La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Approfondimenti sui Microsoft Security Bulletin di maggio 2004 14 maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services.

Presentazioni simili


Presentazione sul tema: "Approfondimenti sui Microsoft Security Bulletin di maggio 2004 14 maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services."— Transcript della presentazione:

1 Approfondimenti sui Microsoft Security Bulletin di maggio maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services – Italia

2 Agenda Security Bulletin di maggio 2004: Security Bulletin di maggio 2004: MS : Help & Support Center - Importante MS : Help & Support Center - Importante Bollettini riemessi Bollettini riemessi MS e MS MS e MS Informazioni sul worm Sasser Informazioni sul worm Sasser Risorse utili ed Eventi Risorse utili ed Eventi

3 MS04-015: Introduzione Una vulnerabilità in Guida in linea e supporto tecnico potrebbe consentire l'esecuzione di codice in modalità remota (840374) Una vulnerabilità in Guida in linea e supporto tecnico potrebbe consentire l'esecuzione di codice in modalità remota (840374) Effetti della vulnerabilità: esecuzione di codice in modalità remota Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Software interessato Windows XP, Windows Server 2003 Windows XP, Windows Server 2003 Livello di gravità: Importante Livello di gravità: Importante

4 MS04-015: Comprendere le Vulnerabilità E un problema nella gestione degli URL HCP E un problema nella gestione degli URL HCP Modalità di attacco Modalità di attacco uso di URL HCP malformati in una pagina HTML uso di URL HCP malformati in una pagina HTML far visualizzare la pagina HTML nel browser o in una HTML far visualizzare la pagina HTML nel browser o in una HTML indurre al click sullURL HCP indurre al click sullURL HCP Analisi di rischio: Analisi di rischio: eseguibile da remoto (mail HTML, Sito Web) eseguibile da remoto (mail HTML, Sito Web) non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato NOTA: la vulnerabilità non può essere sfruttata per realizzare un worm NOTA: la vulnerabilità non può essere sfruttata per realizzare un worm

5 MS04-015: Fattori attenuanti Fattori attenuanti Fattori attenuanti Nellattacco Web-based è necessario adescare la vittima a navigare sul sito Web pericoloso (tramite click esplicito su un link) Nellattacco Web-based è necessario adescare la vittima a navigare sul sito Web pericoloso (tramite click esplicito su un link) Luso di versioni di Outlook che leggono le e- mail nella zona Restricted Sites può aiutare ad ostacolare i tentativi di attacco Luso di versioni di Outlook che leggono le e- mail nella zona Restricted Sites può aiutare ad ostacolare i tentativi di attacco E necessario che la vittima risponda alla richiesta di effettuare diverse operazioni E necessario che la vittima risponda alla richiesta di effettuare diverse operazioni Si ottengono solo i privilegi dellutente loggato (quindi applicare il principio del Least Privilege dove possibile) Si ottengono solo i privilegi dellutente loggato (quindi applicare il principio del Least Privilege dove possibile)

6 MS04-015: Soluzioni alternative Rimuovere la registrazione del protocollo HCP Rimuovere la registrazione del protocollo HCP Cancellare la chiave di registry HKEY_CLASSES_ROOT\HCP Cancellare la chiave di registry HKEY_CLASSES_ROOT\HCP Impatto: non funzionano più i link di help che utilizzano il protocollo hcp:// Impatto: non funzionano più i link di help che utilizzano il protocollo hcp://

7 MS04-015: Modifiche di funzionalità Rimozione dellaggiornamento automatico dei driver DVD Rimozione dellaggiornamento automatico dei driver DVD In attesa di una funzionalità più sicura si riceve lerrore Impossibile visualizzare questa pagina In attesa di una funzionalità più sicura si riceve lerrore Impossibile visualizzare questa pagina Funzionalità utilizzata principalmente sulle versioni OEM dotate di driver non aggiornati Funzionalità utilizzata principalmente sulle versioni OEM dotate di driver non aggiornati Rimozione dellinvio di informazioni richiesto al termine di Installazione Guidata Nuovo Hardware Rimozione dellinvio di informazioni richiesto al termine di Installazione Guidata Nuovo Hardware Al termine della procedura guidata si riceve lerrore Impossibile visualizzare questa pagina Al termine della procedura guidata si riceve lerrore Impossibile visualizzare questa pagina

8 MS04-015: Note sulla patch Rilevamento: Rilevamento: MBSA 1.2 (non possibile con MBSA 1.1.1) MBSA 1.2 (non possibile con MBSA 1.1.1) Deployment: SUS/SMS Deployment: SUS/SMS Reboot: No (a meno che i servizi siano in uso o non si riescano a stoppare) Reboot: No (a meno che i servizi siano in uso o non si riescano a stoppare) Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì Nota: laggiornamento richiede che il servizio Help & Support Center non sia disabilitato Nota: laggiornamento richiede che il servizio Help & Support Center non sia disabilitato La patch NON sostituisce la correzione per lanaloga vulnerabilità (stesso componente) di MS La patch NON sostituisce la correzione per lanaloga vulnerabilità (stesso componente) di MS04-011

9 Security Bulletin riemessi MS Jet database MS Jet database Motivo della riemissione Motivo della riemissione La patch per Windows XP (solo RTM) in italiano causava la visualizzazione di messaggi di errore Jet in inglese. La patch per Windows XP (solo RTM) in italiano causava la visualizzazione di messaggi di errore Jet in inglese. Windows Update non propone la nuova patch se non si rimuove la precedente versione Windows Update non propone la nuova patch se non si rimuove la precedente versione MS MS Motivo della riemissione Motivo della riemissione annunciare la disponibilità di un nuovo aggiornamento per Windows NT 4.0 Terminal Server annunciare la disponibilità di un nuovo aggiornamento per Windows NT 4.0 Terminal Server

10 Informazioni sul worm Sasser Sfrutta la vulnerabilità di LSASS corretta dallaggiornamento MS Sfrutta la vulnerabilità di LSASS corretta dallaggiornamento MS Windows XP/Windows 2000: Critica Windows XP/Windows 2000: Critica Windows Server 2003: Bassa Windows Server 2003: Bassa Software interessati dal worm: Software interessati dal worm: Windows XP e Windows 2000 Windows XP e Windows 2000 Porta utilizzata per lattacco: TCP 445 Porta utilizzata per lattacco: TCP 445 Sintomi di infezione possibili: Sintomi di infezione possibili: errori/crash di Lsass errori/crash di Lsass riavvio del sistema riavvio del sistema

11 Sasser: Prevenzione Aggiornamento con MS Aggiornamento con MS Blocco della porta TCP 445 Blocco della porta TCP 445 sui firewall perimetrali e di segmentazione sui firewall perimetrali e di segmentazione Per ISA Server sono disponibili script (su per il blocco di traffico Sasser in ingresso e in uscita Per ISA Server sono disponibili script (su per il blocco di traffico Sasser in ingresso e in uscita su sistemi stessi su sistemi stessi Windows XP Internet Connection Firewall abilitato difende by-default Windows XP Internet Connection Firewall abilitato difende by-default filtri IPSEC – TCP/IP filtering filtri IPSEC – TCP/IP filtering

12 Sasser: Recovery Aggiornamento con MS Aggiornamento con MS in assenza di patch la reinfezione è assicurata in assenza di patch la reinfezione è assicurata Utilizzare il cleaner tool per rimuovere le 5 varianti del worm Utilizzare il cleaner tool per rimuovere le 5 varianti del worm Il crash di LSASS e il conseguente riavvio può rendere difficoltoso il rispristino del sistema Il crash di LSASS e il conseguente riavvio può rendere difficoltoso il rispristino del sistema Su Windows XP bloccare il riavvio con il comando shutdown –a Su Windows XP bloccare il riavvio con il comando shutdown –a La presenza di un file dcpromo.log di tipo read-only in %systemroot%\debug impedisce sia lo sfruttamento della vulnerabilità che il riavvio del sistema La presenza di un file dcpromo.log di tipo read-only in %systemroot%\debug impedisce sia lo sfruttamento della vulnerabilità che il riavvio del sistema Killare i processi del worm (diversi a seconda delle varianti) tramite task manager Killare i processi del worm (diversi a seconda delle varianti) tramite task manager

13 Sasser: risorse utili Come proteggersi dal worm Sasser e dalle sue varianti Come proteggersi dal worm Sasser e dalle sue varianti Sono presenti i puntatori a Sono presenti i puntatori a Download del cleaner tool per la rimozione automatica del worm Download del cleaner tool per la rimozione automatica del worm Istruzioni manuali di rimozione per le due piattaforme interessate Istruzioni manuali di rimozione per le due piattaforme interessate Link al bollettino MS Link al bollettino MS Link ai vendor Antivirus Link ai vendor Antivirus il Sasser Cleaner Tool (v.4) il Sasser Cleaner Tool (v.4) rimuove le 5 varianti del worm (A-F) rimuove le 5 varianti del worm (A-F) è disponibile anche in versione online su è disponibile anche in versione online su Offerto su WindowsUpdate se si rileva che il computer è infetto Offerto su WindowsUpdate se si rileva che il computer è infetto

14 Informazioni su MBSA MBSA non più supportato MBSA non più supportato dal 20 aprile 2004, il file mssecure.xml relativo non viene più aggiornato dal 20 aprile 2004, il file mssecure.xml relativo non viene più aggiornato Bollettini di maggio non rilevati Bollettini di maggio non rilevati lanciando MBSA da GUI e da riga di comando (mbsacli) la scansione viene interrotta e viene segnalata la disponibilità della versione MBSA 1.2 lanciando MBSA da GUI e da riga di comando (mbsacli) la scansione viene interrotta e viene segnalata la disponibilità della versione MBSA 1.2 lanciando mbsacli /hf, come anche utilizzando SMS 2.0 SUS FP ed SMS 2003, la scansione è incompleta e non viene segnalato lerrore lanciando mbsacli /hf, come anche utilizzando SMS 2.0 SUS FP ed SMS 2003, la scansione è incompleta e non viene segnalato lerrore Per SMS 2.0 SUS FP ed SMS 2003 recuperare gli aggiornamenti: Per SMS 2.0 SUS FP ed SMS 2003 recuperare gli aggiornamenti:

15 Risorse Utili Sito Sicurezza italiano Sito Sicurezza italiano Registratevi alla Security Newsletter Registratevi alla Security Newsletter t.asp t.asp t.asp t.aspNew! Microsoft Security Notification Service: Comprehensive Version Microsoft Security Notification Service: Comprehensive Version vi permette di ricevere la notifica di tutte le variazioni di versione apportate ai bollettini di sicurezza vi permette di ricevere la notifica di tutte le variazioni di versione apportate ai bollettini di sicurezza Modificate il vostro profilo Passport iscrivendovi alla newsletter con il titolo indicato Modificate il vostro profilo Passport iscrivendovi alla newsletter con il titolo indicato

16 Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11/06) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11/06)

17


Scaricare ppt "Approfondimenti sui Microsoft Security Bulletin di maggio 2004 14 maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services."

Presentazioni simili


Annunci Google