La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza -Mauro Cornelli Premier Center for Security Microsoft Services Italia.

Presentazioni simili


Presentazione sul tema: "Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza -Mauro Cornelli Premier Center for Security Microsoft Services Italia."— Transcript della presentazione:

1 Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza -Mauro Cornelli Premier Center for Security Microsoft Services Italia

2 Agenda Bollettini sulla Sicurezza di ottobre 2005 Bollettini sulla Sicurezza di ottobre 2005 Informazioni sul rilevamento e il deployment Informazioni sul rilevamento e il deployment Malicious Software Removal Tools Malicious Software Removal Tools Security News Security News

3 Bollettini di Sicurezza Ottobre 2005 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT CriticalMS Microsoft Windows, DirectX Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows, Internet Explorer Remote Code Execution ImportantMS Microsoft Windows Remote Code Execution ImportantMS Microsoft Windows Remote Code Execution ImportantMS Microsoft Windows, Exchange Remote Code Execution ImportantMS Microsoft Windows Remote Code Execution ModerateMS Microsoft Windows Tampering ModerateMS Denial of Service

4 Dettaglio per prodotto 98/SE/ME Windows 2000 Service Pack 4 Windows XP Service Pack 1 Windows XP Service Pack 2 Windows Server 2003 Windows Server 2003 SP1 Exchange 2000 MS Not AffectedModerate Not AffectedModerateNot AffectedN/A MS Not AffectedModerate LowModerateLowN/A MS Not AffectedImportant N/A MS Not AffectedImportant Not Affected N/A MS Not AffectedImportantModerate Important MS Not AffectedImportant N/A MS Critical N/A MS Not AffectedCritical Important N/A MS Critical Moderate N/A

5 MS05-044: Introduzione Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495) Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495) Livello di gravità massimo: Moderata Livello di gravità massimo: Moderata Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows XP Service Pack 1 Microsoft Windows XP Service Pack 1 Microsoft Windows Server 2003 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems Componente interessato: Componente interessato: Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack mspx 044.mspx 044.mspx 044.mspx

6 MS05-044: vulnerabilità FTP Client Vulnerability - CAN FTP Client Vulnerability - CAN Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP. Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP. Modalità di attacco Modalità di attacco Non Eseguibile da remoto Non Eseguibile da remoto File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file. File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file. Attacco autenticato: No Attacco autenticato: No Tipologia: Tampering Tipologia: Tampering Impatti di un attacco riuscito Impatti di un attacco riuscito Tampering Tampering Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. Le vulnerabilità era pubblica Le vulnerabilità era pubblica Lexploit è pubblico Lexploit è pubblico

7 MS05-044: Fattori mitiganti È necessaria l'interazione dell'utente prima che i file possano essere trasferiti al sistema interessato. È necessaria l'interazione dell'utente prima che i file possano essere trasferiti al sistema interessato. Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso. Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso. Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema operativo interessato. Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema operativo interessato.

8 MS05-044: Soluzioni alternative Non scaricare file da server FTP non attendibili Non scaricare file da server FTP non attendibili È possibile ridurre il rischio di attacco scaricando i file solo da server FTP attendibili. È possibile ridurre il rischio di attacco scaricando i file solo da server FTP attendibili.

9 MS05-045: Introduzione Vulnerability in Network Connection Manager Could Allow Denial of Service (905414) Vulnerability in Network Connection Manager Could Allow Denial of Service (905414) Livello di gravità massimo: Moderato Livello di gravità massimo: Moderato Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Pack 4 Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Software non interessato Software non interessato Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME)

10 MS05-045: vulnerabilità Network Connection Manager Vulnerability - CAN Network Connection Manager Vulnerability - CAN Un buffer non controllato in Network Connection Manager è causa di vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le connessioni di rete. Un buffer non controllato in Network Connection Manager è causa di vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le connessioni di rete. Modalità di attacco Modalità di attacco Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una richiesta appositamente predisposta e inviandola al componente interessato. Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una richiesta appositamente predisposta e inviandola al componente interessato. Attacco autenticato: Si Attacco autenticato: Si Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) Impatti di un attacco riuscito Impatti di un attacco riuscito Negazione del servizio (Denial of Service) Negazione del servizio (Denial of Service) Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere. Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere. Le vulnerabilità era pubblica Le vulnerabilità era pubblica Lexploit è pubblico Lexploit è pubblico

11 MS05-045: Fattori mitiganti In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto. In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto. Necessario disporre di credenziali di accesso valide, ed essere in grado di accedere localmente al sistema. Necessario disporre di credenziali di accesso valide, ed essere in grado di accedere localmente al sistema. Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni. Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni.

12 MS05-045: Soluzioni alternative Bloccare le seguenti porte a livello di firewall della rete perimetrale aziendale: Bloccare le seguenti porte a livello di firewall della rete perimetrale aziendale: Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593 Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593 Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 Qualsiasi altra porta RPC specificamente configurata Qualsiasi altra porta RPC specificamente configurata Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e 443 Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e 443

13 MS05-046: Introduzione Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589) Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Pack 4 Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Software non interessato Software non interessato Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) Windows Services for Netware Windows Services for Netware

14 MS05-046: vulnerabilità Client Service for NetWare Vulnerability - CAN Client Service for NetWare Vulnerability - CAN Il Servizio client per NetWare (CSNW) consente a un client di accedere ai servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code Execution Il Servizio client per NetWare (CSNW) consente a un client di accedere ai servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code Execution Modalità di attacco Modalità di attacco Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice. Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice. Attacco autenticato: NO (tranne che per Win2003 sp1) Attacco autenticato: NO (tranne che per Win2003 sp1) Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) Impatti di un attacco riuscito Impatti di un attacco riuscito Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice. Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice. Privilegi ottenibili: Utente autenticato Privilegi ottenibili: Utente autenticato

15 MS05-046: Fattori mitiganti Windows XP Home Edition non presenta il componente vulnerabile. Windows XP Home Edition non presenta il componente vulnerabile. Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessati Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessati Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi. Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi. Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale

16 MS05-046: Soluzioni alternative Rimuovere il Servizio client per NetWare se non lo si utilizza. Rimuovere il Servizio client per NetWare se non lo si utilizza. Bloccare le porte TCP 139 e 445 a livello del firewall Bloccare le porte TCP 139 e 445 a livello del firewall CSNW è generalmente associato ai protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX). CSNW è generalmente associato ai protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX).

17 MS05-047: Introduzione Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Windows 2000 SP4 (Server e Professional) Windows 2000 SP4 (Server e Professional) Windows XP SP1 e SP2 Windows XP SP1 e SP2 Componente interessato: Componente interessato: Plug&Play Plug&Play 047.mspx 047.mspx 047.mspx 047.mspx

18 MS05-047: Vulnerabilità Plug and Play Vulnerability - CAN Plug and Play Vulnerability - CAN causata dalla errata validazione dei dati forniti dallutente causata dalla errata validazione dei dati forniti dallutente Modalità di attacco Modalità di attacco Su 2000 e XP SP1 Su 2000 e XP SP1 Eseguibile da remoto inviando pacchetti malformati Eseguibile da remoto inviando pacchetti malformati Attacco autenticato Attacco autenticato Su XP SP2 Su XP SP2 Eseguibile solo localmente, tramite applicazione malformata Eseguibile solo localmente, tramite applicazione malformata Local Elevation of Privilege Local Elevation of Privilege Privilegi ottenibili: Local System Privilegi ottenibili: Local System La vulnerabilità non era pubblica La vulnerabilità non era pubblica Non vi sono exploit noti al momento Non vi sono exploit noti al momento

19 MS05-047: Fattori mitiganti Su XP XP2: necessaria lautenticazione e il logon locale Su XP XP2: necessaria lautenticazione e il logon locale Su 2000 (se è già installato MS05-039) e XP SP1: necessaria lautenticazione Su 2000 (se è già installato MS05-039) e XP SP1: necessaria lautenticazione I firewall perimetrali normalmente sono configurati per bloccare le porte usate da plug&play (139, 445) I firewall perimetrali normalmente sono configurati per bloccare le porte usate da plug&play (139, 445)

20 MS05-047: Soluzioni alternative Bloccare le porte 139 e 445 sul firewall perimetrale Bloccare le porte 139 e 445 sul firewall perimetrale Abilitare Internet Connection Firewall su XP SP1 Abilitare Internet Connection Firewall su XP SP1 Abilitare advanced TCP/IP filtering Abilitare advanced TCP/IP filtering Abilitare IPSec Abilitare IPSec

21 MS05-047: ulteriori informazioni Laggiornamento di sicurezza Laggiornamento di sicurezza Rimpiazza MS (Zotob) Rimpiazza MS (Zotob) Richiede il riavvio del sistema Richiede il riavvio del sistema

22 MS05-048: Introduzione Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245) Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows 2000 SP4 Windows XP SP2 Windows XP SP2 Windows XP SP1 Windows XP SP1 Windows XP Pro x64 Edition Windows XP Pro x64 Edition Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004 Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004 Componente interessato: Componente interessato: Collaboration Data Objects Collaboration Data Objects

23 MS05-048: vulnerabilità Collaboration Data Objects Vulnerability - CAN Collaboration Data Objects Vulnerability - CAN causata da un unchecked buffer in CDO causata da un unchecked buffer in CDO Modalità di attacco Modalità di attacco Eseguibile da remoto Eseguibile da remoto Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) Il trasporto più comune è SMTP Il trasporto più comune è SMTP Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: Local System Privilegi ottenibili: Local System La vulnerabilità non era pubblica La vulnerabilità non era pubblica Lexploit è disponibile Lexploit è disponibile

24 MS05-048: Fattori mitiganti SMTP di IIS 5.0 e SMTP di Exchange 2000 Server di default non usano event sinks, che fanno uso di Cdosys.dll e Cdoex.dll; IIS 6.0 è disabilitato di default su Windows Server 2003; SMTP è disabilitato di default, se IIS 6.0 è abilitato.

25 MS05-048: Soluzioni alternative Disabilitare tutti gli event sinks tramite smtpreg.vbs (reperibile nellSDK di Exchange o da 45a ff26682bc7.asp 45a ff26682bc7.asp cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati; cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink Impatto malfunzionamento di applicazioni che fanno uso dellevent sink sino alla riabilitazione. Deregistrare le dll vulnerabili Cdoex.dll e Cdosys.dll su Exchange 2000 Server Cdosys.dll su IIS: Regsvr32.exe C:\Program Files\Common Files\Microsoft Shared\CDO\cdoex.dll /u Regsvr32.exe %windir%\system32\cdosys.dll /u Impatto malfunzionamento di programmi che dipendono da Cdosys.dll o Cdoex.dll.

26 MS05-048: ulteriori informazioni Riavvio Riavvio Normalmente non necessario Normalmente non necessario Potrebbe essere richiesto se i file in questione sono in uso Potrebbe essere richiesto se i file in questione sono in uso Laggiornamento per Exchange riavvia: Laggiornamento per Exchange riavvia: IIS IIS SMTP SMTP Exchange Server Information Store Service Exchange Server Information Store Service File Transfer Protocol (FTP) File Transfer Protocol (FTP) Network News Transfer Protocol (NNTP) Network News Transfer Protocol (NNTP) Su Exchange Server 2000 è necessario applicare sia laggiornamento per Windows che per Exchange Su Exchange Server 2000 è necessario applicare sia laggiornamento per Windows che per Exchange Su Exchange Server 2003 è necessario applicare laggiornamento per Windows Su Exchange Server 2003 è necessario applicare laggiornamento per Windows

27 MS05-049: Introduzione Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725) Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows 2000 SP4 Windows XP SP2 Windows XP SP2 Windows XP SP1 Windows XP SP1 Windows XP Pro x64 Edition Windows XP Pro x64 Edition Componente interessato: Componente interessato: Windows Shell Windows Shell

28 MS05-049: vulnerabilità Shell Vulnerability - CAN Shell Vulnerability - CAN Causata da un problema nella gestione dei file.lnk Causata da un problema nella gestione dei file.lnk Shell Vulnerability - CAN Shell Vulnerability - CAN Causata da un problema nella gestione delle proprietà dei file.lnk Causata da un problema nella gestione delle proprietà dei file.lnk Web View Script Injection Vulnerability - CAN Web View Script Injection Vulnerability - CAN Causata da un problema di validazione dei caratteri HTML nei documenti Causata da un problema di validazione dei caratteri HTML nei documenti Modalità di attacco Modalità di attacco Da remoto (non autenticato) Da remoto (non autenticato) Inducendo un utente ad aprire un file.lnk o a visualizzarne le proprietà Inducendo un utente ad aprire un file.lnk o a visualizzarne le proprietà Inviando una mail con attachment.lnk Inviando una mail con attachment.lnk Locale (autenticato): aprendo un file.lnk o visualizzandone le proprietà Locale (autenticato): aprendo un file.lnk o visualizzandone le proprietà Inducendo lutente a visualizzare la preview di un file malformato Inducendo lutente a visualizzare la preview di un file malformato Privilegi ottenibili: Privilegi ottenibili: Local System per le prime due vulnerabilità Local System per le prime due vulnerabilità Utente loggato per la terza vulnerabilità Utente loggato per la terza vulnerabilità Le vulnerabilità non erano pubbliche Le vulnerabilità non erano pubbliche Non vi sono exploit noti al momento Non vi sono exploit noti al momento

29 MS05-049: Fattori mitiganti È richiesta linterazione dellutente: lattacco non è automatizzabile È richiesta linterazione dellutente: lattacco non è automatizzabile Aprire o visualizzare proprietà di file.lnk Aprire o visualizzare proprietà di file.lnk Aprire attachment Aprire attachment Per lexploit locale è richiesta lautenticazione Per lexploit locale è richiesta lautenticazione Lexploit della terza vulnerabilità fornisce solo i privilegi dellutente loggato Lexploit della terza vulnerabilità fornisce solo i privilegi dellutente loggato

30 MS05-049: Soluzioni alternative Non aprire file con estensione.lnk provenienti da sconosciuti Non aprire file con estensione.lnk provenienti da sconosciuti Non visualizzare le proprietà di file.lnk provenienti da sconosciuti Non visualizzare le proprietà di file.lnk provenienti da sconosciuti Disabilitare Web View Disabilitare Web View Usare Windows classic folders Usare Windows classic folders Impostabile tramite GPO Impostabile tramite GPOImpatto Non viene visualizzata la barra delle attività Non viene visualizzata la barra delle attività Bloccare le porte 139 e 445 sul firewall perimetrale Bloccare le porte 139 e 445 sul firewall perimetrale

31 MS05-049: ulteriori informazioni Laggiornamento di sicurezza Laggiornamento di sicurezza Rimpiazza MS e MS Rimpiazza MS e MS Richiede il riavvio del sistema Richiede il riavvio del sistema

32 MS05-050: Introduzione Vulnerability in DirectShow Could Allow Remote Code Execution (904706) Vulnerability in DirectShow Could Allow Remote Code Execution (904706) Livello di gravità massimo: Critica Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows 2000 SP4 Windows XP SP2 Windows XP SP2 Windows XP SP1 Windows XP SP1 Windows XP Pro x64 Edition Windows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003 DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003 Componente interessato: Componente interessato: DirectX (DirectShow) DirectX (DirectShow)

33 MS05-050: vulnerabilità DirectShow Vulnerability - CAN DirectShow Vulnerability - CAN causata da un unchecked buffer in DirectShow nellelaborazione dei file AVI causata da un unchecked buffer in DirectShow nellelaborazione dei file AVI Modalità di attacco Modalità di attacco Eseguibile da remoto Eseguibile da remoto Inviando una in formato HTML che viene visualizzata dal client dellutente Inviando una in formato HTML che viene visualizzata dal client dellutente Inducendo lutente ad accedere a una pagine web contenente un file AVI Inducendo lutente ad accedere a una pagine web contenente un file AVI Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: Utente loggato Privilegi ottenibili: Utente loggato La vulnerabilità non era pubblica La vulnerabilità non era pubblica Non vi sono exploit noti al momento Non vi sono exploit noti al momento

34 MS05-050: Fattori mitiganti I privilegi ottenibili sono quelli dellutente loggato I privilegi ottenibili sono quelli dellutente loggato

35 MS05-050: Soluzioni alternative Se si usano Outlook ed Exchange, bloccare le estensioni.avi tramite Outlook Security Administrator (837388) Se si usano Outlook ed Exchange, bloccare le estensioni.avi tramite Outlook Security Administrator (837388) Aggiungere.avi alla lista dei tipi di file bloccati da Outlook (http://office.microsoft.com/en- us/assistance/HA aspx) Aggiungere.avi alla lista dei tipi di file bloccati da Outlook (http://office.microsoft.com/en- us/assistance/HA aspx)http://office.microsoft.com/en- us/assistance/HA aspxhttp://office.microsoft.com/en- us/assistance/HA aspx Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVI Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVI Usare il filtro HTTP di ISA 2004 con deny signature per bloccare contenuto HTML contenente riferimenti a file AVI. Usare il filtro HTTP di ISA 2004 con deny signature per bloccare contenuto HTML contenente riferimenti a file AVI.

36 MS05-050: ulteriori informazioni Laggiornamento di sicurezza Laggiornamento di sicurezza Rimpiazza MS Rimpiazza MS Normalmente il riavvio del sistema non è richiesto Normalmente il riavvio del sistema non è richiesto Potrebbe essere necessario se i file in questione sono in uso Potrebbe essere necessario se i file in questione sono in uso È necessario usare laggiornamento per il sistema operativo (affected software) se si ha la versione di DirectX installata col SO È necessario usare laggiornamento per il sistema operativo (affected software) se si ha la versione di DirectX installata col SO Va installato laggiornamento standalone (affected component)se si ha una versione più recente di DirectX Va installato laggiornamento standalone (affected component)se si ha una versione più recente di DirectX Usare dxdiag per identificare la versione presente Usare dxdiag per identificare la versione presente

37 MS05-51: Introduzione Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) Livello di gravità massimo: Critica Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows 2000 SP4 Windows XP SP2 Windows XP SP2 Windows XP SP1 Windows XP SP1 Windows XP Pro x64 Edition Windows XP Pro x64 Edition Componente interessato: Componente interessato: MSDTC, COM+ MSDTC, COM+

38 MS05-051: vulnerabilità MSDTC Vulnerability - CAN MSDTC Vulnerability - CAN Causata da un unchecked buffer in MSDTC Causata da un unchecked buffer in MSDTC COM+ Vulnerability - CAN COM+ Vulnerability - CAN Causata dal processo usato da COM+ per creare e usare strutture in memoria Causata dal processo usato da COM+ per creare e usare strutture in memoria TIP Vulnerability - CAN TIP Vulnerability - CAN Causata dal processo usato da DTC per validare le richieste TIP Causata dal processo usato da DTC per validare le richieste TIP Distributed TIP Vulnerability - CAN Distributed TIP Vulnerability - CAN Causata dal processo usato da DTC per validare le richieste TIP Causata dal processo usato da DTC per validare le richieste TIP Modalità di attacco Modalità di attacco Windows 2000: da remoto (non autenticato) Windows 2000: da remoto (non autenticato) XP SP1, 2003: XP SP1, 2003: localmente (autenticato) se MSDTC non è avviato localmente (autenticato) se MSDTC non è avviato Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access XP SP2, 2003 SP1: localmente (autenticato) XP SP2, 2003 SP1: localmente (autenticato) Privilegi ottenibili: Privilegi ottenibili: Local System per le prime due vulnerabilità Local System per le prime due vulnerabilità Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service Le vulnerabilità non erano pubbliche Le vulnerabilità non erano pubbliche Non vi sono exploit noti al momento Non vi sono exploit noti al momento

39 MS05-051: Fattori mitiganti Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 non sono affetti dalla prima vulnerabilità Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 non sono affetti dalla prima vulnerabilità DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitato DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitato Di default, su Windows XP Service Pack 1, MSDTC non è avviato Di default, su Windows XP Service Pack 1, MSDTC non è avviato Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilità Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilità Il protocollo TIP di default è disabilitato Il protocollo TIP di default è disabilitato Le best practices sui firewall perimetrali normalmente bloccano le porte relative a questi attacchi Le best practices sui firewall perimetrali normalmente bloccano le porte relative a questi attacchi

40 MS05-051: Soluzioni alternative Disabilitare il servizio MSDTC (manualmente o tramite GPO) Disabilitare il servizio MSDTC (manualmente o tramite GPO) Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing Disabilitare Network DTC Access Disabilitare Network DTC Access Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing Bloccare sul firewall: Bloccare sul firewall: Tutto il traffico unsolicited inbound su porte superiori alla 1024 Tutto il traffico unsolicited inbound su porte superiori alla 1024 Ogni altra porta specificamente configurata per RPC Ogni altra porta specificamente configurata per RPC Abilitare il Personal Firewall Abilitare il Personal Firewall Abilitare advanced TCP/IP filtering Abilitare advanced TCP/IP filtering Abilitare IPSEC Abilitare IPSEC Per la seconda vulnerabilità: Per la seconda vulnerabilità: Disabilitare COM+ Disabilitare COM+ Bloccare sul firewall: Bloccare sul firewall: Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443 Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443 Disabilitare DCOM Disabilitare DCOM Per bloccare TIP Per bloccare TIP Bloccare sul firewall la porta TCP 3372 Bloccare sul firewall la porta TCP 3372

41 MS05-051: ulteriori informazioni Laggiornamento di sicurezza Laggiornamento di sicurezza rimpiazza MS03-010, MS03-026, MS03-039, MS04-012, MS rimpiazza MS03-010, MS03-026, MS03-039, MS04-012, MS richiede il riavvio del sistema richiede il riavvio del sistema Introduce delle modifiche di funzionalità: Introduce delle modifiche di funzionalità: Disabilita il protocollo TIP su Windows 2000 Disabilita il protocollo TIP su Windows 2000 Introduce 4 chiavi di registry per controllare il funzionamento di TIP Introduce 4 chiavi di registry per controllare il funzionamento di TIP

42 MS05-052: Introduzione Cumulative Security Update for Internet Explorer (896688) Cumulative Security Update for Internet Explorer (896688) Livello di gravità massimo: Critica Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows 2000 SP4 Windows XP SP2 Windows XP SP2 Windows XP SP1 Windows XP SP1 Windows XP Pro x64 Edition Windows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) Componente interessato: Componente interessato: Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition

43 MS05-052: vulnerabilità COM Object Instantiation Memory Corruption Vulnerability - CAN COM Object Instantiation Memory Corruption Vulnerability - CAN causata dalla possibilità che oggetti COM istanziati da IE come controlli ActiveX possano corrompere la memoria di sistema permettendo lesecuzione di codice arbitrario causata dalla possibilità che oggetti COM istanziati da IE come controlli ActiveX possano corrompere la memoria di sistema permettendo lesecuzione di codice arbitrario Modalità di attacco Modalità di attacco Eseguibile da remoto Eseguibile da remoto Creando unopportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitario Creando unopportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitario Inviando una HTML opportuna Inviando una HTML opportuna Attacco autenticato: No Attacco autenticato: No Privilegi ottenibili: quelli dellutente loggato Privilegi ottenibili: quelli dellutente loggato La vulnerabilità era pubblica La vulnerabilità era pubblica Lexploit è pubblico Lexploit è pubblico

44 MS05-052: Fattori mitiganti Nello scenario web è richiesta linterazione dellutente Nello scenario web è richiesta linterazione dellutente I privilegi ottenibili sono quelli dellutente loggato I privilegi ottenibili sono quelli dellutente loggato Lapertura delle mail nella zona Restricted sites (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mail Lapertura delle mail nella zona Restricted sites (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mail Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilità Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilità

45 MS05-052: Soluzioni alternative Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta o richiedere conferma all'esecuzione di controlli ActiveX e plugins Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta o richiedere conferma all'esecuzione di controlli ActiveX e plugins Limitare i siti Web ai soli siti attendibili Limitare i siti Web ai soli siti attendibili Installare Outlook Security Update se si utilizza Outlook 2000 SP1 o versione precedente Installare Outlook Security Update se si utilizza Outlook 2000 SP1 o versione precedente Installare l'aggiornamento descritto nel bollettino MS se si utilizza Outlook Express 5.5 SP2 Installare l'aggiornamento descritto nel bollettino MS se si utilizza Outlook Express 5.5 SP2 Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive

46 MS05-052: ulteriori informazioni Laggiornamento di sicurezza Laggiornamento di sicurezza Richiede il riavvio Richiede il riavvio Sostituisce MS e ms Sostituisce MS e ms Introduce controlli addizionali prima di eseguire oggetti COM in IE Introduce controlli addizionali prima di eseguire oggetti COM in IE Migliora la funzionalità di Internet Explorer Pop-up Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1) Migliora la funzionalità di Internet Explorer Pop-up Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1) Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 Imposta il kill bit per loggetto ADODB.Stream Imposta il kill bit per loggetto ADODB.Stream

47 Strumenti per il rilevamento è larticolo di KB a cui far riferimento è larticolo di KB a cui far riferimento MBSA 2.0 MBSA 2.0 Rileva tutti i sistemi che richiedono gli aggiornamenti Rileva tutti i sistemi che richiedono gli aggiornamenti MBSA MBSA Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Tool Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Tool MS su Windows2000 MS su Windows2000 MS su Windows 2000, XP SP1, 2003 MS su Windows 2000, XP SP1, 2003

48 Strumenti per il deployment WSUS WSUS consente il deploy di tutti gli update e di MSRT consente il deploy di tutti gli update e di MSRT Tramite i report consente di verificare la compliance di tutti i sistemi Tramite i report consente di verificare la compliance di tutti i sistemi SUS SUS Consente di deployare tutti gli update ad eccezione di MS per Exchange che va installato manualmente Consente di deployare tutti gli update ad eccezione di MS per Exchange che va installato manualmente Utilizzare MBSA per verificare la compliance (vedi slide precedente) Utilizzare MBSA per verificare la compliance (vedi slide precedente) SMS 2003 SP1 SMS 2003 SP1 Usare ITMU per verificare gli update richiesti Usare ITMU per verificare gli update richiesti SMS 2003 o 2.0 SMS 2003 o 2.0 Usare Security Update Inventory Tool per gli update rilevabili da MBSA Usare Security Update Inventory Tool per gli update rilevabili da MBSA Usare Extended Security Update Inventory Tool per gli update rilevabili da EST Usare Extended Security Update Inventory Tool per gli update rilevabili da EST

49 Malicious Software Removal Tool Versione (1.9) aggiunge la rimozione di: Versione (1.9) aggiunge la rimozione di: Win32/Antinny - Moderate Win32/Antinny - Moderate Win32/Antinny Win32/Gibe - Moderate Win32/Gibe - Moderate Win32/Gibe Win32/Mywife - Moderate Win32/Mywife - Moderate Win32/Mywife Win32/Wukill - Moderate Win32/Wukill - Moderate Win32/Wukill Maggiori informazioni sono disponibili nellarticolo KB (http://support.microsoft.com/kb/890830) Maggiori informazioni sono disponibili nellarticolo KB (http://support.microsoft.com/kb/890830)http://support.microsoft.com/kb/890830

50 Malicious Software Removal Tool (2) Disponibilità: Disponibilità: Download dal Microsoft Download Center Download dal Microsoft Download Center Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows Update o Automatic Update Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows Update o Automatic Update Come controllo ActiveX al sito Come controllo ActiveX al sito Offerto da WSUS (non da SUS 1.0) Offerto da WSUS (non da SUS 1.0) Note: Note: Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nellarticolo KB (http://support.microsoft.com/kb/891716) Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nellarticolo KB (http://support.microsoft.com/kb/891716)http://support.microsoft.com/kb/891716

51 Security News A Monaco Steve Ballmer ha annunciato: A Monaco Steve Ballmer ha annunciato: Microsoft Client Protection Microsoft Client Protection Protezione integrata contro virus, spyware, rootkits e altre forme di malware Protezione integrata contro virus, spyware, rootkits e altre forme di malware Una versione beta verrà resa disponibile ad alcuni clienti per la fine dellanno Una versione beta verrà resa disponibile ad alcuni clienti per la fine dellanno Microsoft Antigen Microsoft Antigen protezione antivirus e anti-spam per server di messaging e collaboration (Exchange, Sharepoint, LCS) protezione antivirus e anti-spam per server di messaging e collaboration (Exchange, Sharepoint, LCS) Disponibile nel primo trimestre del 2006 Disponibile nel primo trimestre del 2006 SecureIT Alliance: collaborazione tra partner di sicurezza per sviluppare soluzioni su piattaforma Microsoft. SecureIT Alliance: collaborazione tra partner di sicurezza per sviluppare soluzioni su piattaforma Microsoft. VeriSign, Trend Micro, Symantec e altri 15 membri VeriSign, Trend Micro, Symantec e altri 15 membri

52


Scaricare ppt "Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza -Mauro Cornelli Premier Center for Security Microsoft Services Italia."

Presentazioni simili


Annunci Google