Approfondimenti sui Microsoft Security Bulletin luglio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia.

Presentazione sul tema: "Approfondimenti sui Microsoft Security Bulletin luglio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia."— Transcript della presentazione:

1 Approfondimenti sui Microsoft Security Bulletin luglio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia

2 Agenda  Emissione di Sicurezza di luglio 2005  Bollettini di Sicurezza  Nuovi: MS05-035/MS05-037  Riemessi: MS05-033  Aggiornamenti critici di tipo Non-Security  Malicious Software Removal Tools di luglio  Risorse ed Eventi

3 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT CriticalMS05-035 Microsoft Office Remote Code Execution CriticalMS05-036 Microsoft Windows Remote Code Execution CriticalMS05-037 Microsoft Windows Remote Code Execution Emissione di Sicurezza luglio 2005

4 MS05-035: Introduzione  Vulnerability in Microsoft Word Could Allow Remote Code Execution (903672)  Livello di gravità massimo: Critico  Software interessato dalla vulnerabilità:  Word 2000 & 2002, Works Suites

5 MS05-035: Analisi di rischio  Font Parsing Vulnerability CAN-2005-0564  Unchecked buffer nella gestione dei font  Effetti della vulnerabilità:  Remote Code Execution  Modalità di attacco  Eseguibile da remoto: SI  Apertura di un documento Word  Attacco autenticato: NO  Privilegi ottenibili: Utente loggato

6 MS05-035: Fattori mitiganti  Fattori mitiganti  l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato  L’attacco non può essere automatizzato.  Per essere attaccati tramite e-mail è necessario aprire l’allegato.doc  Soluzioni alternative  Non aprire allegati ricevuti da fonti non attendibili

7 MS05-036: Introduzione  Vulnerability in Microsoft Color Management Module Could Allow Remote Code Execution (901214)  Livello di gravità massimo: Critico  Software interessato dalla vulnerabilità:  Tutte le versioni di Windows attualmente supportate  Ricordarsi che Windows 2000 SP3 è fuori supporto dal 30 giugno 2005  Windows 98, 98SE, ME non sono interessati in modo critico >> no patch

8 MS05-036: Analisi di rischio  Color Management Module Vulnerability - CAN- 2005-1219  Unchecked buffer nel modulo CMM  Effetti della vulnerabilità:  Remote Code Execution  Modalità di attacco  Eseguibile da remoto: SI  qualsiasi metodo che induce la visualizzazione di un’immagine  Attacco autenticato: NO  Privilegi ottenibili: Utente loggato

9 MS05-036: Fattori mitiganti  Fattori mitiganti  l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato  l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso  Soluzioni alternative  Nessuna

10 MS05-037: Introduzione  Vulnerability in JView Profiler Could Allow Remote Code Execution (903235)  Livello di gravità massimo: Critico  Software interessato dalla vulnerabilità:  Tutte le versioni di Windows (ed Internet Explorer) attualmente supportate  IE 5.01 SP4 su Windows 2000 SP4  IE 5.5 SP2 su Windows ME  IE 6.0 SP1 su Windows 2000 SP4 e Windows XP SP1  IE 6.0 su Windows XP SP2  IE 6.0 su Windows Server 2003 Gold/SP1

11 MS05-037: Analisi di rischio  JView Profiler Vulnerability - CAN-2005-2087  Corruzione di memoria nel caricamento della Javaprxy.dll in Internet Explorer  Effetti della vulnerabilità:  Remote Code Execution  Modalità di attacco  Eseguibile da remoto: SI  Pagina HTML su web o via e-mail  Attacco autenticato: NO  Privilegi ottenibili: Utente loggato

12 MS05-037: Fattori mitiganti  l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso  l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato  la Microsoft JVM non è presente su Windows XP SP1a/SP2 o Windows Server 2003 Gold/SP1  ma potrebbe essere presente a seguito di upgrade o di installazione diretta

13 MS05-037: Soluzioni alternative  Configurare IE per il prompt degli ActiveX  Deregistrare l’oggetto COM javaprxy.dll  Modificare le ACL su javaprxy.dll  Limitare l’esecuzione della javaprxy.dll tramite le Software Retriction Policy  Rimuovere la Microsoft JVM

14 Bollettini di luglio 2005 Riemissioni BULLETIN NUMBER PRODUCTS AFFECTED (re- release only) REASONRECOMMENDATION MS05-033 Microsoft Windows Services for UNIX 2.0 & 2.1 Microsoft Windows Services for UNIX 2.0 & 2.1 sono stati riconosciuti interessati dalla vulnerabilità. I clienti forniti di Microsoft Windows Services for UNIX 2.0 & 2.1 dovrebbero aggiornare i sistemi

15 Strumenti per il rilevamento  MBSA  MBSA 2.0: MS05-035 (Word 2002) - MS05-036 e MS05-037  MBSA 1.2.1: MS05-035 (local scan) - MS05-036 e MS05-037  EST  MS05-033  WSUS  MS05-035 (Word 2002) - MS05-036 e MS05-037  SUS  MS05-036 e MS05-037  SMS 2.0 / 2003  Security Update Inventory Tool:  MS05-036 e MS05-037  Microsoft Office Inventory Tool for Updates:  MS05-035  Security Update Scan Tool:  MS05-033

16 Strumenti per il deployment  WSUS  MS05-035 (Word 2002) - MS05-036 e MS05- 037  SUS  MS05-036 e MS05-037  SMS  Tutti

17 Note di Deployment  Informazioni sul restart e la disinstallazione: BulletinRestartUninstall MS05-035 Può essere richiesto Non per Word 2000 MS05-036SìSì MS05-037NoSì

18 Note di Deployment BulletinReplaces Products Replaced MS05-035MS05-023 Word 2000 Word 2002

19 Emissione di luglio 2005 Aggiornamenti critici Non-Security NUMBERTITLE ADDITIONAL INFORMATION KB895658 Update for Outlook 2003 Junk Email Filter Junk E-mail Filter in Microsoft Office Outlook 2003 KB895332 Update for InterConnect 2004 Only offered to Japanese Language Office Users

20 Malicious Software Removal Tool (Aggiornamento)  La 7a emissione del tool aggiunge la capacità di rimozione di altri malware:  Wootbot, Optix, Optixpro, Hacty (anche noto come YYTHAC), e Prustiu (anche noto come Delf.FN)  Come sempre è disponibile:  Come aggiornamento critico su Windows Update e Microsoft Update per gli utenti Windows XP  Nota: distribuile tramite WSUS, e NON tramite SUS 1.0  Download dal Microsoft Download Center (www.microsoft.com/downloads) www.microsoft.com/downloads  Come controllo ActiveX su www.microsoft.com/malwareremove www.microsoft.com/malwareremove

21 Nuove risorse informative  MSN Security Alerts:  Aggiunta una nuova categoria “security” all’ MSN Alerts Service:  Security bulletin release notifications  Security incident updates  L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione  www.microsoft.com/security/bulletins/alerts.mspx www.microsoft.com/security/bulletins/alerts.mspx  RSS feed per bollettini di sicurezza a livello consumer:  www.microsoft.com/updates www.microsoft.com/updates  MSRC Blog su TechNet:  Introdotto a febbraio in occasione dell’ RSA Conference  Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet  http://blogs.technet.com/msrc http://blogs.technet.com/msrc

22 Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza  Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx www.microsoft.com/technet/security/bulletin/advance.mspx  Invio delle notifiche sui bollettini e advisory http://www.microsoft.com/technet/security/bulletin/notify.mspx http://www.microsoft.com/technet/security/bulletin/notify.mspx  Microsoft Security Notification Service  MS Security Notification Service: Comprehensive Version  Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato  Ricezione news via RSS  RSS Security Bulletin Feed http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx  Ricerca di un bollettino www.microsoft.com/technet/security/current.aspx www.microsoft.com/technet/security/current.aspx  Ricerca di un advisory www.microsoft.com/technet/security/advisory www.microsoft.com/technet/security/advisory  Webcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspx http://www.microsoft.com/italy/technet/community/webcast/default.mspx

23 Risorse utili  Sito Sicurezza  Inglese http://www.microsoft.com/security/default.mspx http://www.microsoft.com/security/default.mspx  Italiano http://www.microsoft.com/italy/security/default.mspx http://www.microsoft.com/italy/security/default.mspx  Security Guidance Center  Inglese www.microsoft.com/security/guidance www.microsoft.com/security/guidance  Italiano www.microsoft.com/italy/security/guidance www.microsoft.com/italy/security/guidance  Security Newsletter www.microsoft.com/technet/security/secnews/default.mspx www.microsoft.com/technet/security/secnews/default.mspx  Windows XP Service Pack 2 www.microsoft.com/technet/winxpsp2 www.microsoft.com/technet/winxpsp2  Windows Server 2003 Service Pack 1 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ servicepack/default.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ servicepack/default.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ servicepack/default.mspx

24 Prossimi Eventi  Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin  Ogni venerdì successivo al 2° martedì di ogni mese http://www.microsoft.com/italy/technet/community/webcast/defaul t.mspx http://www.microsoft.com/italy/technet/community/webcast/defaul t.mspx http://www.microsoft.com/italy/technet/community/webcast/defaul t.mspx  Webcast già erogati:  http://www.microsoft.com/italy/technet/community/webcast/passa ti.mspx http://www.microsoft.com/italy/technet/community/webcast/passa ti.mspx http://www.microsoft.com/italy/technet/community/webcast/passa ti.mspx  Microsoft “Security360”: 19 luglio  Argomento: Making Sense of Compliance  Normativa corrente (USA)  Determinare se l’azienda è in regola con la normativa  Gestire progetti di Compliance

25