La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services.

Presentazioni simili


Presentazione sul tema: "Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services."— Transcript della presentazione:

1 Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services Italia

2 Agenda Bollettini sulla Sicurezza di febbraio 2005: Bollettini sulla Sicurezza di febbraio 2005: Nuovi: da MS a MS Nuovi: da MS a MS Riemessi: MS su SMTP Riemessi: MS su SMTP Altre informazioni sulla sicurezza: Altre informazioni sulla sicurezza: Enterprise Scanning Tool Enterprise Scanning Tool Guide a supporto del patch deployment Guide a supporto del patch deployment Malicious Software Removal Tools di febbraio Malicious Software Removal Tools di febbraio Annuncio di accordo per lacquisizione di Sybari Software Annuncio di accordo per lacquisizione di Sybari Software Risorse ed Eventi Risorse ed Eventi

3 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT ImportantMS Microsoft.NET Framework Information Disclosure, possible Elevation of Privilege CriticalMS Microsoft Office XP Remote Code Execution ModerateMS Microsoft Windows SharePoint Services, SharePoint Team Services Remote Code Execution ImportantMS Microsoft Windows Information Disclosure ImportantMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows, Microsoft Windows Media Player, Microsoft MSN Messenger Remote Code Execution Bollettini di Sicurezza Febbraio 2005

4 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution Bollettini di Sicurezza Febbraio 2005 (2)

5 MS05-004: Introduzione ASP.NET Path Validation Vulnerability (887219) ASP.NET Path Validation Vulnerability (887219) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft.NET Framework 1.0 Service Packs 2 & 3 Microsoft.NET Framework 1.0 Service Packs 2 & 3 Microsoft.NET Framework 1.1 (All Versions) Microsoft.NET Framework 1.1 (All Versions) Componente interessato: Componente interessato: ASP.NET ASP.NET

6 MS05-004: Comprendere la vulnerabilità Path Validation Vulnerability - CAN Path Validation Vulnerability - CAN Vulnerabilità nel processo di Canonicalizzazione degli URL Vulnerabilità nel processo di Canonicalizzazione degli URL Può consentire di bypassare la sicurezza di un sito web ASP.NET e acquisire accesso non autorizzato Può consentire di bypassare la sicurezza di un sito web ASP.NET e acquisire accesso non autorizzato Modalità di attacco Modalità di attacco Utilizzando e inviando uno specifico URL verso un sistema affetto tramite unutenza anonima Utilizzando e inviando uno specifico URL verso un sistema affetto tramite unutenza anonima Possibilità di attacco via Internet Possibilità di attacco via Internet Impatto della Vulnerabilità: Information Disclosure, possibile Elevation of Privilege Impatto della Vulnerabilità: Information Disclosure, possibile Elevation of Privilege Impatto di un attacco riuscito Impatto di un attacco riuscito Diversi tipi di azioni, a seconda dello specifico contenuto del sito web Diversi tipi di azioni, a seconda dello specifico contenuto del sito web Pubblica Pubblica Exploit reso noto Exploit reso noto

7 MS05-004: Fattori mitiganti La vulnerabilità impatta solo i siti che richiedono accesso autenticato La vulnerabilità impatta solo i siti che richiedono accesso autenticato

8 MS05-004: Soluzioni alternative Applicare il modulo HTTP discusso nellarticolo di Knowledge Base Applicare il modulo HTTP discusso nellarticolo di Knowledge Base Installa il modulo Microsoft.Web.ValidatePathModule.dll Installa il modulo Microsoft.Web.ValidatePathModule.dll Aggiorna i machine.config per richiamare questo modulo Aggiorna i machine.config per richiamare questo modulo Accertarsi che le applicazioni usino i moduli HTTP definiti a livello di Machine.config e non di applicazione (Web.config) Accertarsi che le applicazioni usino i moduli HTTP definiti a livello di Machine.config e non di applicazione (Web.config) Modificare il file global.asax secondo lesempio discusso nellarticolo di Knowledge Base Modificare il file global.asax secondo lesempio discusso nellarticolo di Knowledge Base Il file si trova nella application root directory di ogni applicazione ASP.NET Il file si trova nella application root directory di ogni applicazione ASP.NET Aggiunge un event handler Application_BeginRequest che evita lutilizzo di caratteri non validi o di URL malformati Aggiunge un event handler Application_BeginRequest che evita lutilizzo di caratteri non validi o di URL malformati

9 MS05-005: Introduzione Vulnerability in Microsoft Office XP could allow Remote Code Execution (873352) Vulnerability in Microsoft Office XP could allow Remote Code Execution (873352) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Office XP Software Service Packs 2 & 3 Microsoft Office XP Software Service Packs 2 & 3 Microsoft Project 2002 Microsoft Project 2002 Microsoft Visio 2002 Microsoft Visio 2002 Microsoft Works Suite 2002, 2003 & 2004 Microsoft Works Suite 2002, 2003 & 2004 Software non interessato: Software non interessato: Microsoft Office 2000 & 2003 Microsoft Office 2000 &

10 MS05-005: Comprendere la vulnerabilità Office XP Vulnerability - CAN Office XP Vulnerability - CAN La vulnerabilità è dovuta a un Buffer overrun nel processo di gestione degli URL da parte di Office La vulnerabilità è dovuta a un Buffer overrun nel processo di gestione degli URL da parte di Office Modalità di attacco Modalità di attacco Creando un documento contenente dati OLE malformati Creando un documento contenente dati OLE malformati Inviandolo via mail o pubblicandolo su un sito web Inviandolo via mail o pubblicandolo su un sito web Possibilità di attacco via Internet Possibilità di attacco via Internet Impatto della vulnerabilità: Esecuzione di codice da remotocon i privilegi dellutente loggato Impatto della vulnerabilità: Esecuzione di codice da remotocon i privilegi dellutente loggato Non pubblica Non pubblica Proof of concept reso noto Proof of concept reso noto

11 MS05-005: Fattori mitiganti Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi È richiesta linterazione dellutente È richiesta linterazione dellutente Deve aprire il documento in Internet Explorer o cliccare su un link contenuto in una mail: lattacco non può essere automatizzato Deve aprire il documento in Internet Explorer o cliccare su un link contenuto in una mail: lattacco non può essere automatizzato Microsoft ISA 2004 blocca di default lURL malformato quando funge da proxy delle richieste dei client Microsoft ISA 2004 blocca di default lURL malformato quando funge da proxy delle richieste dei client

12 MS05-005: Soluzioni alternative Abilitare la conferma per lapertura di documenti Office Abilitare la conferma per lapertura di documenti Office Abilitato di default Abilitato di default

13 MS05-006: Introduzione Vulnerability in Windows SharePoint Services and SharePoint Team Services Could Allow Cross-Site Scripting and Spoofing Attacks (887981) Vulnerability in Windows SharePoint Services and SharePoint Team Services Could Allow Cross-Site Scripting and Spoofing Attacks (887981) Livello di gravità massimo: Moderato Livello di gravità massimo: Moderato Software Interessato: Software Interessato: Windows SharePoint Services Windows SharePoint Services SharePoint Team Services from Microsoft SharePoint Team Services from Microsoft

14 MS05-006: Comprendere la vulnerabilità Cross-site Scripting e Spoofing Vulnerability - CAN Cross-site Scripting e Spoofing Vulnerability - CAN La non completa validazione delllinput delle query HTML di redirection provoca una vulnerabilità del tipo cross-site scripting La non completa validazione delllinput delle query HTML di redirection provoca una vulnerabilità del tipo cross-site scripting Modalità di attacco Modalità di attacco Link opportunamente malformato su una pagina HTML Link opportunamente malformato su una pagina HTML Ospitata su un sito Web Ospitata su un sito Web Inviata tramite Inviata tramite Possibilità di attacco via Internet Possibilità di attacco via Internet Impatto della vulnerabilità: Esecuzione di codice da remoto Impatto della vulnerabilità: Esecuzione di codice da remoto Impatti di un attacco riuscito Impatti di un attacco riuscito Esecuzione di codice sul sistema dellutente che visualizza il sito SharePoint nel contesto di sicurezza dellutente Esecuzione di codice sul sistema dellutente che visualizza il sito SharePoint nel contesto di sicurezza dellutente Modifica della cache dei browser e/o dei server proxy intermedi Modifica della cache dei browser e/o dei server proxy intermedi Non pubblica Non pubblica Exploit non ancora noti Exploit non ancora noti

15 MS05-006: Fattori mitiganti Lhacker deve possedere delle credenziali valide per effettuare il logon sul server SharePoint server Lhacker deve possedere delle credenziali valide per effettuare il logon sul server SharePoint server Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Lopzione Do not save encrypted pages to disk evita che nella cache del client sia inserito contenuto spoofed Lopzione Do not save encrypted pages to disk evita che nella cache del client sia inserito contenuto spoofed Le connessioni SSL sono protette dal vettore di attacco dei proxy intermedi Le connessioni SSL sono protette dal vettore di attacco dei proxy intermedi Per lhacker è estremamente complesso predire a quale utente verrà servito il contenuto spoofed dalla cache del proxy intermedio Per lhacker è estremamente complesso predire a quale utente verrà servito il contenuto spoofed dalla cache del proxy intermedio

16 MS05-006: Soluzioni alternative Nessuna Nessuna

17 MS05-007: Introduzione Vulnerability in Windows Could Allow Information Disclosure (888302) Vulnerability in Windows Could Allow Information Disclosure (888302) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Software non interessato Software non interessato Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME)

18 MS05-007: Comprendere le vulnerabilità Named Pipe Vulnerability - CAN Named Pipe Vulnerability - CAN Può consentire di leggere da remoto lo username degli utenti che hanno connessioni aperte verso risorse condivise Può consentire di leggere da remoto lo username degli utenti che hanno connessioni aperte verso risorse condivise Modalità di attacco Modalità di attacco Invio di un pacchetto di rete opportunamente malformato verso un sistema vulnerabile da parte di un utente anonimo Invio di un pacchetto di rete opportunamente malformato verso un sistema vulnerabile da parte di un utente anonimo Possibilità di attacco via Internet Possibilità di attacco via Internet Impatti di un attacco riuscito Impatti di un attacco riuscito Information Disclosure Information Disclosure Non pubblica Non pubblica Exploit non ancora noti Exploit non ancora noti

19 MS05-007: Fattori mitiganti Le best practices relative ai firewall che indicano di minimizzare il numero di porte esposte può mitigare la vulnerabilità Le best practices relative ai firewall che indicano di minimizzare il numero di porte esposte può mitigare la vulnerabilità Disabilitare il servizio Computer Browser Disabilitare il servizio Computer Browser Fermare o disabilitare il Computer Browser e restartare il sistema affetto mitiga la vulnerabilità Fermare o disabilitare il Computer Browser e restartare il sistema affetto mitiga la vulnerabilità

20 MS05-007: Soluzioni alternative Disabilitare il servizio Computer Browser Disabilitare il servizio Computer Browser Usare un personal firewall, come Internet Connection Firewall Usare un personal firewall, come Internet Connection Firewall Bloccare il traffico usando IPSec sui sistemi vulnerabili Bloccare il traffico usando IPSec sui sistemi vulnerabili Per informazioni dettagliate su IPSec e come applicare i relativi filtri fare riferimento a Microsoft Knowledge Base Article e Microsoft Knowledge Base Article Per informazioni dettagliate su IPSec e come applicare i relativi filtri fare riferimento a Microsoft Knowledge Base Article e Microsoft Knowledge Base Article Bloccare le porte TCP 139 e 445 a livello di firewall Bloccare le porte TCP 139 e 445 a livello di firewall Abilitare advanced TCP/IP filtering Abilitare advanced TCP/IP filtering Fare riferimento a Microsoft Knowledge Base Article Fare riferimento a Microsoft Knowledge Base Article

21 MS05-008: Introduzione Vulnerability in Windows Shell Could Allow Remote Code Execution (890047) Vulnerability in Windows Shell Could Allow Remote Code Execution (890047) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software Interessato dalla vulnerabilità: Software Interessato dalla vulnerabilità: Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

22 MS05-008: Comprendere le vulnerabilità Drag-and-Drop Vulnerability - CAN Drag-and-Drop Vulnerability - CAN La tecnologia Drag-and-Drop valida in modo non corretto alcuni eventi DHTML che possono permettere il download di un file dopo aver cliccato su un link La tecnologia Drag-and-Drop valida in modo non corretto alcuni eventi DHTML che possono permettere il download di un file dopo aver cliccato su un link Modalità di attacco Modalità di attacco Creando unopportuna pagina HTML che viene poi Creando unopportuna pagina HTML che viene poi Ospitata su un sito Web Ospitata su un sito Web Inviata tramite Inviata tramite Possibilità di attacco via Internet Possibilità di attacco via Internet Impatto della vulnerabilità: Esecuzione di codice da remoto Impatto della vulnerabilità: Esecuzione di codice da remoto Impatti di un attacco riuscito Impatti di un attacco riuscito Download di codice potenzialmente dannoso sul sistema dellutente Download di codice potenzialmente dannoso sul sistema dellutente Pubblica Pubblica Exploit reso noto Exploit reso noto

23 MS05-008: Fattori mitiganti Lhacker non è in grado di eseguire direttamente del codice Lhacker non è in grado di eseguire direttamente del codice Nello scenario di attacco via web, lutente devessere convinto a visitare il sito dellhacker: lattacco non può essere automatizzato Nello scenario di attacco via web, lutente devessere convinto a visitare il sito dellhacker: lattacco non può essere automatizzato Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Lapertura delle HTML nei Siti con Restrizioni riduce la superficie di attacco Lapertura delle HTML nei Siti con Restrizioni riduce la superficie di attacco Outlook Express 6, Outlook 2002, e Outlook 2003 di default Outlook Express 6, Outlook 2002, e Outlook 2003 di default Outlook 98 e Outlook 2000 se è stato installato Outlook Security Update (OESU) Outlook 98 e Outlook 2000 se è stato installato Outlook Security Update (OESU) Outlook Express 5.5 con MS Outlook Express 5.5 con MS Il rischio causato dalle HTML è significativamente ridotto se: Il rischio causato dalle HTML è significativamente ridotto se: È installato MS o un successivo aggiornamento cumulativo per IE e contemporaneamente È installato MS o un successivo aggiornamento cumulativo per IE e contemporaneamente Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di default Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di default Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook Security Update nella configurazione di default Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook Security Update nella configurazione di default

24 MS05-008: Soluzioni alternative Disabilitare Drag and Drop or copy and paste files in Internet Explorer Disabilitare Drag and Drop or copy and paste files in Internet Explorer Impostare la security delle zone Internet e Local intranet ad High Impostare la security delle zone Internet e Local intranet ad High Leggere le mail in formato solo testo Leggere le mail in formato solo testo Limitare la navigazione sui siti web ai soli siti ritenuti affidabili Limitare la navigazione sui siti web ai soli siti ritenuti affidabili

25 MS05-009: Introduzione Vulnerability in PNG Processing Could Lead to Buffer Overrun (890261) Vulnerability in PNG Processing Could Lead to Buffer Overrun (890261) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato: Software interessato: Microsoft Windows Media Player 9 Series (su piattaforma Windows 2000, Windows XP e Windows Server 2003) Microsoft Windows Media Player 9 Series (su piattaforma Windows 2000, Windows XP e Windows Server 2003) Microsoft MSN Messenger 6.1 & 6.2 Microsoft MSN Messenger 6.1 & 6.2 Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) Software non interessato: Software non interessato: MSN Messenger for Mac MSN Messenger for Mac Windows Media Player 6.4 & 7.1 Windows Media Player 6.4 & 7.1 Windows Media Player for Windows XP (8.0) Windows Media Player for Windows XP (8.0) Windows Media Player 9 Series for Windows XP Service Pack2 Windows Media Player 9 Series for Windows XP Service Pack2 Windows Media Player 10 Windows Media Player 10

26 MS05-009: Introduzione (2) Componenti interessati: Componenti interessati: Microsoft Windows Messenger versione (su piattaforma Windows XP e Windows XP Service Pack 1) Microsoft Windows Messenger versione (su piattaforma Windows XP e Windows XP Service Pack 1) Microsoft Windows Messenger version (su piattaforma Windows XP Service Pack 2) Microsoft Windows Messenger version (su piattaforma Windows XP Service Pack 2) Microsoft Windows Messenger version 5.0 (versione standalone che può essere installata su tutti i sistemi operativi supportati) Microsoft Windows Messenger version 5.0 (versione standalone che può essere installata su tutti i sistemi operativi supportati) Impatto della vulnerabilità: Esecuzione di codice da remoto Impatto della vulnerabilità: Esecuzione di codice da remoto 003.mspx 003.mspx

27 MS05-009: Comprendere le vulnerabilità PNG Processing Vulnerability- CAN PNG Processing Vulnerability- CAN Buffer overrun in come Windows Media Player gestisce il formato di immagini PNG aventi altezza eccessiva Buffer overrun in come Windows Media Player gestisce il formato di immagini PNG aventi altezza eccessiva Modalità di attacco Modalità di attacco Creando un immagine PNG che viene poi Creando un immagine PNG che viene poi Ospitata su un Web site Ospitata su un Web site Ospitata su una share di rete Ospitata su una share di rete Inviata tramite Inviata tramite Impatti di un attacco riuscito Impatti di un attacco riuscito Esecuzione di codice con i privilegi di Local System Esecuzione di codice con i privilegi di Local System Pubblica Pubblica Exploit reso noto per MSN Messenger Exploit reso noto per MSN Messenger

28 MS05-009: Comprendere la vulnerabilità PNG Processing Vulnerability in Windows Messenger and MSN Messenger - CAN PNG Processing Vulnerability in Windows Messenger and MSN Messenger - CAN Buffer overrun in come Windows Messenger e MSN Messenger implementano la libreria pubblica lipng versione Buffer overrun in come Windows Messenger e MSN Messenger implementano la libreria pubblica lipng versione Modalità di attacco Modalità di attacco Lhacker dovrebbe simulare il servizio.NET Messenger, o intercettare e riscrivere la comunicazione tra client e server Lhacker dovrebbe simulare il servizio.NET Messenger, o intercettare e riscrivere la comunicazione tra client e server Inviare un PNG malformato a Windows Messenger o MSN Messenger non sfrutta la vulnerabilità Inviare un PNG malformato a Windows Messenger o MSN Messenger non sfrutta la vulnerabilità Possibilità di attacco via Internet: No Possibilità di attacco via Internet: No Impatti di un attacco riuscito Impatti di un attacco riuscito Esecuzione di codice con i privilegi di Local System Esecuzione di codice con i privilegi di Local System Publica Publica Exploit reso noto Exploit reso noto

29 MS05-009: Fattori mitiganti Per la prima vulnerabilità Per la prima vulnerabilità È richiesta linterazione dellutente, che deve visitare il sito dellhacker, la share di rete o cliccare su un link in una lattacco non può essere automatizzato È richiesta linterazione dellutente, che deve visitare il sito dellhacker, la share di rete o cliccare su un link in una lattacco non può essere automatizzato Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Per la seconda vulnerabilità Per la seconda vulnerabilità Sfruttare la vulnerabilità richiede un grosso sforzo e la conoscenza della infrastruttura di rete dellorganizzazione Sfruttare la vulnerabilità richiede un grosso sforzo e la conoscenza della infrastruttura di rete dellorganizzazione Gli utenti di Windows Messenger dovrebbero essere configurati per ricevere gli Alerts.NET Gli utenti di Windows Messenger dovrebbero essere configurati per ricevere gli Alerts.NET MSN Messenger non consente ad utenti anonimi di inviare messaggi di default. Lhacker dovrebbe in primo luogo indurre lutente ad aggiungerlo alla lista dei contatti MSN Messenger non consente ad utenti anonimi di inviare messaggi di default. Lhacker dovrebbe in primo luogo indurre lutente ad aggiungerlo alla lista dei contatti

30 MS05-009: Soluzioni alternative Disassociare le estensioni dei metafile (.ASX,.WAX,.WVX,.WPL,.WMX,.WMS,.WMZ) Disassociare le estensioni dei metafile (.ASX,.WAX,.WVX,.WPL,.WMX,.WMS,.WMZ) Disabilitare il controllo ActiveX di Windows Media Player Disabilitare il controllo ActiveX di Windows Media Player Rimuovere dal registry tutte le entry MIME type che associano a Windows Media Player il MIME type elencato nellheader Content- Type Rimuovere dal registry tutte le entry MIME type che associano a Windows Media Player il MIME type elencato nellheader Content- Type Disabilitare.NET Alerts in Windows Messenger Disabilitare.NET Alerts in Windows Messenger Disabilitare la visualizzazione delle immagini in MSN Messenger Disabilitare la visualizzazione delle immagini in MSN Messenger Disabilitare gli Emoticons Disabilitare gli Emoticons Non accettare file da contatti sconosciuti o di cui non ci si fida Non accettare file da contatti sconosciuti o di cui non ci si fida Non aggiungere indirizzi non conosciuti allelenco dei contatti Non aggiungere indirizzi non conosciuti allelenco dei contatti Controllare tutti i contatti presenti nel proprio elenco e rimuovere o bloccare quelli non noti, non necessari o di cui non ci si fida Controllare tutti i contatti presenti nel proprio elenco e rimuovere o bloccare quelli non noti, non necessari o di cui non ci si fida

31 Strumenti per il rilevamento MBSA: MBSA: MS – tramite ODT localmente MS – tramite ODT localmente NOTE: MBSA does successfully detect systems running Microsoft Works Suite 2002, 2003 or 2004 that require this update NOTE: MBSA does successfully detect systems running Microsoft Works Suite 2002, 2003 or 2004 that require this update MS – Only SharePoint Team Services through Office Detection Tool (ODT) localmente MS – Only SharePoint Team Services through Office Detection Tool (ODT) localmente MS – Windows Media Player 9 MS – Windows Media Player 9 MS05-007, MS MS05-007, MS KB for information on products that MBSA detects (http://support.microsoft.com/kb/306460) KB for information on products that MBSA detects (http://support.microsoft.com/kb/306460)http://support.microsoft.com/kb/ See us/FX aspx for information on products that the Office Detection Tool supports See us/FX aspx for information on products that the Office Detection Tool supportshttp://office.microsoft.com/en- us/FX aspxhttp://office.microsoft.com/en- us/FX aspx

32 Strumenti per il rilevamento Enterprise Scanning Tool (EST): Enterprise Scanning Tool (EST): MS MS MS – solo Windows Sharepoint Services MS – solo Windows Sharepoint Services MS MS05-009

33 Strumenti per il rilevamento SUS: SUS: MS MS MS – solo Windows Sharepoint Services MS – solo Windows Sharepoint Services MS MS MS MS MS – Windows Media Player 9 MS – Windows Media Player 9

34 Strumenti per il rilevamento SMS 2.0 / 2003: SMS 2.0 / 2003: Tramite SMS 2.0 con SUS Feature Pack e SMS 2003 è possibile identificare i sistemi che richiedono: Tramite SMS 2.0 con SUS Feature Pack e SMS 2003 è possibile identificare i sistemi che richiedono: MS MS MS MS MS – Windows Media Player 9, Windows Messenger MS – Windows Media Player 9, Windows Messenger

35 Strumenti per il rilevamento SMS 2.0 / 2003: SMS 2.0 / 2003: Usando SMS 2.0 con SUS Feature Pack e SMS 2003 insieme a Office Detection Tool (ODT) è possibile identificare i sistemi che richiedono: Usando SMS 2.0 con SUS Feature Pack e SMS 2003 insieme a Office Detection Tool (ODT) è possibile identificare i sistemi che richiedono: MS – tramite ODT localmente MS – tramite ODT localmente Solo i prodotti supportati da Office Detection Tool Solo i prodotti supportati da Office Detection Tool Fare riferimento a Fare riferimento a MS –SharePoint Team Services tramite ODT localmente MS –SharePoint Team Services tramite ODT localmente Usare la software inventory per i sistemi che richiedono: Usare la software inventory per i sistemi che richiedono: MS MS MS – solo Windows Sharepoint Services MS – solo Windows Sharepoint Services MS – solo MSN Messenger MS – solo MSN Messenger Nota: EST può essete usato con SMS per il deployment Nota: EST può essete usato con SMS per il deployment Fare riferimento a KB per dettagli sulla software inventory Fare riferimento a KB per dettagli sulla software inventory

36 Strumenti per il deployment SUS: SUS: Usare il SUS Client (Automatic Updates Client) per deployare tutti gli update eccetto: Usare il SUS Client (Automatic Updates Client) per deployare tutti gli update eccetto: MS (tutti gli aggiornamenti) – consigliare Office Update MS (tutti gli aggiornamenti) – consigliare Office Update MS (SharePoint Team Services) – consigliare Office Update MS (SharePoint Team Services) – consigliare Office Update MS (MSN Messenger) – scaricare laggiornamento da MS (MSN Messenger) – scaricare laggiornamento da SUS consoliderà gli aggiornamenti in modo da richiedere un unico reboot SUS consoliderà gli aggiornamenti in modo da richiedere un unico reboot

37 Strumenti per il deployment SMS: SMS: Usare SMS 2.0/SMS 2003 per installare tutti gli aggiornamenti eccetto: Usare SMS 2.0/SMS 2003 per installare tutti gli aggiornamenti eccetto: MS (MSN Messenger) – scaricare laggiornamento da MS (MSN Messenger) – scaricare laggiornamento da Per maggiori informazioni sulla Software Distribution: Per maggiori informazioni sulla Software Distribution: hupdate.mspx hupdate.mspx hupdate.mspx hupdate.mspx

38 Strumenti per il deployment MS e MS (SharePoint Team Services) MS e MS (SharePoint Team Services) Prerequisiti: Prerequisiti: Microsoft Windows Installer 2.0 Microsoft Windows Installer 2.0 Office XP Service Pack 3 Office XP Service Pack 3 Accesso all install point o al media originale Accesso all install point o al media originale Possono essere applicati allAdministrative Install Point per poi aggiornare i client Possono essere applicati allAdministrative Install Point per poi aggiornare i client Possono essere applicati direttamente ai client Possono essere applicati direttamente ai client Fare riferimento a Strategies for Updating Office XP Installations us/assistance/HA aspx Fare riferimento a Strategies for Updating Office XP Installations us/assistance/HA aspxhttp://office.microsoft.com/en- us/assistance/HA aspxhttp://office.microsoft.com/en- us/assistance/HA aspx

39 Installazione degli aggiornamenti BollettinoRestartUninstall MS05-004SISI MS05-005NoNo MS Può essere necessario No MS Si MS05-008SISi MS SI

40 Installazione degli aggiornamenti Security Update sostituiti Security Update sostituiti Da MS05-004, MS05-006, MS05-007, MS – Nessuno Da MS05-004, MS05-006, MS05-007, MS – Nessuno Da MS : MS per Microsoft Office XP Da MS : MS per Microsoft Office XP Da MS : MS per Windows Media Player 9 Da MS : MS per Windows Media Player 9

41 MS05-010: Introduzione Vulnerability in the License Logging Service Could Allow Code Execution (885834) Vulnerability in the License Logging Service Could Allow Code Execution (885834) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows NT Server 4.0 SP6a Microsoft Windows NT Server 4.0 SP6a Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 Microsoft Windows 2000 Server SP3 & SP4 Microsoft Windows 2000 Server SP3 & SP4 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Nota importante: Nota importante: la disponibilità dellaggiornamento per i sistemi Windows NT 4.0 (non più supportati) rappresenta un rilascio straordinario la disponibilità dellaggiornamento per i sistemi Windows NT 4.0 (non più supportati) rappresenta un rilascio straordinario Valutazioni del rischio a cui sarebbe sottoposto un numero elevato di clienti non ancora aggiornati a versioni successive Valutazioni del rischio a cui sarebbe sottoposto un numero elevato di clienti non ancora aggiornati a versioni successive

42 MS05-010: Analisi di rischio License Logging Service Vulnerability - CAN License Logging Service Vulnerability - CAN Unchecked buffer del servizio License Logging Unchecked buffer del servizio License Logging Effetti della vulnerabilità: Effetti della vulnerabilità: Esecuzione di codice da remoto Esecuzione di codice da remoto Modalità di attacco Modalità di attacco Eseguibile da remoto Eseguibile da remoto Inviando pacchetti di rete malformati Inviando pacchetti di rete malformati Attacco autenticato: Attacco autenticato: NO: Windows NT 4, Windows 2000 Server SP3 ed SBS 2000 installato su Windows 2000 Server SP3 NO: Windows NT 4, Windows 2000 Server SP3 ed SBS 2000 installato su Windows 2000 Server SP3 SI: Windows 2000 Server SP4, Windows Server 2003, SBS 2003, ed SBS 2000 installato su Windows 2000 Server SP4 SI: Windows 2000 Server SP4, Windows Server 2003, SBS 2003, ed SBS 2000 installato su Windows 2000 Server SP4 Privilegi ottenibili: LocalSystem Privilegi ottenibili: LocalSystem

43 MS05-010: Fattori mitiganti Su Windows Server 2003: Su Windows Server 2003: il servizio License Logging è disabilitato by default il servizio License Logging è disabilitato by default leffetto di un attacco sarebbe più probabilmente un DoS leffetto di un attacco sarebbe più probabilmente un DoS solo connessioni autenticate solo connessioni autenticate Su SBS 2000/2003 Su SBS 2000/2003 il servizio License Logging è attivo ma raggiungibile solo dalla rete locale il servizio License Logging è attivo ma raggiungibile solo dalla rete locale Windows 2000 SP4 Windows 2000 SP4 il servizio è raggiungibile solo da connessioni autenticate il servizio è raggiungibile solo da connessioni autenticate Le best practice di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet Le best practice di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet

44 MS05-010: Soluzioni alternative Disabilitare il servizio License Logging Disabilitare il servizio License Logging Non su SBS 2000 o SBS 2003, dove è necessario Non su SBS 2000 o SBS 2003, dove è necessario Disabilitare le connessioni anonime Disabilitare le connessioni anonime rimuovendo il servizio License Logging dalla chiave di registry NullSessionPipes rimuovendo il servizio License Logging dalla chiave di registry NullSessionPipes Su Windows NT 4.0 e Windows 2000 Server SP3 Su Windows NT 4.0 e Windows 2000 Server SP3 Bloccare le porte TCP 139 e 445 sul firewall perimetrale Bloccare le porte TCP 139 e 445 sul firewall perimetrale Utilizzare un personal firewall (es. ICF su Windows Server 2003) Utilizzare un personal firewall (es. ICF su Windows Server 2003) Utilizzare IPSEC o TCP/IP filtering Utilizzare IPSEC o TCP/IP filtering Utilizzare il wizard Configure & Internet Connection su SBS 2000/2003 Utilizzare il wizard Configure & Internet Connection su SBS 2000/2003

45 MS05-011: Introduzione Vulnerability in Server Message Block Could Allow Remote Code Execution (885250) Vulnerability in Server Message Block Could Allow Remote Code Execution (885250) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems

46 MS05-011: Analisi di rischio Server Message Block Vulnerability - CAN Server Message Block Vulnerability - CAN Problema nella validazione di alcuni pacchetti di rete SMB Problema nella validazione di alcuni pacchetti di rete SMB Effetti della vulnerabilità: Effetti della vulnerabilità: Esecuzione di codice da remoto Esecuzione di codice da remoto Modalità di attacco Modalità di attacco Eseguibile da remoto Eseguibile da remoto Inviando pacchetti di rete malformati Inviando pacchetti di rete malformati Pagina HTML artefatta Pagina HTML artefatta ospitata su un sito Web o inviata come ospitata su un sito Web o inviata come Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: LocalSystem Privilegi ottenibili: LocalSystem

47 MS05-011: Fattori mitiganti Gli attacchi tramite pagine HTML non sono automatici: Gli attacchi tramite pagine HTML non sono automatici: E necessario convincere la vittima a visitare il sito dellattacker E necessario convincere la vittima a visitare il sito dellattacker E necessario cliccare su un link nella HTML E necessario cliccare su un link nella HTML Il blocco dei pacchetti broadcast mitiga lo sfruttamento della vulnerabilità Il blocco dei pacchetti broadcast mitiga lo sfruttamento della vulnerabilità Le best practice di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet Le best practice di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet

48 MS05-011: Soluzioni alternative Bloccare le porte TCP 139 e 445 sul firewall perimetrale Bloccare le porte TCP 139 e 445 sul firewall perimetrale Utilizzare un personal firewall (es. ICF su Windows Server 2003) Utilizzare un personal firewall (es. ICF su Windows Server 2003) Utilizzare IPSEC o TCP/IP filtering Utilizzare IPSEC o TCP/IP filtering Nota: Nota: altri protocolli come IPX/SPX potrebbero essere vulnerabili altri protocolli come IPX/SPX potrebbero essere vulnerabili si raccomanda di bloccare adeguatamente anche le porte di tali protocolli si raccomanda di bloccare adeguatamente anche le porte di tali protocolli

49 MS05-012: Introduzione Vulnerability in OLE and COM Could Allow Remote Code Execution (873333) Vulnerability in OLE and COM Could Allow Remote Code Execution (873333) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Software che utilizza il componente Windows OLE Software che utilizza il componente Windows OLE Exchange Server 2003 Gold & SP1 Exchange Server 2003 Gold & SP1 Exchange 2000 Server SP3 Exchange 2000 Server SP3 Exchange Server 5.5 SP4 & Exchange 5.0 SP2 Exchange Server 5.5 SP4 & Exchange 5.0 SP2 Office 2003 Gold & SP1 Office 2003 Gold & SP1 Office XP SP2 & SP3 Office XP SP2 & SP3 Windows 98, 98SE ed ME non sono interessati in modo critico Windows 98, 98SE ed ME non sono interessati in modo critico

50 MS05-012: Analisi di rischio COM Structured Storage Vulnerability - CAN COM Structured Storage Vulnerability - CAN Problema nella gestione dei COM Structured Storage Problema nella gestione dei COM Structured Storage Effetti della vulnerabilità: Effetti della vulnerabilità: Privilege Elevation Privilege Elevation Modalità di attacco Modalità di attacco Eseguibile da remoto: No Eseguibile da remoto: No necessario il logon locale per lanciare un programma artefatto necessario il logon locale per lanciare un programma artefatto Attacco autenticato: Sì Attacco autenticato: Sì Privilegi ottenibili: Non applicabile Privilegi ottenibili: Non applicabile

51 MS05-012: Analisi di rischio (2) Input Validation Vulnerability - CAN Input Validation Vulnerability - CAN Unchecked buffer nel processo che valida i dati OLE Unchecked buffer nel processo che valida i dati OLE Effetti della vulnerabilità: Effetti della vulnerabilità: Esecuzione di codice da remoto Esecuzione di codice da remoto Modalità di attacco Modalità di attacco Eseguibile da remoto: Sì Eseguibile da remoto: Sì Documenti con dati OLE malformati Documenti con dati OLE malformati messaggi malformati diretti ad Exchange messaggi malformati diretti ad Exchange Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: quelli dellapplicazione sotto attacco Privilegi ottenibili: quelli dellapplicazione sotto attacco

52 MS05-012: Fattori mitiganti COM Structured Storage Vulnerability - CAN : COM Structured Storage Vulnerability - CAN : Non è possibile lattacco da remoto e in modo anonimo Non è possibile lattacco da remoto e in modo anonimo Input Validation Vulnerability - CAN Input Validation Vulnerability - CAN lutilizzo di credenziali non amministrative minimizza limpatto per le applicazioni eseguite nel contesto dellutente lutilizzo di credenziali non amministrative minimizza limpatto per le applicazioni eseguite nel contesto dellutente E necessaria linterazione dellutente per gli attacchi web-based E necessaria linterazione dellutente per gli attacchi web-based Lutente deve aprire volontariamente lallegato pericoloso Lutente deve aprire volontariamente lallegato pericoloso

53 MS05-012: Soluzioni alternative Nessuna per la prima vulnerabilità (COM structured storage) Nessuna per la prima vulnerabilità (COM structured storage) Non aprire o salvare documenti ricevuti da fonti non sicure Non aprire o salvare documenti ricevuti da fonti non sicure Per difendersi da attacchi diretti verso Exchange Per difendersi da attacchi diretti verso Exchange bloccare i contenuti allegati con un MIME Type di tipo application/ms-tnef bloccare i contenuti allegati con un MIME Type di tipo application/ms-tnef forzare lautenticazione per tutte le connessioni forzare lautenticazione per tutte le connessioni non accettare newsfeed pubblici in ingresso sul protocollo NNTP non accettare newsfeed pubblici in ingresso sul protocollo NNTP

54 MS05-013: Introduzione Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Code Execution (891781) Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Code Execution (891781) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition

55 MS05-013: Analisi di rischio DHTML Editing Component ActiveX Control Cross Domain Vulnerability - CAN DHTML Editing Component ActiveX Control Cross Domain Vulnerability - CAN Problemi nella validazione di funzioni presenti nel controllo ActiveX DHTML Editing Problemi nella validazione di funzioni presenti nel controllo ActiveX DHTML Editing Effetti della vulnerabilità: Effetti della vulnerabilità: Esecuzione di codice da remoto (nella zona Local Machine) Esecuzione di codice da remoto (nella zona Local Machine) Modalità di attacco Modalità di attacco Eseguibile da remoto: Sì Eseguibile da remoto: Sì pagina HTML ospitata su un sito web o inviata tramite pagina HTML ospitata su un sito web o inviata tramite Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: quelli dellutente loggato Privilegi ottenibili: quelli dellutente loggato

56 MS05-013: Fattori mitiganti lattacco web-based non può essere automatizzato: lutente deve essere indotto a visitare il sito pericoloso lattacco web-based non può essere automatizzato: lutente deve essere indotto a visitare il sito pericoloso leventuale codice è limitato dal contesto di sicurezza dellutente loggato leventuale codice è limitato dal contesto di sicurezza dellutente loggato la lettura di HTML nella zona Restricted sites aiuta a ridurre gli attacchi la lettura di HTML nella zona Restricted sites aiuta a ridurre gli attacchi Outlook Express 6, Outlook 2002, e Outlook 2003 by default Outlook Express 6, Outlook 2002, e Outlook 2003 by default Outlook 98 e Outlook 2000 con Outlook Security Update (OESU) Outlook 98 e Outlook 2000 con Outlook Security Update (OESU) Outlook Express 5.5 con MS Outlook Express 5.5 con MS Inoltre, i rischi tramite un vettore HTML sono ridotti se: Inoltre, i rischi tramite un vettore HTML sono ridotti se: È installato lultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) È installato lultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default In Windows XP SP2, il rafforzamento delle impostazioni della Local Machine Zone mitiga la vulnerabilità In Windows XP SP2, il rafforzamento delle impostazioni della Local Machine Zone mitiga la vulnerabilità

57 MS05-013: Soluzioni alternative Disabilitare temporaneamente il componente DHTML Editing Disabilitare temporaneamente il componente DHTML Editing utilizzando lAdd-on manager di Windows XP SP2 utilizzando lAdd-on manager di Windows XP SP2 Impostare la configurazione delle zone Internet e Intranet ad High Impostare la configurazione delle zone Internet e Intranet ad High per forzare il prompt nellesecuzione di ActiveX e active scripting per forzare il prompt nellesecuzione di ActiveX e active scripting Leggere le in formato solo testo Leggere le in formato solo testo Abilitare i client di posta alla lettura di e- mail HTML nella Restricted Sites zone Abilitare i client di posta alla lettura di e- mail HTML nella Restricted Sites zone

58 MS05-014: Introduzione Cumulative Security Update for Internet Explorer (867282) Cumulative Security Update for Internet Explorer (867282) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition

59 MS05-014: Analisi di rischio Drag and Drop Vulnerability - CAN Drag and Drop Vulnerability - CAN Problemi nella validazione di alcuni eventi DHTML da parte della tecnologia Drag-and-Drop Problemi nella validazione di alcuni eventi DHTML da parte della tecnologia Drag-and-Drop Effetti dellattacco: Effetti dellattacco: permettere il salvataggio di codice sul sistema della vittima permettere il salvataggio di codice sul sistema della vittima URL Decoding Zone Spoofing Vulnerability - CAN URL Decoding Zone Spoofing Vulnerability - CAN Problemi nel parsing di alcune encoded URL che causano una diversa interpretazione delle zone di appartenenza Problemi nel parsing di alcune encoded URL che causano una diversa interpretazione delle zone di appartenenza Effetti dellattacco: Effetti dellattacco: esecuzione di codice nel contesto di sicurezza dellutente loggato esecuzione di codice nel contesto di sicurezza dellutente loggato

60 MS05-014: Analisi di rischio (2) DHTML Method Heap Memory Corruption Vulnerability - CAN DHTML Method Heap Memory Corruption Vulnerability - CAN Problemi nella validazione del buffer di memoria da parte di alcuni metodi DHTML Problemi nella validazione del buffer di memoria da parte di alcuni metodi DHTML Effetti dellattacco: Effetti dellattacco: esecuzione di codice nel contesto di sicurezza dellutente loggato esecuzione di codice nel contesto di sicurezza dellutente loggato Channel Definition Format (CDF) Cross Domain Vulnerability - CAN Channel Definition Format (CDF) Cross Domain Vulnerability - CAN Problemi nel parsing di alcune URL nei file CDF da parte del modello di sicurezza cross-domain Problemi nel parsing di alcune URL nei file CDF da parte del modello di sicurezza cross-domain Effetti dellattacco: Effetti dellattacco: esecuzione di codice nella Local Machine Zone nel contesto di sicurezza dellutente loggato esecuzione di codice nella Local Machine Zone nel contesto di sicurezza dellutente loggato

61 MS05-014: Fattori mitiganti lattacco web-based non può essere automatizzato: lutente deve essere indotto a visitare il sito pericoloso lattacco web-based non può essere automatizzato: lutente deve essere indotto a visitare il sito pericoloso leventuale codice è limitato dal contesto di sicurezza dellutente loggato leventuale codice è limitato dal contesto di sicurezza dellutente loggato la lettura di HTML nella zona Restricted sites aiuta a ridurre gli attacchi la lettura di HTML nella zona Restricted sites aiuta a ridurre gli attacchi Outlook Express 6, Outlook 2002, e Outlook 2003 by default Outlook Express 6, Outlook 2002, e Outlook 2003 by default Outlook 98 e Outlook 2000 con Outlook Security Update (OESU) Outlook 98 e Outlook 2000 con Outlook Security Update (OESU) Outlook Express 5.5 con MS Outlook Express 5.5 con MS Inoltre, i rischi tramite un vettore HTML sono ridotti se: Inoltre, i rischi tramite un vettore HTML sono ridotti se: È installato lultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) È installato lultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default

62 MS05-014: Fattori mitiganti In Windows XP SP2, In Windows XP SP2, il rafforzamento delle impostazioni della Local Machine Zone mitiga 2 vulnerabilità correlate il rafforzamento delle impostazioni della Local Machine Zone mitiga 2 vulnerabilità correlate il nuovo contesto di sicurezza presente sugli oggetti scriptabili blocca laccesso agli oggetti in cache per la vulnerabilità relativa ai CDF il nuovo contesto di sicurezza presente sugli oggetti scriptabili blocca laccesso agli oggetti in cache per la vulnerabilità relativa ai CDF

63 MS05-014: Soluzioni alternative Disabilitare limpostazione Drag-and-Drop or copy and paste files Disabilitare limpostazione Drag-and-Drop or copy and paste files Impostare la configurazione delle zone Internet e Intranet ad High Impostare la configurazione delle zone Internet e Intranet ad High per forzare il prompt nellesecuzione di ActiveX e active scripting per forzare il prompt nellesecuzione di ActiveX e active scripting Leggere le in formato solo testo Leggere le in formato solo testo Abilitare i client di posta alla lettura di e- mail HTML nella Restricted Sites zone Abilitare i client di posta alla lettura di e- mail HTML nella Restricted Sites zone

64 MS05-015: Introduzione Vulnerability in Hyperlink Object Library Could Allow Remote Code Execution (888113) Vulnerability in Hyperlink Object Library Could Allow Remote Code Execution (888113) Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition

65 MS05-015: Analisi di rischio Hyperlink Object Library Vulnerability - CAN Hyperlink Object Library Vulnerability - CAN Buffer overrun nella libreria Hyperlink Object Buffer overrun nella libreria Hyperlink Object Effetti della vulnerabilità: Effetti della vulnerabilità: Esecuzione di codice da remoto Esecuzione di codice da remoto Modalità di attacco Modalità di attacco Eseguibile da remoto: Sì Eseguibile da remoto: Sì pagina HTML ospitata su un sito web o inviata tramite pagina HTML ospitata su un sito web o inviata tramite Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: quelli dellutente loggato Privilegi ottenibili: quelli dellutente loggato

66 MS05-015: Fattori mitiganti lattacco web-based non può essere automatizzato lattacco web-based non può essere automatizzato lutente deve essere indotto a visitare il sito pericoloso lutente deve essere indotto a visitare il sito pericoloso deve cliccare su un link nella deve cliccare su un link nella leventuale codice è limitato dal contesto di sicurezza dellutente loggato leventuale codice è limitato dal contesto di sicurezza dellutente loggato Microsoft ISA Server 2004 rifiuta lURL in grado di causare lattacco quando deve servire il client in una richiesta proxy Microsoft ISA Server 2004 rifiuta lURL in grado di causare lattacco quando deve servire il client in una richiesta proxy Non vi sono soluzione alternative Non vi sono soluzione alternative

67 Strumenti per il rilevamento MBSA MBSA Valido per tutti: da MS a MS Valido per tutti: da MS a MS SUS SUS Valido per tutti: da MS a MS Valido per tutti: da MS a MS SMS 2.0 / 2003 SMS 2.0 / 2003 Valido per tutti: da MS a MS Valido per tutti: da MS a MS05-015

68 Strumenti per il deployment SUS SUS Valido per tutti: da MS a MS Valido per tutti: da MS a MS SMS SMS É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire tutti gli aggiornamenti: da MS a MS É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire tutti gli aggiornamenti: da MS a MS05-015

69 Installazione degli Aggiornamenti Aggiornamenti di sicurezza sostituiti Aggiornamenti di sicurezza sostituiti MS05-012: MS05-012: MS per Windows 2000, Windows XP MS per Windows 2000, Windows XP MS e MS per Windows 2000, Windows XP, e Windows Server 2003 MS e MS per Windows 2000, Windows XP, e Windows Server 2003 MS05-014: MS05-014: MS per Internet Explorer 6 SP1 MS per Internet Explorer 6 SP1 MS per MS per Internet Explorer 5.01 SP3, SP4 Internet Explorer 5.01 SP3, SP4 Internet Explorer 5.5 SP2 su Windows ME Internet Explorer 5.5 SP2 su Windows ME Internet Explorer 6 SP1 Internet Explorer 6 SP1 Internet Explorer 6 per Windows Server 2003 Internet Explorer 6 per Windows Server 2003 Internet Explorer 6 su Windows XP Service Pack 2 Internet Explorer 6 su Windows XP Service Pack 2 Riavvio necessario per: Riavvio necessario per: MS05-011, MS05-012, MS MS05-011, MS05-012, MS Disinstallazione Disinstallazione Tutti i 6 aggiornamenti possono essere rimossi Tutti i 6 aggiornamenti possono essere rimossi

70 Altre informazioni sugli aggiornamenti MS MS Cambiamento rispetto al bollettino MS04-040: solo un aggiornamento (no update rollup) Cambiamento rispetto al bollettino MS04-040: solo un aggiornamento (no update rollup) laggiornamento per Internet Explorer 6 Service Pack 1 laggiornamento per Internet Explorer 6 Service Pack 1 su Windows 2000 SP3, SP4 o Windows XP SP1 su Windows 2000 SP3, SP4 o Windows XP SP1 verifica la presenza di hotfix emesse dopo verifica la presenza di hotfix emesse dopo il bollettino MS e lupdate rollup o il bollettino MS e lupdate rollup o Per ulteriori informazioni consultare larticolo della Microsoft Knowledge Base Per ulteriori informazioni consultare larticolo della Microsoft Knowledge Base

71 Altre informazioni sugli aggiornamenti (2) MS & MS05-014: MS & MS05-014: Sono necessari entrambi per risolvere la vulnerabilità Drag- and-Drop Vulnerability (CAN ) Sono necessari entrambi per risolvere la vulnerabilità Drag- and-Drop Vulnerability (CAN ) Lordine di installazione non è importante Lordine di installazione non è importante MS05-012: MS05-012: Laggiornamento include delle modifiche conseguenti alla security review operata Laggiornamento include delle modifiche conseguenti alla security review operata MS05-014: MS05-014: Imposta il kill bit per il controllo ActiveX Image Control 1.0 Imposta il kill bit per il controllo ActiveX Image Control 1.0 Modifica al registry per supportare laggiornamento relativo al bollettino MS per la vulnerabilità Drag-and Drop Modifica al registry per supportare laggiornamento relativo al bollettino MS per la vulnerabilità Drag-and Drop Include una chiave di registry per elencare i file type validi per gli eventi drag and drop Include una chiave di registry per elencare i file type validi per gli eventi drag and drop

72 MS04-035: Riemissione Vulnerability in SMTP Could Allow Remote Code Execution (885881) Vulnerability in SMTP Could Allow Remote Code Execution (885881) La riemissione si è resa necessaria per segnalare un nuovo software interessato: La riemissione si è resa necessaria per segnalare un nuovo software interessato: Microsoft Exchange 2000 Server SP3 Microsoft Exchange 2000 Server SP3 e un nuovo componente interessato: e un nuovo componente interessato: Microsoft Exchange 2000 Server Routing Engine Microsoft Exchange 2000 Server Routing Engine

73 Enterprise Scanning Tool Un tool supplementare che verrà fornito laddove MBSA non sia in grado di rilevare la necessità di aggiornamento per tutti i bollettini. Un tool supplementare che verrà fornito laddove MBSA non sia in grado di rilevare la necessità di aggiornamento per tutti i bollettini. Progettato per gli amministratori in ambito enterprise Progettato per gli amministratori in ambito enterprise Il tool può essere lanciato da linea di comando Il tool può essere lanciato da linea di comando Il formato di output è in XML Il formato di output è in XML Disponibile anche una versione per gli amministratori SMS Disponibile anche una versione per gli amministratori SMS Ulteriori informazioni nellarticolo KB (http://support.microsoft.com/kb/ ) Ulteriori informazioni nellarticolo KB (http://support.microsoft.com/kb/ )http://support.microsoft.com/kb/894193

74 Guide a supporto del patch deployment KB – Deployment & Detection Guidance for the February Security Bulletins (http://support.microsoft.com/kb/894192) KB – Deployment & Detection Guidance for the February Security Bulletins (http://support.microsoft.com/kb/894192)http://support.microsoft.com/kb/ Giovedì 6 febbraio 2005, 11AM PT Giovedì 6 febbraio 2005, 11AM PT Webcast supplementale in inglese sulle modaliltà di rilevamento e deployment dei bollettini di sicurezza di febbraio. E possibile inviare le domande in anticipo: Webcast supplementale in inglese sulle modaliltà di rilevamento e deployment dei bollettini di sicurezza di febbraio. E possibile inviare le domande in anticipo:

75 Malicious Software Removal Tool (Aggiornamento) La seconda emissione del tool aggiunge la capacità di rimozione di altri malware: La seconda emissione del tool aggiunge la capacità di rimozione di altri malware: Korgo, Randex, Netsky, Zafi e 12 varianti dei virus già presenti nella versione di gennaio Korgo, Randex, Netsky, Zafi e 12 varianti dei virus già presenti nella versione di gennaio Come sempre è disponibile: Come sempre è disponibile: Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP Download dal Microsoft Download Center (www.microsoft.com/downloads) Download dal Microsoft Download Center (www.microsoft.com/downloads)www.microsoft.com/downloads Come controllo ActiveX su Come controllo ActiveX su

76 Accordo per lacquisizione di Sybari Software, Inc. Lo scorso 8 febbraio 2005 Microsoft ha annunciato la sua intenzione di acquisire la società Sybari Software, Inc. Lo scorso 8 febbraio 2005 Microsoft ha annunciato la sua intenzione di acquisire la società Sybari Software, Inc. I prodotti di sicurezza di Sybari supportano circa realtà aziendali nel proteggere i sistemi di messaging e collaboration dagli attacchi di codice malware I prodotti di sicurezza di Sybari supportano circa realtà aziendali nel proteggere i sistemi di messaging e collaboration dagli attacchi di codice malware Il prodotto di Sybari, Antigen, è dotato di una strategia di difesa multilivello: Il prodotto di Sybari, Antigen, è dotato di una strategia di difesa multilivello: Minimizza la finestra di esposizione alle vulnerabilità Minimizza la finestra di esposizione alle vulnerabilità Fornisce ai clienti la possibilità di monitorare, controllare e gestire le modalità di scansione antivirus su tutta la propria rete interna Fornisce ai clienti la possibilità di monitorare, controllare e gestire le modalità di scansione antivirus su tutta la propria rete interna Implementa la massima protezione garantendo il minimo impatto nelle prestazioni dei sistemi di messaging e collaboration Implementa la massima protezione garantendo il minimo impatto nelle prestazioni dei sistemi di messaging e collaboration Per ulteriori informazioni 08SybariPR.asp Per ulteriori informazioni 08SybariPR.asp 08SybariPR.asp 08SybariPR.asp

77 Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nellarea Technet/Security Preavviso sul web nellarea Technet/Security Invio delle notifiche sui bollettini Invio delle notifiche sui bollettini Microsoft Security Notification Service Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin Feed RSS Security Bulletin Feed Ricerca di un bollettino Ricerca di un bollettino Webcast di approfondimento Webcast di approfondimento

78 Risorse utili Sito Sicurezza Sito Sicurezza Inglese Inglese Italiano Italiano Security Guidance Center Security Guidance Center Inglese Inglese Italiano Italiano Security Newsletter efault.mspx Security Newsletter efault.mspx efault.mspx efault.mspx Windows XP Service Pack 2 Windows XP Service Pack 2

79 Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11 marzo 2005) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11 marzo 2005) Webcast già erogati: Webcast già erogati: ospitato allinterno dellRSA Conference di San Francisco – 14/18 febbraio ospitato allinterno dellRSA Conference di San Francisco – 14/18 febbraio Keynote di Bill Gates Keynote di Bill Gates

80


Scaricare ppt "Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services."

Presentazioni simili


Annunci Google