La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Approfondimenti sui Microsoft Security Bulletin di ottobre 2004 15 ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security.

Presentazioni simili


Presentazione sul tema: "Approfondimenti sui Microsoft Security Bulletin di ottobre 2004 15 ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security."— Transcript della presentazione:

1 Approfondimenti sui Microsoft Security Bulletin di ottobre ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security Advisor Premier Center for Security Microsoft Services – Italia

2 Agenda Bollettini sulla Sicurezza di ottobre 2004: dal bollettino MS al MS Bollettini sulla Sicurezza di ottobre 2004: dal bollettino MS al MS Introduzione e dettagli sulle vulnerabilità Introduzione e dettagli sulle vulnerabilità Fattori attenuanti e soluzioni alternative Fattori attenuanti e soluzioni alternative Note di deployment Note di deployment MS MS Tool di scanning e deployment Tool di scanning e deployment Riemissione del bollettino Riemissione del bollettino Vulnerabilità su ASP.NET Vulnerabilità su ASP.NET Risorse ed Eventi Risorse ed Eventi

3 October 2004 Security Bulletins MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT ImportantMS04-029Microsoft WindowsRemote Code Execution ImportantMS04-030Microsoft WindowsDenial of Service ImportantMS04-031Microsoft WindowsRemote Code Execution CriticalMS04-032Microsoft WindowsRemote Code Execution CriticalMS04-033Microsoft ExcelCode Execution CriticalMS04-034Microsoft WindowsRemote Code Execution CriticalMS04-035Microsoft Windows, Microsoft Exchange Remote Code Execution

4 October 2004 Security Bulletins (2) MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT CriticalMS04-036Microsoft Windows, Microsoft Exchange Remote Code Execution CriticalMS04-037Microsoft WindowsRemote Code Execution CriticalMS04-038Microsoft WindowsRemote Code Execution

5 MS04-029: Introduzione Vulnerability in RPC Runtime Library Could Allow Information Disclosure and Denial of Service (873350) Vulnerability in RPC Runtime Library Could Allow Information Disclosure and Denial of Service (873350) Effetti della vulnerabilità: intercettazione di informazioni personali e negazione del servizio Effetti della vulnerabilità: intercettazione di informazioni personali e negazione del servizio Livello di gravità massimo: Importante Livello di gravità massimo: Importante Sofware interessato: Sofware interessato: Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition

6 MS04-029: Comprendere la Vulnerabilità RPC Runtime Library Vulnerability - CAN RPC Runtime Library Vulnerability - CAN Vulnerabilità di tipo Buffer overrun Vulnerabilità di tipo Buffer overrun Modalità dattacco Modalità dattacco serie di messaggi RPC opportunamente predisposti serie di messaggi RPC opportunamente predisposti Effetti di un attacco con successo Effetti di un attacco con successo negazione del servizio negazione del servizio intercettazione di informazioni personali intercettazione di informazioni personali Fattori attenuanti Fattori attenuanti Firewall best practices – Firewall best practices – Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Tutto il traffico in ingresso non richiesto su porte TCP oltre la 1024 Tutto il traffico in ingresso non richiesto su porte TCP oltre la 1024 qualsiasi altra porta RPC configurata qualsiasi altra porta RPC configurata

7 MS04-030: Introduzione Vulnerability in WebDAV XML Message Handler Could Lead to a Denial of Service (824151) Vulnerability in WebDAV XML Message Handler Could Lead to a Denial of Service (824151) Effetto: negazione del servizio Effetto: negazione del servizio Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato: Software interessato: Windows 2000, Windows XP, Windows Server 2003 Windows 2000, Windows XP, Windows Server 2003 Componente interessato: Componente interessato: Internet Information Server 5.0,5.1, 6.0 Internet Information Server 5.0,5.1, 6.0

8 MS04-030: Comprendere la vulnerabilità WebDAV Vulnerability - CAN WebDAV Vulnerability - CAN Problema con il limite degli attributi specificati in richieste XML-element Problema con il limite degli attributi specificati in richieste XML-element Modalità dattacco Modalità dattacco serie di messaggi HTTP opportunamente predisposti serie di messaggi HTTP opportunamente predisposti Effetti di un attacco con successo Effetti di un attacco con successo negazione del servizio negazione del servizio

9 MS04-030: Fattori attenuanti e soluzioni alternative Fattori attenuati Fattori attenuati Firewall best practices - bloccare porta 80 Firewall best practices - bloccare porta 80 È necessaria un sessione web per un attacco remoto È necessaria un sessione web per un attacco remoto IIS non è installato per impostazione predefinita su Windows Server 2003 e Windows XP IIS non è installato per impostazione predefinita su Windows Server 2003 e Windows XP Soluzioni alternative Soluzioni alternative disattivare WebDAV sui sistemi IIS 5.0 disattivare WebDAV sui sistemi IIS 5.0

10 MS04-031: Introduzione Vulnerability in NetDDE Could Allow Remote Code Execution (841533) Vulnerability in NetDDE Could Allow Remote Code Execution (841533) Effetto: esecuzione di codice in modalità remota Effetto: esecuzione di codice in modalità remota Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato: Software interessato: Microsoft Windows NT 4.0 Server Service, Microsoft Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP, Windows Server 2003 Microsoft Windows NT 4.0 Server Service, Microsoft Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP, Windows Server 2003 Non è Critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition Non è Critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition

11 MS04-031: Comprendere la vulnerabilità NetDDE Vulnerability - CAN NetDDE Vulnerability - CAN Vulnerabilità di tipo Buffer overrun in NetDDE Vulnerabilità di tipo Buffer overrun in NetDDE Modalità dattacco Modalità dattacco serie di pacchetti NetDDE opportunamente predisposti serie di pacchetti NetDDE opportunamente predisposti Effetti di un attacco con successo Effetti di un attacco con successo Chi effettua lattacco avrà il controllo completo della macchina Chi effettua lattacco avrà il controllo completo della macchina Esecuzione nel contesto SYSTEM Esecuzione nel contesto SYSTEM

12 MS04-031: Fattori attenuanti e soluzioni alternative Fattori attenuanti Fattori attenuanti Firewall best practices – Firewall best practices – Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Tutto il traffico in ingresso non richiesto su porte TCP oltre la 1024 Tutto il traffico in ingresso non richiesto su porte TCP oltre la 1024 qualsiasi altra porta RPC configurata qualsiasi altra porta RPC configurata NetDDE è disattivato per impostazione predefinita in Windows Server 2003 NetDDE è disattivato per impostazione predefinita in Windows Server 2003 Soluzioni alternative Soluzioni alternative Disattivare il servizio NetDDE Disattivare il servizio NetDDE

13 MS04-032: Introduzione Security Update for Microsoft Windows (840987) Security Update for Microsoft Windows (840987) Effetti della vulnerabilità : esecuzione di codice da remoto Effetti della vulnerabilità : esecuzione di codice da remoto Livello di gravità massimo : Critico Livello di gravità massimo : Critico Software interessato : Software interessato : Windows NT 4.0 Server, e Terminal Server Edition, Windows NT 4.0 Server, e Terminal Server Edition, Windows 2000, Windows 2000, Windows XP, Windows XP, Windows Server 2003 Windows Server 2003 Non critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition Non critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition

14 MS04-032: Comprendere le Vulnerabilità Window Management Vulnerability - CAN Window Management Vulnerability - CAN vulnerabilità relativa alle Window Management API che permettono di modificare le proprietà di altri programmi in esecuzione con privilegi più elevati vulnerabilità relativa alle Window Management API che permettono di modificare le proprietà di altri programmi in esecuzione con privilegi più elevati Virtual DOS Machine Vulnerability - CAN Virtual DOS Machine Vulnerability - CAN vulnerabilità relativa al sottosistema Virtual DOS Machine (VDM) che può ottenere accesso alla memoria protetta del kernel. vulnerabilità relativa al sottosistema Virtual DOS Machine (VDM) che può ottenere accesso alla memoria protetta del kernel. Tipo di vulnerabilità: Privilege elevation Tipo di vulnerabilità: Privilege elevation Modalità di attacco: - eseguibile da remoto: No (logon interattivo) - richiede autenticazione: Si - privilegi ottenibili: LocalSystem Modalità di attacco: - eseguibile da remoto: No (logon interattivo) - richiede autenticazione: Si - privilegi ottenibili: LocalSystem

15 MS04-032: Comprendere le Vulnerabilità Windows Kernel Vulnerability - CAN Windows Kernel Vulnerability - CAN vulnerabilità relativa al Windows Kernel che permetterebbe ad un attacker loggato interattivamente di bloccare il corretto funzionamento del sistema vulnerabilità relativa al Windows Kernel che permetterebbe ad un attacker loggato interattivamente di bloccare il corretto funzionamento del sistema Tipo di vulnerabilità: Denial of Service Tipo di vulnerabilità: Denial of Service Modalità di attacco: - eseguibile da remoto: No (logon interattivo) - richiede autenticazione: Sì - privilegi ottenibili: N/A (DoS) Modalità di attacco: - eseguibile da remoto: No (logon interattivo) - richiede autenticazione: Sì - privilegi ottenibili: N/A (DoS)

16 MS04-032: Comprendere le Vulnerabilità Graphics Rendering Engine Vulnerability - CAN Graphics Rendering Engine Vulnerability - CAN vulnerabilità di tipo Remote Code Execution relativa al rendering delle immagini WMF ed EMF che permetterebbe ad un attacker di acquisire il pieno controllo del sistema vulnerabilità di tipo Remote Code Execution relativa al rendering delle immagini WMF ed EMF che permetterebbe ad un attacker di acquisire il pieno controllo del sistema Modalità di attacco: - eseguibile da remoto: Sì (ogni possibile azione che preveda la visualizzazione di immagini WMF/EMF) - richiede autenticazione: No - privilegi ottenibili: LocalSystem Modalità di attacco: - eseguibile da remoto: Sì (ogni possibile azione che preveda la visualizzazione di immagini WMF/EMF) - richiede autenticazione: No - privilegi ottenibili: LocalSystem

17 MS04-032: Fattori attenuanti è necessario disporre di un account valido ed operare un logon interattivo per è necessario disporre di un account valido ed operare un logon interattivo per Window Management Vulnerability Window Management Vulnerability Virtual DOS Machine Vulnerability Virtual DOS Machine Vulnerability Windows Kernel Vulnerability Windows Kernel Vulnerability Graphics Rendering Engine Vulnerability Graphics Rendering Engine Vulnerability nelle diverse modalità di attacco (a parte la preview delle HTML) lo sfruttamento non è automatico, ma richiede la volontarietà dellutente alla visualizzazione di immagini nelle diverse modalità di attacco (a parte la preview delle HTML) lo sfruttamento non è automatico, ma richiede la volontarietà dellutente alla visualizzazione di immagini

18 MS04-032: Soluzioni alternative Solo per Graphics Rendering Engine Vulnerability Solo per Graphics Rendering Engine Vulnerability Leggere le in formato solo testo. Leggere le in formato solo testo. Attenti alle immagini comunque fornite in allegato! Attenti alle immagini comunque fornite in allegato!

19 MS04-033: Introduzione Vulnerability in Microsoft Excel Could Allow Remote Code Execution (886836) Vulnerability in Microsoft Excel Could Allow Remote Code Execution (886836) Effetto: esecuzione di codice Effetto: esecuzione di codice Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato: Software interessato: Excel 2000 Excel 2000 Excel 2002 Excel 2002 Microsoft Excel 2001 per Mac Microsoft Excel 2001 per Mac Microsoft Excel v. X per Mac Microsoft Excel v. X per Mac

20 MS04-033: Comprendere la vulnerabilità Vulnerability in Microsoft Excel - CAN Vulnerability in Microsoft Excel - CAN Vulnerabilità da codice eseguito allapertura di file Excel Vulnerabilità da codice eseguito allapertura di file Excel Modalità dattacco Modalità dattacco File Excel appositamente modificati File Excel appositamente modificati Disponibili via sito web Disponibili via sito web Spediti come allegati in un messaggio di posta elettronica Spediti come allegati in un messaggio di posta elettronica Effetto di un attacco con successo Effetto di un attacco con successo Chi effettua lattacco avrà il controllo completo della macchina Chi effettua lattacco avrà il controllo completo della macchina Fattori attenuanti Fattori attenuanti È richiesta linterazione con lutente È richiesta linterazione con lutente Il codice viene eseguito nel contesto dellutente Il codice viene eseguito nel contesto dellutente

21 MS04-034: Introduzione Vulnerability in Compressed (zipped) Folders Could Allow Remote Code Execution (873376) Vulnerability in Compressed (zipped) Folders Could Allow Remote Code Execution (873376) Effetto: esecuzione di codice in modalità remota Effetto: esecuzione di codice in modalità remota Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato: Software interessato: Windows XP, Windows Server 2003 Windows XP, Windows Server 2003

22 MS04-034: Comprendere la vulnerabilità Compressed (zipped) Folders Vulnerability - CAN Compressed (zipped) Folders Vulnerability - CAN Vulnerabiltà di tipo Buffer overrun Vulnerabiltà di tipo Buffer overrun Modalità dattacco Modalità dattacco File compressi appositamente modificati File compressi appositamente modificati Disponibili via sito web Disponibili via sito web Spediti come allegati in un messaggio di posta elettronica Spediti come allegati in un messaggio di posta elettronica Effetto di un attacco con successo Effetto di un attacco con successo Chi effettua lattacco avrà il controllo completo della macchina Chi effettua lattacco avrà il controllo completo della macchina

23 MS04-034: Fattori attenuanti e soluzioni alternative Fattori attenuanti Fattori attenuanti È richiesta linterazione con lutente È richiesta linterazione con lutente Il codice viene eseguito nel contesto dellutente Il codice viene eseguito nel contesto dellutente Posta elettronica in formato HTML è aperta con restrizioni Posta elettronica in formato HTML è aperta con restrizioni Outlook Express 6, Outlook 2002, e Outlook 2003 per impostazione predefinita Outlook Express 6, Outlook 2002, e Outlook 2003 per impostazione predefinita Outlook 98 e Outlook 2000 con Outlook Security Update (OESU) Outlook 98 e Outlook 2000 con Outlook Security Update (OESU) Outlook Express 5.5 con MS Outlook Express 5.5 con MS Utilizzo di IE aggiornato (6.0 o più recente) Utilizzo di IE aggiornato (6.0 o più recente) Soluzioni alternative Soluzioni alternative Rimuovere la registrazione di Cartelle compresse Rimuovere la registrazione di Cartelle compresse Leggere la posta elettronica in formato solo testo Leggere la posta elettronica in formato solo testo Installare Outlook Security Update Installare Outlook Security Update

24 MS04-035: Introduzione Vulnerability in SMTP Could Allow Remote Code Execution (885881) Vulnerability in SMTP Could Allow Remote Code Execution (885881) Effetti della vulnerabilità : esecuzione di codice da remoto Effetti della vulnerabilità : esecuzione di codice da remoto Livello di gravità massimo : Critico Livello di gravità massimo : Critico Software interessato : Software interessato : Windows XP (solo 64-bit edition) Windows XP (solo 64-bit edition) Windows Server 2003 Windows Server 2003 Exchange Server 2003 Exchange Server 2003

25 MS04-035: Comprendere le Vulnerabilità SMTP Vulnerability - CAN SMTP Vulnerability - CAN una vulnerabilità di tipo Remote Code Execution relativa alla modalità di gestione delle DNS response che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza di LocalSystem una vulnerabilità di tipo Remote Code Execution relativa alla modalità di gestione delle DNS response che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza di LocalSystem Modalità di attacco: Modalità di attacco: eseguibile da remoto: Sì (pacchetti DNS malformati) eseguibile da remoto: Sì (pacchetti DNS malformati) richiede autenticazione: No richiede autenticazione: No privilegi ottenibili: LocalSystem privilegi ottenibili: LocalSystem

26 MS04-035: Fattori attenuanti Il componente SMTP non è installato by- default sui sistemi Windows Server 2003 (Gold e 64-Bit Edition) e Windows XP 64- Bit Edition V Il componente SMTP non è installato by- default sui sistemi Windows Server 2003 (Gold e 64-Bit Edition) e Windows XP 64- Bit Edition V Linstallazione di IIS 6.0 su Windows Server 2003 non installa di default il componente SMTP. Linstallazione di IIS 6.0 su Windows Server 2003 non installa di default il componente SMTP.

27 MS04-035: Soluzioni alternative Windows Server 2003 con SMTP attivo (con o senza Exchange): Windows Server 2003 con SMTP attivo (con o senza Exchange): Bloccare la porta TCP 53 sul firewall (solo TCP!) per forzare luso di UDP Bloccare la porta TCP 53 sul firewall (solo TCP!) per forzare luso di UDP articolo per forzare luso di UDP solo per SMTP articolo per forzare luso di UDP solo per SMTP Exchange Server 2003 Gold su Windows 2000 SP3/SP4: Exchange Server 2003 Gold su Windows 2000 SP3/SP4: In Exch. System Manager: bloccare luso della porta TCP 53 tra Exchange e i DNS esterni per forzare luso di UDP In Exch. System Manager: bloccare luso della porta TCP 53 tra Exchange e i DNS esterni per forzare luso di UDP Possibile impatto se la risposta contiene molti IP (più di 30 circa) Possibile impatto se la risposta contiene molti IP (più di 30 circa)

28 MS04-036: Introduzione Vulnerability in NNTP Could Allow Code Execution (883935) Vulnerability in NNTP Could Allow Code Execution (883935) Effetti della vulnerabilità : esecuzione di codice da remoto Effetti della vulnerabilità : esecuzione di codice da remoto Livello di gravità massimo : Critico Livello di gravità massimo : Critico Software interessato : Software interessato : Windows NT 4.0 Server Windows NT 4.0 Server Windows 2000 Windows 2000 Windows Server 2003 Windows Server 2003 Exchange 2000 Server Exchange 2000 Server Exchange Server 2003 Exchange Server 2003

29 MS04-036: Comprendere le Vulnerabilità NNTP Vulnerability - CAN NNTP Vulnerability - CAN vulnerabilità di tipo Remote Code Execution relativa al componente NNTP che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza di LocalSystem vulnerabilità di tipo Remote Code Execution relativa al componente NNTP che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza di LocalSystem Modalità di attacco: Modalità di attacco: eseguibile da remoto: Sì (pacchetti NNTP malformati) eseguibile da remoto: Sì (pacchetti NNTP malformati) richiede autenticazione: No richiede autenticazione: No privilegi ottenibili: LocalSystem privilegi ottenibili: LocalSystem

30 MS04-036: Fattori attenuanti Il blocco sui firewall delle porte NNTP (119 e 563) permette di difendersi da attacchi esterni. Il blocco sui firewall delle porte NNTP (119 e 563) permette di difendersi da attacchi esterni. Windows NT Server 4.0, Windows 2000 Server, e Windows Server 2003 non hanno installato il componente NNTP by default. Windows NT Server 4.0, Windows 2000 Server, e Windows Server 2003 non hanno installato il componente NNTP by default. Inoltre linstallazione di IIS su tali sistemi non installa il componente NNTP by default. Inoltre linstallazione di IIS su tali sistemi non installa il componente NNTP by default. Anche se Exchange Server 2003 utilizza il componente NNTP del sistema operativo, linstallazione di Exchange Server 2003 opera la disabilitazione di tale componente. Anche se Exchange Server 2003 utilizza il componente NNTP del sistema operativo, linstallazione di Exchange Server 2003 opera la disabilitazione di tale componente. Il sistema risulta vulnerabile solo se lamministratore ha esplicitamente riabilitato il componente NNTP Il sistema risulta vulnerabile solo se lamministratore ha esplicitamente riabilitato il componente NNTP

31 MS04-036: Soluzioni alternative Bloccare sul firewall le porte TCP/UDP 119 e TCP/UDP 563 Bloccare sul firewall le porte TCP/UDP 119 e TCP/UDP 563 Bloccare sui sistemi la ricezione di traffico sulle stesse porte (TCP/IP Filtering, IPSEC) Bloccare sui sistemi la ricezione di traffico sulle stesse porte (TCP/IP Filtering, IPSEC) Disabilitare/rimuovere il componente NNTP Disabilitare/rimuovere il componente NNTP

32 MS04-037: Introduzione Vulnerability in Windows Shell Could Allow Remote Code Execution (841356) Vulnerability in Windows Shell Could Allow Remote Code Execution (841356) Effetti della vulnerabilità : esecuzione di codice da remoto Effetti della vulnerabilità : esecuzione di codice da remoto Livello di gravità massimo : Critico Livello di gravità massimo : Critico Software interessato : Software interessato : Windows NT 4.0 Server, e Terminal Server Edition, Windows NT 4.0 Server, e Terminal Server Edition, Windows 2000, Windows 2000, Windows XP, Windows XP, Windows Server 2003 Windows Server 2003 Non critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition Non critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition

33 MS04-037: Comprendere le Vulnerabilità Shell Vulnerability - CAN Shell Vulnerability - CAN una vulnerabilità di tipo Remote code execution relativa alla modalità con cui il componente Windows Shell lancia le applicazioni, che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato. una vulnerabilità di tipo Remote code execution relativa alla modalità con cui il componente Windows Shell lancia le applicazioni, che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato. Modalità di attacco: Modalità di attacco: eseguibile da remoto: Sì (navigazione su un sito Web, HTML) eseguibile da remoto: Sì (navigazione su un sito Web, HTML) richiede autenticazione: No richiede autenticazione: No privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato

34 MS04-037: Comprendere le Vulnerabilità Program Group Converter Vulnerability - CAN Program Group Converter Vulnerability - CAN una vulnerabilità di tipo Remote Code Execution relativa al componente Program Group Converter che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato. una vulnerabilità di tipo Remote Code Execution relativa al componente Program Group Converter che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato. Modalità di attacco: Modalità di attacco: eseguibile da remoto: Sì (navigazione su un sito Web, HTML, apertura di file.grp) eseguibile da remoto: Sì (navigazione su un sito Web, HTML, apertura di file.grp) richiede autenticazione: No richiede autenticazione: No privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato

35 MS04-037: Fattori attenuanti Nellattacco Web-based è necessario convincere lutente a visitare la pagina del sito pericoloso. Nellattacco Web-based è necessario convincere lutente a visitare la pagina del sito pericoloso. least privilege: leventuale attacco ha le credenziali dellutente loggato. least privilege: leventuale attacco ha le credenziali dellutente loggato. lapertura di HTML nella Restricted Site security zone riduce il rischio, ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso lapertura di HTML nella Restricted Site security zone riduce il rischio, ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato lOutlook Security Update; Outlook 98/2000 se hanno installato lOutlook Security Update; Outlook Express 5.5 SP2 se è stato installato il bollettino MS04-018). Outlook Express 5.5 SP2 se è stato installato il bollettino MS04-018).

36 MS04-037: Soluzioni alternative Per entrambe le vulnerabilità: Per entrambe le vulnerabilità: adoperarsi per abilitare i client allapertura di HTML nella Restricted Sites zone (vedi fattori mitiganti) adoperarsi per abilitare i client allapertura di HTML nella Restricted Sites zone (vedi fattori mitiganti) Leggere le mail in formato solo testo. Leggere le mail in formato solo testo. Per la vulnerabilità Program Group Converter: Per la vulnerabilità Program Group Converter: Non aprire file con estensione.grp di fonte non sicura Non aprire file con estensione.grp di fonte non sicura Rimuovere lassociazione dei file.grp allapplicazione grpconv.exe Rimuovere lassociazione dei file.grp allapplicazione grpconv.exe

37 MS04-037: Modifiche di funzionalità due modifiche di funzionalità per Windows XP e Windows Server 2003, entrambe in linea con impostazioni incluse by default dal Service Pack 2 di Windows XP: due modifiche di funzionalità per Windows XP e Windows Server 2003, entrambe in linea con impostazioni incluse by default dal Service Pack 2 di Windows XP: viene impedito al protocollo shell: di lanciare automaticamente applicazioni associate a particolari estensioni di file viene impedito al protocollo shell: di lanciare automaticamente applicazioni associate a particolari estensioni di file viene impedito alla Shell di utilizzare il protocollo shell: per referenziare i file (il protocollo era nato per referenziare cartelle e system objects) viene impedito alla Shell di utilizzare il protocollo shell: per referenziare i file (il protocollo era nato per referenziare cartelle e system objects)

38 MS04-038: Introduzione Cumulative Security Update for Internet Explorer (834707) Cumulative Security Update for Internet Explorer (834707) Effetti della vulnerabilità : esecuzione di codice da remoto Effetti della vulnerabilità : esecuzione di codice da remoto Livello di gravità massimo : Critico Livello di gravità massimo : Critico Software interessato : Software interessato : Windows NT Server 4.0 (SP6a) Windows NT Server 4.0 (SP6a) Windows NT Server 4.0 Terminal Server (SP6) Windows NT Server 4.0 Terminal Server (SP6) Windows 2000 (SP3, SP4) Windows 2000 (SP3, SP4) Windows XP (Gold, SP1, SP2, 64-Bit SP1, 64-bit v.2003) Windows XP (Gold, SP1, SP2, 64-Bit SP1, 64-bit v.2003) Windows Server 2003 (Gold, 64-Bit) Windows Server 2003 (Gold, 64-Bit) Componenti interessati : Componenti interessati : Internet Explorer 5.01, Internet Explorer 5.5, Internet Explorer 6.0 Internet Explorer 5.01, Internet Explorer 5.5, Internet Explorer 6.0 Critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition Critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition

39 MS04-038: Comprendere le Vulnerabilità Cascading Style Sheets (CSS) Heap Memory Corruption Vulnerability - CAN Cascading Style Sheets (CSS) Heap Memory Corruption Vulnerability - CAN Buffer overrun nella gestione Cascading Style Sheets Buffer overrun nella gestione Cascading Style Sheets Effetti: esecuzione di codice da remoto Effetti: esecuzione di codice da remoto Similar Method Name Redirection Cross Domain Vulnerability - CAN Similar Method Name Redirection Cross Domain Vulnerability - CAN Problema nella validazione dei Navigation Methods con nomi simili da parte del modello di sicurezza cross-domain Problema nella validazione dei Navigation Methods con nomi simili da parte del modello di sicurezza cross-domain Effetti: esecuzione di codice da remoto Effetti: esecuzione di codice da remoto Install Engine Vulnerability - CAN Install Engine Vulnerability - CAN Buffer overrun nella Inseng.dll (Install Engine) Buffer overrun nella Inseng.dll (Install Engine) Effetti: esecuzione di codice da remoto Effetti: esecuzione di codice da remoto

40 MS04-038: Comprendere le Vulnerabilità (2) Drag and Drop Vulnerability - CAN Drag and Drop Vulnerability - CAN La tecnologia Drag and Drop non gestisce correttamente alcuni eventi Dynamic HTML (DHTML) La tecnologia Drag and Drop non gestisce correttamente alcuni eventi Dynamic HTML (DHTML) Effetti: esecuzione di codice da remoto Effetti: esecuzione di codice da remoto Address Bar Spoofing on Double Byte Character Set Systems Vulnerability - CAN Address Bar Spoofing on Double Byte Character Set Systems Vulnerability - CAN Errore di normalizzazione di URL che presentano caratteri speciali sui sistemi dotati di Double Byte Character Set Errore di normalizzazione di URL che presentano caratteri speciali sui sistemi dotati di Double Byte Character Set Effetti: Information Disclosure Effetti: Information Disclosure

41 MS04-038: Comprendere le Vulnerabilità (3) Plug-in Navigation Address Bar Spoofing Vulnerability - CAN Plug-in Navigation Address Bar Spoofing Vulnerability - CAN Vulnerabilità nella gestione dei Plug-in Vulnerabilità nella gestione dei Plug-in Effetti: Information Disclosure Effetti: Information Disclosure Script in Image Tag File Download Vulnerability - CAN Script in Image Tag File Download Vulnerability - CAN Vulnerabilità nella validazione degli script negli Image tags. Vulnerabilità nella validazione degli script negli Image tags. Effetti: esecuzione di codice da remoto Effetti: esecuzione di codice da remoto SSL Caching Vulnerability - CAN SSL Caching Vulnerability - CAN Vulnerabilità nella gestione dei contenuti scaricati da siti protetti in cache locale Vulnerabilità nella gestione dei contenuti scaricati da siti protetti in cache locale Effetti: Information Disclosure Effetti: Information Disclosure

42 MS04-038: Fattori attenuanti Nellattacco Web-based è necessario convincere lutente a visitare la pagina del sito pericoloso. Nellattacco Web-based è necessario convincere lutente a visitare la pagina del sito pericoloso. least privilege: leventuale attacco ha le credenziali dellutente loggato. least privilege: leventuale attacco ha le credenziali dellutente loggato. lapertura di HTML nella Restricted Site security zone riduce il rischio, ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso lapertura di HTML nella Restricted Site security zone riduce il rischio, ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato lOutlook Security Update; Outlook 98/2000 se hanno installato lOutlook Security Update; Outlook Express 5.5 SP2 se è stato installato il bollettino MS04-018). Outlook Express 5.5 SP2 se è stato installato il bollettino MS04-018).

43 MS04-038: Soluzioni alternative Modificare le impostazioni relative alle zone Internet ed Intranet per forzare il prompt prima dellesecuzione di ActiveX e Active Scripting Modificare le impostazioni relative alle zone Internet ed Intranet per forzare il prompt prima dellesecuzione di ActiveX e Active Scripting Adoperarsi per abilitare i client allapertura di HTML nella Restricted Sites zone (vedi fattori mitiganti) Adoperarsi per abilitare i client allapertura di HTML nella Restricted Sites zone (vedi fattori mitiganti) Leggere le mail in formato solo testo Leggere le mail in formato solo testo Rafforzare le impostazioni di sicurezza della Local Machine Zone (833633). Rafforzare le impostazioni di sicurezza della Local Machine Zone (833633). Modificare limpostazione avanzata di IE che permette di non salvare in cache locale il contenuto di siti protetti Modificare limpostazione avanzata di IE che permette di non salvare in cache locale il contenuto di siti protetti

44 MS04-038: Modifiche di funzionalità Imposta il kill bit per lActiveX heartbeat.ocx (usato per il gaming online di MSN) Imposta il kill bit per lActiveX heartbeat.ocx (usato per il gaming online di MSN) Migliora ulteriormente i controlli di sicurezza quando vengono aperti i file HTML Help nella zona Internet utilizzando il metodo showHelp Migliora ulteriormente i controlli di sicurezza quando vengono aperti i file HTML Help nella zona Internet utilizzando il metodo showHelp Corregge il comportamento dellimpostazione di sicurezza Drag and Drop or copy and paste files di Internet Explorer su Windows XP, per renderlo consistente con quanto documentato. Corregge il comportamento dellimpostazione di sicurezza Drag and Drop or copy and paste files di Internet Explorer su Windows XP, per renderlo consistente con quanto documentato.

45 MS04-038: Aggiornamenti disponibili contiene solo le security patch e gli aggiornamenti pubblici (questi emessi dopo il bollettino MS04-004) contiene solo le security patch e gli aggiornamenti pubblici (questi emessi dopo il bollettino MS04-004) Reperibile su Windows Update, Software Update Services, Download Center Reperibile su Windows Update, Software Update Services, Download Center (update rollup) contiene le security patch, gli aggiornamenti pubblici ed anche le hotfixes emesse dopo il bollettino MS (update rollup) contiene le security patch, gli aggiornamenti pubblici ed anche le hotfixes emesse dopo il bollettino MS Reperibile solo sul Download Center Reperibile solo sul Download Center Maggiori informazioni nellarticolo Maggiori informazioni nellarticolo Per ridurre il rischio di problemi di compatibilità orientarsi verso linstallazione della patch Per ridurre il rischio di problemi di compatibilità orientarsi verso linstallazione della patch

46 Rilevamento dei sistemi da aggiornare MBSA: MBSA: utile per individuare i sistemi che richiedono laggiornamento, per TUTTI i bollettini utile per individuare i sistemi che richiedono laggiornamento, per TUTTI i bollettini Note: Note: MS04-038: MBSA non è in grado di rilevare le hotfix e quindi non può determinare i sistemi che hanno bisogno della patch (update rollup) MS04-038: MBSA non è in grado di rilevare le hotfix e quindi non può determinare i sistemi che hanno bisogno della patch (update rollup) MS04-033: detection solo locale MS04-033: detection solo locale MBSA non supporta i sistemi Mac MBSA non supporta i sistemi Mac

47 Rilevamento dei sistemi da aggiornare (2) SUS: SUS: utile per individuare i sistemi che richiedono laggiornamento, per TUTTI i bollettini con le seguenti eccezioni utile per individuare i sistemi che richiedono laggiornamento, per TUTTI i bollettini con le seguenti eccezioni sistemi Exchange 2003 su Windows 2000 che richiedono la MS sistemi Exchange 2003 su Windows 2000 che richiedono la MS Il SUS Client (Automatic Updates Client) è in grado di identificare i sistemi che richiedono la MS ma non sono in grado di rilevare i sistemi che hanno bisogno della patch (update rollup) Il SUS Client (Automatic Updates Client) è in grado di identificare i sistemi che richiedono la MS ma non sono in grado di rilevare i sistemi che hanno bisogno della patch (update rollup)

48 Rilevamento dei sistemi da aggiornare (3) SMS 2.0 / 2003: SMS 2.0 / 2003: utile per individuare i sistemi che richiedono laggiornamento, per TUTTI i bollettini con le seguenti eccezioni utile per individuare i sistemi che richiedono laggiornamento, per TUTTI i bollettini con le seguenti eccezioni lengine MBSA di SMS è in grado di identificare i sistemi che richiedono la MS ma non quelli che hanno bisogno della patch (update rollup) lengine MBSA di SMS è in grado di identificare i sistemi che richiedono la MS ma non quelli che hanno bisogno della patch (update rollup) Per rilevare i sistemi che hanno bisogno dellupdate rollup utilizzare la software inventory Per rilevare i sistemi che hanno bisogno dellupdate rollup utilizzare la software inventory MS04-038: per IE 6.0 SP1, MBSA non è in grado di indicare ad SMS quale dei due aggiornamenti usare MS04-038: per IE 6.0 SP1, MBSA non è in grado di indicare ad SMS quale dei due aggiornamenti usare é disponibile un SMS package che le include entrambe e installa la patch corretta é disponibile un SMS package che le include entrambe e installa la patch corretta

49 Tool di Deployment SUS: SUS: idem come per il rilevamento idem come per il rilevamento SMS: SMS: idem come per il rilevamento idem come per il rilevamento Luso della caratteristica di import permette di operare il deployment anche della patch (update rollup) Luso della caratteristica di import permette di operare il deployment anche della patch (update rollup) MS (Office): usare la tecnologia Windows Installer che aggiorna i client per mezzo dellaggiornamento del server di Installazione Amministrativa MS (Office): usare la tecnologia Windows Installer che aggiorna i client per mezzo dellaggiornamento del server di Installazione Amministrativa

50 Note di deployment Necessità di Restart Necessità di Restart MS – Non richiesto MS – Non richiesto MS – Required MS – Required Per le altre può essere richiesto Per le altre può essere richiesto Disinstallazione Disinstallazione Possibile per tutte tranne la MS Possibile per tutte tranne la MS04-033

51 Ri-emissione di MS Office XP, Visio 2002 e Project 2002 su Windows XP Service Pack 2 Office XP, Visio 2002 e Project 2002 su Windows XP Service Pack 2 Non impatta altri prodotti Non impatta altri prodotti Non impatta questi prodotti su piattaforme diverse da Windows XP Service Pack 2, incluso Windows XP SP1 Non impatta questi prodotti su piattaforme diverse da Windows XP Service Pack 2, incluso Windows XP SP1 Riguarda solo quei sistemi a cui sono stati applicati specifici aggiornamenti per Office XP, Visio 2002 e Project 2002 Riguarda solo quei sistemi a cui sono stati applicati specifici aggiornamenti per Office XP, Visio 2002 e Project 2002 Nuovo aggiornamento per Windows Journal Viewer su Windows 2000 Nuovo aggiornamento per Windows Journal Viewer su Windows 2000

52 MS Enterprise Update Scanning Tool Rilasciato per aiutare i clienti enterprise ad affrontare le particolari complessità di deployment della patch MS Rilasciato per aiutare i clienti enterprise ad affrontare le particolari complessità di deployment della patch MS Supporta due modalità: Supporta due modalità: Scanning Only: effettua la scansione per gli aggiornamenti mancanti che riguardano MS04-028, e scrive i risultati su file di log Scanning Only: effettua la scansione per gli aggiornamenti mancanti che riguardano MS04-028, e scrive i risultati su file di log Scanning e Deployment: effettua la scansione, installa gli aggiornamenti mancanti, e scrive i risultati su file di log Scanning e Deployment: effettua la scansione, installa gli aggiornamenti mancanti, e scrive i risultati su file di log Metodi Implementativi: Metodi Implementativi: Script allavvio del Computer Script allavvio del Computer Script al Logon dellutente Script al Logon dellutente Manualmente usando una cartella locale o una share remota Manualmente usando una cartella locale o una share remota Può essere utilizzato singolarmente o unitamente a SMS – fare riferimento allarticolo Microsoft Knowledge Base Può essere utilizzato singolarmente o unitamente a SMS – fare riferimento allarticolo Microsoft Knowledge Base Per maggiori informazioni: Per maggiori informazioni:

53 GDI+: linee guida per Sviluppatori e ISV Nuove e più dettagliate linee guida per sviluppatori e application software vendor: Nuove e più dettagliate linee guida per sviluppatori e application software vendor: Per individuare se le applicazioni includono codice GDI+ vulnerabile Per individuare se le applicazioni includono codice GDI+ vulnerabile Per aggiornare i tool e le applicazioni di sviluppo Per aggiornare i tool e le applicazioni di sviluppo Per maggiori informazioni: en-us/dnsecure/html/gdiplus10security.asp Per maggiori informazioni: en-us/dnsecure/html/gdiplus10security.asp en-us/dnsecure/html/gdiplus10security.asp en-us/dnsecure/html/gdiplus10security.asp

54 Vulnerabilità ASP.NET 7 Ottobre 2004 Riguarda: Riguarda: Tutte le versioni di ASP.NET su tutti sistemi operativi supportati (2000 Pro e Server, XP Pro, 2003) Tutte le versioni di ASP.NET su tutti sistemi operativi supportati (2000 Pro e Server, XP Pro, 2003) Problema riportato: Problema riportato: Un attacker, inviando degli URL opportunamente strutturati a un Web server che ospita applicazioni ASP.NET, può bypassare lautenticazione basata su Form o le configurazioni di Windows authorization Un attacker, inviando degli URL opportunamente strutturati a un Web server che ospita applicazioni ASP.NET, può bypassare lautenticazione basata su Form o le configurazioni di Windows authorization Lexploit può potenzialmente consentire allattacker di visualizzare contenuto protetto senza fornire le opportune credenziali Lexploit può potenzialmente consentire allattacker di visualizzare contenuto protetto senza fornire le opportune credenziali

55 Vulnerabilità ASP.NET (2) Cosa dovrebbero fare gli sviluppatori e gli amministratori di siti web? Cosa dovrebbero fare gli sviluppatori e gli amministratori di siti web? Microsoft consiglia fortemente, come misura preventiva, di leggere e implementare uno dei suggerimenti descritti al link Microsoft consiglia fortemente, come misura preventiva, di leggere e implementare uno dei suggerimenti descritti al link Se ritenete di essere affetti dal problema, contattate Microsoft Help and Support: support.microsoft.com/default.aspx?pr=securityitpro Se ritenete di essere affetti dal problema, contattate Microsoft Help and Support: support.microsoft.com/default.aspx?pr=securityitpro support.microsoft.com/default.aspx?pr=securityitpro Quali sono i passi successivi? Quali sono i passi successivi? Monitorare le discussioni nel forum di sicurezza Monitorare le discussioni nel forum di sicurezza Applicare gli aggiornamenti non appena sono resi disponibili Applicare gli aggiornamenti non appena sono resi disponibili

56 Risorse utili (1) KB (MS Enterprise Scanning Tool): KB (MS Enterprise Scanning Tool): KB (MS Issues with Windows XP SP2): KB (MS Issues with Windows XP SP2): Security Bulletins Summary Security Bulletins Summary Security Bulletins Search Security Bulletins Search Windows XP Service Pack 2 Windows XP Service Pack 2 November Security Bulletins Webcast 46&Culture=en-US November Security Bulletins Webcast 46&Culture=en-US 46&Culture=en-US 46&Culture=en-US Information on the Reported ASP.NET Vulnerability Information on the Reported ASP.NET Vulnerability Security Newsletter Security Newsletter Security Guidance Center Security Guidance Center

57 Risorse utili (2) Sito Sicurezza italiano Sito Sicurezza italiano The Patch Management, Security Updates, and Downloads Web site The Patch Management, Security Updates, and Downloads Web site Information Guide on the MS Scanning Tool b c5cd68509/MS04-028_Update_Scan_Tool_Guide.exe Information Guide on the MS Scanning Tool b c5cd68509/MS04-028_Update_Scan_Tool_Guide.exe b c5cd68509/MS04-028_Update_Scan_Tool_Guide.exe b c5cd68509/MS04-028_Update_Scan_Tool_Guide.exe Information on WUS: Information on WUS: Microsoft Product Lifecycle: Microsoft Product Lifecycle:

58 Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 12 novembre) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 12 novembre) Webcast già erogati: Webcast già erogati: Webcast sull Information Risk Management il 19 Ottobre Webcast sull Information Risk Management il 19 Ottobre Mike Nash, VP Security Mike Nash, VP Security

59


Scaricare ppt "Approfondimenti sui Microsoft Security Bulletin di ottobre 2004 15 ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security."

Presentazioni simili


Annunci Google