS04-013: Soluzioni alternative Rafforzare le impostazioni di sicurezza della Local Machine zone (impatto sulle funzionalità di sistema) Rafforzare le impostazioni di sicurezza della Local Machine zone (impatto sulle funzionalità di sistema) Installazione di Outlook Security Update per le versioni non protette by- default Installazione di Outlook Security Update per le versioni non protette by- default Leggere le mail in formato solo testo per le versioni di Outlook che supportano questa funzionalità Leggere le mail in formato solo testo per le versioni di Outlook che supportano questa funzionalità

20 MS04-013: Note sulla patch Rilevamento Rilevamento MBSA 1.2: NO MBSA 1.2: NO Windows Update: Sì Windows Update: Sì Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì (ma non rileva lassenza della patch) SMS: Sì (ma non rileva lassenza della patch) Reboot: Può essere richiesto Reboot: Può essere richiesto Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì

21 MS04-014: Introduzione Una vulnerabilità nel motore di database Microsoft Jet può consentire l'esecuzione di codice (837001) Una vulnerabilità nel motore di database Microsoft Jet può consentire l'esecuzione di codice (837001) Effetti della vulnerabilità: esecuzione di codice in modalità remota Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Componenti interessati Componenti interessati Microsoft Jet Database Engine 4.0 Microsoft Jet Database Engine 4.0 Livello di gravità massima: Importante Livello di gravità massima: Importante Windows NT 4.0: Moderata Windows NT 4.0: Moderata (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche

22 MS04-014: Comprendere le Vulnerabilità Vulnerabilità: Jet Vulnerability - CAN Vulnerabilità: Jet Vulnerability - CAN Consiste in un buffer overrun del componente Jet Database Engine e permetterebbe ad un attacker in grado di inviare una query malformata al database di far eseguire codice non autorizzato nel contesto di sicurezza dellapplicazione che utilizza JET Consiste in un buffer overrun del componente Jet Database Engine e permetterebbe ad un attacker in grado di inviare una query malformata al database di far eseguire codice non autorizzato nel contesto di sicurezza dellapplicazione che utilizza JET Modalità di attacco: Modalità di attacco: eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellapplicazione che utilizza JET privilegi ottenibili: quelli dellapplicazione che utilizza JET

23 MS04-014: Fattori attenuanti Fattori attenuanti Fattori attenuanti Per i sistemi Windows NT 4.0 la criticità è Moderata poiché Jet non è installato di default, anche se può essere aggiunto da diversi applicativi (Office 2000, Visual Studio, MDAC, Visio, Sharepoint Portal Server...) Per i sistemi Windows NT 4.0 la criticità è Moderata poiché Jet non è installato di default, anche se può essere aggiunto da diversi applicativi (Office 2000, Visual Studio, MDAC, Visio, Sharepoint Portal Server...) Luso di applicazioni che realizzano una forte validazione dei dati in ingresso limita il rischio Luso di applicazioni che realizzano una forte validazione dei dati in ingresso limita il rischio Leventuale attacco ha le credenziali dellapplicazione che interagisce con JET Leventuale attacco ha le credenziali dellapplicazione che interagisce con JET Soluzioni alternative: nessuna Soluzioni alternative: nessuna

24 MS04-014: Note sulla patch Rilevamento Rilevamento MBSA 1.2: Sì MBSA 1.2: Sì Verifica della presenza del file MsJet40.dll: la versione aggiornata è la Verifica della presenza del file MsJet40.dll: la versione aggiornata è la Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì SMS: Sì Reboot: Può essere richiesto. Reboot: Può essere richiesto. Possibilità di disinstallare: Sì (tranne per Windows NT 4.0) Possibilità di disinstallare: Sì (tranne per Windows NT 4.0)

25 Security Bulletin riemessi MS00-82, MS01-041, MS MS00-82, MS01-041, MS Motivo della riemissione Motivo della riemissione Le vulnerabilità in questione interessano anche Exchange Server 5.0 e viene fornita una patch unica valida per correggere le 3 vulnerabilità Le vulnerabilità in questione interessano anche Exchange Server 5.0 e viene fornita una patch unica valida per correggere le 3 vulnerabilità MS MS Motivo della riemissione Motivo della riemissione annunciare la disponibilità di un aggiornamento per Windows NT Server 4.0 e fornire agli utenti di Exchange Server 5.0 suggerimenti su come aumentare la protezione dei sistemi in uso annunciare la disponibilità di un aggiornamento per Windows NT Server 4.0 e fornire agli utenti di Exchange Server 5.0 suggerimenti su come aumentare la protezione dei sistemi in uso

26 Risorse Utili Area Sicurezza sul sito Technet Italia Area Sicurezza sul sito Technet Italia Security Bulletin in italiano Security Bulletin in italiano etin.asp etin.asp etin.asp etin.asp Registratevi alla nuova Security Newsletter Registratevi alla nuova Security Newsletter Business: t.asp Business: t.asp t.asp t.asp Home User: sp Home User: sp sp sp Security Guidance Center Security Guidance Center

27 Eventi TechNet Security Roadshow 2004 (aprile 2004) TechNet Security Roadshow 2004 (aprile 2004) a_Aprile2004.mspx a_Aprile2004.mspx a_Aprile2004.mspx a_Aprile2004.mspx Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 14/05) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 14/05)

28


Scaricare ppt "Approfondimenti sui Microsoft Security Bulletin di aprile 2004 16 aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services –"

Presentazioni simili


Annunci Google