Approfondimenti sui Microsoft Security Bulletin maggio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia

Agenda Emissione di Sicurezza di maggio 2005 Emissione di Sicurezza di maggio 2005 Bollettini di Sicurezza Bollettini di Sicurezza Nuovi: MS Nuovi: MS Problemi noti relativi allinstallazione di MS Problemi noti relativi allinstallazione di MS Security Advisory Security Advisory Introduzione alle nuove comunicazioni di sicurezza Introduzione alle nuove comunicazioni di sicurezza Security Advisory su Windows Media Player Security Advisory su Windows Media Player Security Advisory su Microsoft Exchange Security Advisory su Microsoft Exchange Malicious Software Removal Tools di maggio Malicious Software Removal Tools di maggio Risorse ed Eventi Risorse ed Eventi

MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT ImportantMS Microsoft Windows Remote Code Execution Bollettini di Sicurezza: nuovi Security Advisory: KNOWLEDGE BASE NUMBER PRODUCTS AFFECTED Microsoft Windows Media Player Microsoft Exchange Emissione di Sicurezza maggio 2005

MS05-024: Introduzione Vulnerability in Web View Could Allow Remote Code Execution (894320) Vulnerability in Web View Could Allow Remote Code Execution (894320) Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Le versioni attualmente supportate di Windows 2000: Le versioni attualmente supportate di Windows 2000: Microsoft Windows 2000 Service Pack 3 & 4 Microsoft Windows 2000 Service Pack 3 & 4 Windows 98, 98SE ed ME non sono interessati in modo critico Windows 98, 98SE ed ME non sono interessati in modo critico

MS05-024: Analisi di rischio Web View Script Injection Vulnerability - CAN Web View Script Injection Vulnerability - CAN Errori nella validazione di alcuni caratteri HTML da parte della visualizzazione Web in Windows Explorer Errori nella validazione di alcuni caratteri HTML da parte della visualizzazione Web in Windows Explorer Effetti della vulnerabilità: Effetti della vulnerabilità: Remote Code Execution Remote Code Execution Modalità di attacco Modalità di attacco Eseguibile da remoto: SI Eseguibile da remoto: SI File opportunamente malformati File opportunamente malformati Visualizzazione in preview, su file locali, file su dischi di rete o file scaricati come allegati Visualizzazione in preview, su file locali, file su dischi di rete o file scaricati come allegati Attacco autenticato: NO Attacco autenticato: NO Privilegi ottenibili: Utente loggato Privilegi ottenibili: Utente loggato

MS05-024: Fattori mitiganti Web View Script Injection Vulnerability - CAN Web View Script Injection Vulnerability - CAN lutilizzo di utenze con privilegi non amministrativi minimizza limpatto lutilizzo di utenze con privilegi non amministrativi minimizza limpatto E necessaria linterazione dellutente E necessaria linterazione dellutente

MS05-024: Soluzioni alternative Disabilitare la visualizzazione Web in Windows Explorer Disabilitare la visualizzazione Web in Windows Explorer In modo manuale (indicazioni dettagliate nel bollettino) In modo manuale (indicazioni dettagliate nel bollettino) Tramite luso di Group Policy (Criteri di Gruppo) Tramite luso di Group Policy (Criteri di Gruppo) Verificare la disabilitazione delle porte TCP 139 e 445 outbound sui dispositivi di difesa perimetrale Verificare la disabilitazione delle porte TCP 139 e 445 outbound sui dispositivi di difesa perimetrale

Strumenti per il rilevamento MBSA MBSA MS05-024: Ok MS05-024: Ok SUS SUS MS05-024: Ok MS05-024: Ok SMS 2.0 / 2003 SMS 2.0 / 2003 Security Update Inventory Tool: Security Update Inventory Tool: MS05-024: Ok MS05-024: Ok

Strumenti per il deployment SUS SUS MS05-024: Ok MS05-024: Ok SMS SMS É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire la MS É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire la MS05-024

Note di Deployment BulletinRestartUninstall MS05-024YesYes Aggiornamenti sostituiti Aggiornamenti sostituiti nessuno nessuno Informazioni sul restart e la disinstallazione: Informazioni sul restart e la disinstallazione:

MS05-019: Problemi noti Lapplicazione della patch richiesta dal bollettino può causare problemi di connettività di rete Lapplicazione della patch richiesta dal bollettino può causare problemi di connettività di rete Può avvenire in scenari di reti WAN/LAN dove i router e i protocolli di livello data-link hanno diversi MTU (Maximum Transmission Units) Può avvenire in scenari di reti WAN/LAN dove i router e i protocolli di livello data-link hanno diversi MTU (Maximum Transmission Units) Risoluzione: è disponibile una Private hotfix Risoluzione: è disponibile una Private hotfix Maggiori informazioni: Maggiori informazioni: Hotfix: Hotfix: Articolo KB Master: Articolo KB Master:

Microsoft Security Advisory Nuova serie di comunicazioni di sicurezza, ora nella sua fase pilota: Nuova serie di comunicazioni di sicurezza, ora nella sua fase pilota: Supplemento ai Microsoft Security Bulletin Supplemento ai Microsoft Security Bulletin Linee guida e informazioni su modifiche di configurazione e aggiornamenti correlati con gli aspetti di sicurezza Linee guida e informazioni su modifiche di configurazione e aggiornamenti correlati con gli aspetti di sicurezza Indirizza modifiche di sicurezza che: Indirizza modifiche di sicurezza che: non sono classificabili come vulnerabilità non sono classificabili come vulnerabilità potrebbero non richiedere un bollettino di sicurezza potrebbero non richiedere un bollettino di sicurezza I Security Advisory includeranno: I Security Advisory includeranno: una sintesi che descrive la ragione alla base dellemissione delladvisory una sintesi che descrive la ragione alla base dellemissione delladvisory Una sezione di domande frequenti (FAQ) Una sezione di domande frequenti (FAQ) Azioni raccomandate Azioni raccomandate Può essere aggiornato in qualsiasi momento in presenza di nuove informazioni Può essere aggiornato in qualsiasi momento in presenza di nuove informazioni

Microsoft Security Advisory (2) Alcuni esempi di argomenti futuri: Alcuni esempi di argomenti futuri: Miglioramenti di sicurezza di tipo "Defense in Depth" o modifiche non correlate a vulnerabilità Miglioramenti di sicurezza di tipo "Defense in Depth" o modifiche non correlate a vulnerabilità Linee guida e mitigazioni da applicare rispetto a vulnerabilità rese pubbliche Linee guida e mitigazioni da applicare rispetto a vulnerabilità rese pubbliche Ulteriori informazioni: Ulteriori informazioni: Ogni Advisory punta ad un preciso articolo di Knowledge Base per gli approfondimenti di dettaglio Ogni Advisory punta ad un preciso articolo di Knowledge Base per gli approfondimenti di dettaglio Sito principale: Sito principale: Si riceve la notifica se si è iscritti al servizio di Security Notification Service Comprehenisve Version Si riceve la notifica se si è iscritti al servizio di Security Notification Service Comprehenisve Version E possibile fornire feedback utilizzando la caratteristica Contact Us (nella versione inglese) E possibile fornire feedback utilizzando la caratteristica Contact Us (nella versione inglese)

Microsoft Security Advisory (892313): introduzione Default Setting in Windows Media Player Digital Rights Management Could Allow a User to Open a Web Page Without Requesting Permission Default Setting in Windows Media Player Digital Rights Management Could Allow a User to Open a Web Page Without Requesting Permission Scopo dell'advisory: notificare la disponibilità di un aggiornamento che protegge da questo rischio potenziale Scopo dell'advisory: notificare la disponibilità di un aggiornamento che protegge da questo rischio potenziale Stato dell'advisory: l'articolo della Knowledge Base e il relativo aggiornamento sono già stati pubblicati Stato dell'advisory: l'articolo della Knowledge Base e il relativo aggiornamento sono già stati pubblicati Raccomandazione: leggere attentamente l'articolo della Knowledge Base indicato e applicare l'aggiornamento per aumentare la protezione del computer Raccomandazione: leggere attentamente l'articolo della Knowledge Base indicato e applicare l'aggiornamento per aumentare la protezione del computer Software correlato: Windows Media Player 9 e 10 Software correlato: Windows Media Player 9 e 10

Microsoft Security Advisory (892313): Altre informazioni Laggiornamento modifica la modalità di acquisizione automatica delle licenze Laggiornamento modifica la modalità di acquisizione automatica delle licenze Permette agli utenti di specificare se vogliono essere avvisati quando è richiesta una licenza Permette agli utenti di specificare se vogliono essere avvisati quando è richiesta una licenza Larticolo di KB è disponibile al link: Larticolo di KB è disponibile al link:

Microsoft Security Advisory (842851): Introduzione Clarification of the SMTP tar pit feature that is provided for Exchange Server 2003 in Windows Server 2003 Service Pack 1 Clarification of the SMTP tar pit feature that is provided for Exchange Server 2003 in Windows Server 2003 Service Pack 1 Scopo dell'advisory: chiarire lo scopo della funzionalità tar pit. Scopo dell'advisory: chiarire lo scopo della funzionalità tar pit. Stato dell'advisory: sono disponibili un articolo della Knowledge Base e la funzionalità tar pit. Stato dell'advisory: sono disponibili un articolo della Knowledge Base e la funzionalità tar pit. Raccomandazione: esaminare gli interventi consigliati e configurare il sistema in base alle necessità. Raccomandazione: esaminare gli interventi consigliati e configurare il sistema in base alle necessità. Software correlato: Windows Server 2003 ed Exchange Server 2003 Software correlato: Windows Server 2003 ed Exchange Server 2003

Microsoft Security Advisory (842851): Altre informazioni Laggiornamento aiuta a prevenire lenumerazione degli indirizzi della vostra organizzazione Exchange Laggiornamento aiuta a prevenire lenumerazione degli indirizzi della vostra organizzazione Exchange Aggiunge la possibilità di ritardare le risposte di verifica dellindirizzo SMTP per ogni indirizzo invalido Aggiunge la possibilità di ritardare le risposte di verifica dellindirizzo SMTP per ogni indirizzo invalido Larticolo di KB è disponibile al link: Larticolo di KB è disponibile al link:

Malicious Software Removal Tool (Aggiornamento) La quinta emissione del tool aggiunge la capacità di rimozione di altri malware: La quinta emissione del tool aggiunge la capacità di rimozione di altri malware: Varianti di Sdbot, e Ispro/Delprot Varianti di Sdbot, e Ispro/Delprot Come sempre è disponibile: Come sempre è disponibile: Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP Nota: non distribuibile tramite SUS 1.0 Nota: non distribuibile tramite SUS 1.0 Download dal Microsoft Download Center ( Download dal Microsoft Download Center ( Come controllo ActiveX su Come controllo ActiveX su

Malicious Software Removal Tool (2) Nuovi miglioramenti inclusi nella versione di maggio: Nuovi miglioramenti inclusi nella versione di maggio: Si viene avvisati solo se la scansione rileva uninfezione (nel caso di scansione lanciata tramite interazione con Windows Update o Automatic Update) Si viene avvisati solo se la scansione rileva uninfezione (nel caso di scansione lanciata tramite interazione con Windows Update o Automatic Update) Viene operato uno scan veloce iniziale, e se viene rilevata la presenza di malware si opera una scansione completa Viene operato uno scan veloce iniziale, e se viene rilevata la presenza di malware si opera una scansione completa Aggiunta la capacità di rimuovere il malware da file legittimi Aggiunta la capacità di rimuovere il malware da file legittimi Chiede conferma se inviare a Microsoft le informazioni raccolte sulle infezioni Chiede conferma se inviare a Microsoft le informazioni raccolte sulle infezioni

Nuove risorse informative MSN Security Alerts: MSN Security Alerts: Aggiunta una nuova categoria security all MSN Alerts Service: Aggiunta una nuova categoria security all MSN Alerts Service: Security bulletin release notifications Security bulletin release notifications Security incident updates Security incident updates Lutente di MSN Messenger riceve un popup quando è disponibile una nuova informazione Lutente di MSN Messenger riceve un popup quando è disponibile una nuova informazione RSS feed per bollettini di sicurezza a livello consumer: RSS feed per bollettini di sicurezza a livello consumer: MSRC Blog su TechNet: MSRC Blog su TechNet: Introdotto a febbraio in occasione dell RSA Conference Introdotto a febbraio in occasione dell RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet

Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nellarea Technet/Security Preavviso sul web nellarea Technet/Security Invio delle notifiche sui bollettini e advisory Invio delle notifiche sui bollettini e advisory Microsoft Security Notification Service Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin Feed RSS Security Bulletin Feed Ricerca di un bollettino Ricerca di un bollettino Ricerca di un advisory Ricerca di un advisory Webcast di approfondimento Webcast di approfondimento

Risorse utili Sito Sicurezza Sito Sicurezza Inglese Inglese Italiano Italiano Security Guidance Center Security Guidance Center Inglese Inglese Italiano Italiano Security Newsletter Security Newsletter Windows XP Service Pack 2 Windows XP Service Pack Windows Server 2003 Service Pack 1 servicepack/default.mspx Windows Server 2003 Service Pack 1 servicepack/default.mspx servicepack/default.mspx servicepack/default.mspx

Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 giugno 2005) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 giugno 2005) Webcast già erogati: Webcast già erogati: Managing Access in the Extended Enterprise Managing Access in the Extended Enterprise 17 maggio 17 maggio