La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°1/2003.

Presentazioni simili


Presentazione sul tema: "BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°1/2003."— Transcript della presentazione:

1 BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°1/2003

2 PER CONTATTI : TEL. 06/ – FAX 06/ SISTEMI OPERATIVI : - FALLA PER WINDOWS XP ATTRAVERSO FILE AUDIO Pag.1 - FALLA IN MACROMEDIA FLASH PLAYER Pag.3 FOCUS ON….:(MBSA) MICROSOFT BASELINE SECURITY ANALYZER E HFNETCHK (HOT FIX CHECKER) Pag.5 ………………………..W32.LIRVA Pag.12 SICUREZZA DELLA RETE : - LE VENTI VULNERABILITA PIU CRITICHE PER LA SICUREZZA IN INTERNET (QUINTA PARTE). Pag.14

3 Pagina 1 FALLA PER WINDOWS XP ATTRAVERSO FILE AUDIO Una grave falla riscontrata sul sistema operativo Windows XP scoperta dalla Foundstone (www.foundstone.com) e inserita immediatamente nel Microsoft Security Bulletin (www.microsoft.com/technet/security/bulletin/ms asp?frame=true) parla di un unchecked buffer riscontrato nelle funzioni usate dalla windows shell al momento di estrarre gli attributi del file.MP3 (MPEG ver.3) o.WMA (Windows Media Audio). In pratica Windows XP mostra allutente gli attributi di un qualsiasi file.MP3 O.WMA al solo passaggio del mouse sullicona corrispondente (vedere figura).www.foundstone.comwww.microsoft.com/technet/security/bulletin/ms asp?frame=true Artista : The Eagles Titolo Album : CNN Showbiz Today Anno : 1999 Numero Brano : 32 Durata : Tipo : Audio Formato MP3 Velocità in bit : 64Kbps Dimensione : 1,34 MB Di conseguenza un hacker potrebbe, creando un file.MP3 o.WMA con degli attributi modificati ad hoc, e sfruttando questa vulnerabilità, innescare al momento del passaggio del mouse i suoi codici. I metodi tradizionali di propagazione di questi tipi di file sono i seguenti: - allocando i file su un sito web; - allocando i file su una network share (o reti peer-to-peer); - o mandandolo come un HTML . Nei primi due casi linnesco può avvenire sia in rete sia una volta scaricato il file sullhard disk locale, mentre per lultimo caso linnesco del malicious code avviene allatto della preview dell . I sistemi operativi vulnerabili sono : Windows XP Home Edition; Windows XP Professional; Windows XP Tablet PC Edition; Windows XP Media Center Edition; Praticamente tutti quei sistemi operativi dove la windows shell prevede la comparsa degli attributi dei file.MP3 o.WMA al passaggio del mouse; tutte le altre versioni di Windows invece, risultano immuni.

4 Pagina 2 Invece altri file audio e video come.WAV -.AVI -.MPEG non risultano affetti. Per quanto riguarda i programmi per la posta elettronica come Outlook, le versioni che risultano immuni risultano i seguenti : Outlook 98 e Outlook 2000 (dopo aver installato lOutlook Security Update);lOutlook Security Update Outlook 2002; Outlook 6 Express I prodotti sopracitati risultano immuni, in quanto, leggono l nella Restricted Sites zone (vedi figura),avendo come risultato che tutti questi programmi disabilitano effettivamente i frames nelle HTML. Questo nuovo comportamento rende impossibile ad una HTML di essere aperta automaticamente in nuova finestra o di lanciare il download di un eseguibile. Risulta evidente però, che se lutente sceglie di cliccare lHTML manipolata, il malicious code sarà attivato. Per Windows XP il service pack 1 e le recenti cumulative security patches di Internet Explorer 6 fanno si che i frames vengano disabilitati per quelle HTML aperte nella Restricted sites zone. La Microsoft inoltre, offre la possibilità di scaricare le patch riguardante questa vulnerabilità per le versione di Windows XP a 32 bit e 64 bit.service pack 1 cumulative security patches32 bit 64 bit Anche il famoso player Winamp prodotto dalla Nullsoft è stato colpito da questa vulnerabilità, e con un articolo presente sul sito dal titolo : Security Fixes for Winamp : Get the latest and be protected commentano a loro modo la scoperta di questa vulnerabilità e propongono di conseguenza delle new builds per Winamp ver e Winamp ver.3.www.winamp.comWinamp ver Winamp ver.3

5 Pagina 3 FALLA IN MACROMEDIA FLASH PLAYER Macromedia Flash MX è lambiente di programmazione per lo sviluppo di siti Internet ricchi di grafica. Designer e sviluppatori usano Macromedia Flash MX per sviluppare interfacce utente rivoluzionarie e ricche di applicazioni per il Web. Macromedia Flash Player è il client per i siti Web, con questo programma gli utenti Web di tutto il mondo potranno visualizzare ed utilizzare il contenuto sviluppato in Macromedia Flash MX. Oltre il 97.8% degli utenti in linea (circa 474 milioni) hanno installato Macromedia Flash Player, in quanto esso viene preinstallato nella maggior parte dei browser Web e computer; in Netscape Navigator e tutte le maggiori piattaforme: Windows, Linux,Unix e Macintosh. Detto questo, si capisce come risulta grave la scoperta di una vulnerabilità di questo prodotto. La scoperta di questa vulnerabilità è merito della società di sicurezza eEye Digital Security (www.eeye.com): un file.SWF (estensione dei file di Macromedia Flash Player) con un header malformato causa un buffer over-write, il quale potrebbe potenzialmente condurre allesecuzione di codici arbitrari. Macromedia ha subito prodotto una versione di Flash Player, la versione , che risulta immune da questa vulnerabilità.www.eeye.com Per controllare (ed eventualmente disinstallare se non coincide con la versione ) la versione dei plug-in di Macromedia Flash Player riportiamo un prospetto tratto dal sito web della Macromedia con lesatta ubicazione.Macromedia

6 Pagina 4 Arrivati sul file, cliccando con il tasto destro entriamo nelle proprietà per vedere una maschera (nel caso di Windows 98) come in figura : Versione del file Nel caso in cui la versione non risulti la ver si suggerisce di cancellare il file con la versione precedente sostituendola con la ver scaricandola dal sito :

7 Pagina 5 Microsoft Baseline Security Analyzer (MBSA) e HFNetChk (Hot Fix Checker) Queste due utility sono state prodotte dalla Microsoft (HFNetChk è stato sviluppato per conto di Microsoft da Shavlik Technologies LLC), il loro utilizzo riguarda essenzialmente lanalisi della potenziale sicurezza nei sistemi operativi Windows 2000/XP ed NT4. Mentre il primo risulta curato con una veste grafica user-friendly, HFNetChk funziona sotto DOS, quindi con linee di comando. Si analizzerà prima MBSA su un sistema operativo Windows XP Professional inserito in una rete LAN, per vedere come funziona, ed infine si confronterà con HFNetChk. Per il corretto funzionamento di MBSA ci sono delle operazioni da fare prima dellinstallazione: 1. Assicurarsi che nelle Proprietà di rete siano state installate le seguenti opzioni (vedi figura) : - il Protocollo Internet (TCP/IP), come protocollo; - la Condivisione file e stampanti per reti Microsoft, come servizi; - il Client per reti Microsoft, come client. Il Path per arrivare a questa schermata è il seguente : -Start; -Risorse di rete; -Visualizza risorse di rete; -(con il tasto destro) su connessione alla rete (LAN) -Proprietà. N.B. I componenti sopracitati devono risultare solo installati, dato che la loro abilitazione o disabilitazione non influirà sul processo di controllo. Nel nostro caso sono state installate 4 opzioni, ma solo 2 risultano abilitate. Nel caso siano state installate opzioni mancanti, dopo aver effettuato linstallazione premere OK e riavviare il computer.

8 Pagina 6 2. La seconda operazione da fare è quella di rendere attivi determinati servizi. Per accedere alla maschera (come quella in figura) seguire il path sotto indicato : C:\documents and settings\all users\menù avvio\programmi\strumenti di amministrazione\servizi I servizi da rendere attivi sono : Server e Workstation. Per rendere attivi i servizi sopracitati occorre cliccare sopra con il tasto destro, di conseguenza se la voce avvia (come nella figura sotto) risulta disabilitata il servizio è stato già avviato, in caso contrario, bisogna cliccare sulla voce avvia. Effettuate queste due operazioni preliminari, possiamo scaricare dal sito della Microsoft la versione freeware dellutility al seguente indirizzo: 8f aa5f f8b15c/mbsasetup.msi; N.B. la grandezza di detto file è di 2.73MB

9 Pagina 7 Una volta scaricato il programma apparirà (dove avete deciso di salvarlo) la seguente icona : Cliccare due volte per cominciare linstallazione, dopodichè seguire le istruzioni indicate dal programma. Alla fine dellinstallazione il programma visualizzerà un icona indicante il collegamento alleseguibile (vedasi figura al lato). Avviato il programma, esso si presenterà con la seguente maschera : Le possibilità che offre alla partenza sono 3 : controllo di un solo computer (Scan a computer); controllo di più computer racchiusi in un range di indirizzi IP da indicare (essere sicuri che il sistema operativo installato sia: Windows 2000 – Windows XP – Windows NT) (Scan more than one computer); la sola visione dei security reports della Microsoft (View existing security reports). Nel caso in esame analizzeremo il sistema operativo Windows XP in locale, cliccando sulla voce: Scan a computer.

10 Pagina 8 Facendo partire la scansione senza specificare lindirizzo IP, la scansione avverrà sul computer in locale, includendo il controllo di tutte le opzioni scelte. Nel caso in cui, però, il controllo non avvenga su un web server IIS, oppure su un data base server SQL occorrerà eliminare le opzioni corrispondenti. Alla fine della scansione il risultato comparirà in una schermata simile a quella in figura, indicante tutte le vulnerabilità del sistema operativo.

11 Pagina 9 Cliccando su result details si aprirà unaltra schermata dove saranno evidenziati in maniera particolareggiata le vulnerabilità, con i relativi link per rintracciare le patch. Il programma inoltre, prevede anche il controllo sulle seguenti opzioni del sistema operativo : - local account password test; File system - Guest account - Restrict anonymous; Administrator – Autologon - Password expiration. La scansione di MBSA, controlla anche i seguenti prodotti della Microsoft installati sul PC : -Internet Explorer – Outlook – lintero pacchetto Office. HFNetChk invece, è un programma che gira sotto MS-DOS e la sua dimensione della sua applicazione una volta scompattato è di soli 738KB; lultima release, la può essere scaricata dal sito della Shavlik Technologies allindirizzo: Una volta installato seguire le istruzioni per lallocazione della cartella; per avviarlo è necessario portarsi al prompt di MS-DOS, nella cartella dove si è provveduti a installare il programma e trovato il file eseguibile avviarlo con un doppio clic. Lutility utilizza un file XML (Extensible Markup Language) contenente informazioni sulla disponibilità di correzioni rapide per ciascun sistema operativo, questo file è disponibile per il download dallArea download Microsoft in formato compresso (estensione.cab contrassegnato in firma digitale); una volta scompattato il file.cab analizza il computer o i computer selezionati per verificarne il sistema operativo e gli eventuali service pack installati, nonché i programmi in esecuzione. Al termine dellanalisi, le patch disponibili per il computer che non risultano installate vengono segnalate come Patch NOT Found. (vedasi figura a pagina 10).

12 Pagina 10 Nel nostro caso, la patch non istallata risulta quella relativa alla vulnerabilità indicata nel bollettino della Microsoft come MS Per risalire alla patch ricercare allindirizzo il Microsoft Security Bulletin MS02-71 (dove MS= Microsoft; 02=2002; 71= settantunesima vulnerabilità), allinterno del quale saranno descritte tutte le caratteristiche di detta vulnerbailità, comprensivo del link per risalire al download della patch.www.microsoft.com/technet/security/current.asp

13 Pagina 11 Per visualizzare la sintassi relativa allutitlity HFNetChk, digitare hfnetchk /? al prompt dei comandi, di seguito riportiamo alcune sintassi utili per lutilizzo del programma : hfnetchk –h computer1, computer2, server1, server2 specifica il nome del computer NetBIOS da analizzare. La posizione predefinita, (come per MBSA) è il computer locale;E possibile analizzare più computer separando i rispettivi nomi mediante una virgola; hfnetchk –i , , specifica lindirizzo IP del computer da analizzare. E possibile analizzare più indirizzi IP separandoli con una virgola – questa opzione non è disponibile se si esegue lanalisi da un computer basato su Windows NT, questa opzione è valida solo per Windows 2000 o Windows XP; hfnetchk –r Specifica lintervallo di indirizzi IP da analizzare, con indirizzoIP1 e indirizzoIP2 incluso; hfnetchk –d nomedominio Specifica il nome del dominio da analizzare. Vengono analizzati tutti i computer del dominio specificato, che corrispondono a quelli visualizzati in Risorse di rete sotto al nome del dominio selezionato. In caso di reti TCP/IP è necessario che nella rete locale sia supportato il protocollo UDP alla porta 137. Approfondimenti in lingua italiana relative alluso di questo programma le potrete trovare al seguente indirizzo : Le due utility messe a confronto risultano avere dei lati positivi e dei lati negativi, entrambi, però, accusano un bug non indifferente, cioè quello di riconoscere solo ed esclusivamente quelle vulnerabilità riconosciute dalla Microsoft, non prendendo in considerazione quegli hotfix che non sono direttamente segnalati dal bollettino rilasciato da Microsoft.

14 Pagina 12 W32.Lirva In merito al virus in oggetto, la Symantec, in data 10 gennaio 2003, ha deciso di innalzare il livello di allerta dal livello 2 al livello 3, considerando il numero dei computer infettati, senza contare, anche, gli oltre 10 siti web coinvolti. Il worm è stato scritto in C++ ed è compresso con UPX (tipo di compressore usato solo per file con estensione.exe -.dll, la sua particolarità consiste nel fatto che anche dopo compressi, detti file rimangono eseguibili), la cui dimensione una volta aperto è di 100kB. A differenza di altri worm, W32.Lirva (alias : W32/Lirva.B – W32.Avril.A – - W32.Naith.A – Avril – Avron) non si diffonde solo per posta elettronica, ma anche attraverso le chat IRC (Internet Relay Chat) e ICQ, nonché attraverso la rete peer-to-peer KaZaa e tutte le reti aperte di file sharing. I sistemi affetti risultano : Windows 95 – 98 – NT – 2000 – XP – ME I sistemi non affetti risultano: Macintosh – OS/2 - Linux. L con cui questo worm si diffonde è formattata come pagina HTML contenente la vulnerabilità Exploit Iframe che consente, semplicemente aprendo l , di eseguire in automatico lallegato. I suoi effetti nel caso si venga colpiti da questo virus sono i seguenti : il virus si connette al sito web.host.kz ed effettua il download del famoso trojan BACK ORIFICE; reindirizza nei giorni 7, 11 e 24 di ogni mese il browser verso il sito di un celebre cantante pop : termina molti processi antivirus e firewall; si autoinvia tramite a tutti gli indirizzi compresi nella rubrica di Outlook; si autoreplica nei file con la seguente estensione :.dbx -.mbx -.wab -.html -.eml -.htm -.tbb -.shtml -.nch -.idx; Il Lirva ha funzionalità di password stealing, per cui se il computer è connesso ad Internet, esso memorizza tutte le password digitate durante la connessione dallutente e le invia ad un indirizzo di posta esterno. Via il virus potrebbe arrivare con i seguenti soggetti : -Fw: Redirection error notification - Re :Brigada Ocho Free membership -Re: According to Purges Statement - Fw :Avril Lavigne – CHART ATTACK -Re: Reply on account for IIS-Security Breach (tftp) -Re: ACTR/ACCELS Transcription - Re : IREX admits you take in FSAU Fw: Re: Have U requested Avril Lavigne bio ? -Re: Reply on account for IFRAME-Security breach -Fw: Prohibited customer - Re : According to Daos Summit -Re: The real estate plunger - Fwd : Re: Admission procedure -Re: Junior Achievement - Re : Ha perduto qualcosa signora ?

15 Pagina 13 Mentre gli Attachment da controllare risultano i seguenti : -Resume.exe - Download.exe - MSO-Patch-0071.exe -MSO-Patch-0035.exe - Two-Up-Secretly.exe - Transcript.exe -Readme.exe - AvrilSmiles.exe - AvrilLavigne.exe -Complicated.exe - Singles.exe - Shopos.exe -Cogito_Ergo_Sum.exe - CERT-Vuln-Info.exe - SiamoDiTe.exe -TrickerTape.exe - BioData.exe - Phantom.exe. Per quanto riguarda la rimozione la Symantec ha provveduto a produrre un tool specifico per rimuovere il worm Lirva, reperibile presso il seguente indirizzo : È necessario prima di eseguire il tool leggere attentamente le istruzioni che vengono date allindirizzo sopra indicato.

16 Pagina 14 LE VENTI VULNERABILITA PIU CRITICHE PER LA SICUREZZA IN INTERNET (QUINTA PARTE) W2 - ISAPI Extension Buffer Overflow W2.1 Descrizione: L'Internet Information Server (IIS) di Microsoft è il software per server web utilizzato per la maggior parte dei siti web ospitati su server Microsoft Windows NT e Windows All'installazione di IIS, vengono anche installate automaticamente diverse estensioni ISAPI. Le ISAPI, acronimo di Internet Server Application Programming Interface, consentono agli sviluppatori di aumentare le capacità dei server IIS mediante l'uso di DLL. Molte DLL, come ad esempio idq.dll, contengono errori di programmazione che le portano a effettuare controlli inesatti nella rilevazione degli errori. In particolare queste non bloccano le stringhe di input di lunghezza non accettabile. In quello che è conosciuto come attacco da buffer overflow, gli aggressori possono inviare dati alle DLL ed assumere il pieno controllo del server web IIS. W2.2 Sistemi interessati: Il buffer overflow di idq.dll interessa il Microsoft Index Server 2.0 e l'Indexing Service in Windows Il buffer overflow di.printer interessa Windows 2000 Server, Advanced Server e Server Data Center Edition con IIS 5.0 installato. Questa DLL vulnerabile è contenuta anche in Windows 2000 Professional, ma non è collegata come impostazione predefinita. Se possibile, dovreste per precauzione utilizzare i Criteri di Gruppo per disabilitare la stampa via Web sulle stazioni di lavoro (in Configurazione Computer:Modelli Amministrativi:Stampanti). W2.3 Lista CVE: CVE CVE , CVE , CAN , CAN CVE CAN CAN W2.4 Come stabilire se siete vulnerabili: Siete probabilmente vulnerabili se sul vostro server web non è installato almeno il Service Pack 2. Se non siete sicuri di quali aggiornamenti siano installati, prelevate ed eseguite hfnetchk da: /hfnetchk.asp I seguenti aggiornamenti correggono il problema del.printer buffer overflow: Q MS Q MS Q MS Windows 2000 SP2 Q The Windows NT 4.0 Security Roll-up Package.

17 Pagina 15 I seguenti aggiornamenti correggono il idq.dll buffer overflow.: Q MS Q MS The Windows NT 4.0 Security Roll-up Package. W2.5 Come proteggersi: Installate gli ultimi aggiornamenti di Microsoft. Potete trovarli agli indirizzi: Windows NT 4.0: Windows 2000 Professional, Server e Advanced Server: Windows 2000 Datacenter Server: gli aggiornamenti per Windows 2000 Datacenter Server riguardano l'hardware e sono disponibili presso il produttore del dispositivo. Windows XP: La vulnerabilità non riguarda Windows XP. Inoltre, l'amministratore dovrebbe rimuovere le estensioni ISAPI non necessarie. Controllate regolarmente che le estensioni non siano state riassegnate. Ricordando il principio delle autorizzazioni minime indispensabili, il vostro sistema deve utilizzare il numero minimo di servizi indispensabili al corretto funzionamento. Sia IIS Lockdown Tool che URLScan sono in grado di proteggervi da questa vulnerabilità. IIS Lockdown Tool, uno strumento rivolto agli amministratori ed impiegato per isolare un server IIS, è disponibile presso: URLScan è un analizzatore che può filtrare molti tipi di richieste HTTP. Per esempio, può essere usato per filtrare richieste contenenti codici di caratteri UTF8. URLScan è reperibile presso:

18 Pagina 16 W3 - Vulnerabilità IIS RDS (Microsoft Remote Data Services) W3.1 Descrizione: L'Internet Information Server (IIS) di Microsoft è il software per server web utilizzato per la maggior parte dei siti web ospitati su server Microsoft Windows NT 4.0. Gli utenti malintenzionati sfruttano i difetti di programmazione presenti nei Remote Data Services (RDS) di IIS per eseguire comandi remoti con i privilegi di amministratore. W3.2 Sistemi interessati: I sistemi Microsoft Windows NT 4.0 con Internet Information Server hanno la directory virtuale /msadc collegata, e sono con molta probabilità vulnerabili. W3.3 Annotazioni Lista CVE: CVE CVE W3.4 Come stabilire se siete vulnerabili: Se adoperate un sistema non aggiornato, siete vulnerabili. Una guida eccellente ai punti deboli di RDS e ai metodi per correggerli può essere trovata in: W3.5 Come proteggersi: Non è possibile eliminare la vulnerabilità con un aggiornamento. Per proteggersi è necessario seguire le indicazioni dei seguenti bollettini di sicurezza: In alternativa, potete evitare il problema aggiornando i Microsoft Data Access Components (MDAC) ad una versione superiore alla 2.1. Le versioni più recenti di MDAC sono disponibili all'indirizzo:


Scaricare ppt "BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa N°1/2003."

Presentazioni simili


Annunci Google