Approfondimenti sui Microsoft Security Bulletin di novembre novembre 2004 Feliciano Intini, CISSP Fabrizio Dal Passo, CISSP Security Advisor Premier Center for Security Microsoft Services – Italia
Agenda Bollettini sulla Sicurezza di novembre 2004: Bollettini sulla Sicurezza di novembre 2004: MS – ISA Server 2000 / Proxy 2.0 MS – ISA Server 2000 / Proxy 2.0 Altre informazioni sulla sicurezza: Altre informazioni sulla sicurezza: Security Bulletin Advance Notification Security Bulletin Advance Notification Microsoft RMS SP1 Beta Microsoft RMS SP1 Beta Patch Management Using Systems Management Server (SMS) 2003 Solution Accelerator v3.0 Patch Management Using Systems Management Server (SMS) 2003 Solution Accelerator v3.0 Risorse ed Eventi Risorse ed Eventi
Bollettini di Sicurezza Novembre 2004 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT ImportantMS04-039Microsoft Internet Security and Acceleration (ISA) Server Spoofing
MS04-039: Introduzione Vulnerability in ISA Server 2000 and Proxy Server 2.0 Could Allow Internet Content Spoofing (888258) Vulnerability in ISA Server 2000 and Proxy Server 2.0 Could Allow Internet Content Spoofing (888258) Effetti della vulnerabilità: Spoofing Effetti della vulnerabilità: Spoofing Livello di gravità massimo: Importante Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Software interessato dalla vulnerabilità: Microsoft Proxy Server 2.0, Microsoft Internet Security and Acceleration Server 2000, Microsoft Small Business Server 2000, Microsoft Small Business Server 2003 Premium Edition Microsoft Proxy Server 2.0, Microsoft Internet Security and Acceleration Server 2000, Microsoft Small Business Server 2000, Microsoft Small Business Server 2003 Premium Edition Aggiornamenti sostituiti: MS solo per Proxy Server 2.0 Aggiornamenti sostituiti: MS solo per Proxy Server 2.0
MS04-039: Comprendere la vulnerabilità Spoofing Vulnerability - CAN Spoofing Vulnerability - CAN Vulnerabilità causata dal metodo usato per il caching dei risultati del reverse lookup. Vulnerabilità causata dal metodo usato per il caching dei risultati del reverse lookup. Modalità di attacco Modalità di attacco eseguibile da remoto eseguibile da remoto Pagina web artefatta e risposta al reverse lookup artefatta, Pagina web artefatta e risposta al reverse lookup artefatta, non richiede autenticazione non richiede autenticazione privilegi ottenibili: non applicabile (Spoofing) privilegi ottenibili: non applicabile (Spoofing) Impatti di un attacco riuscito Impatti di un attacco riuscito Spoofing di contenuti ritenuti affidabili Spoofing di contenuti ritenuti affidabili
MS04-039: Fattori mitiganti Non può essere usata per fare spoof di siti protetti con SSL Non può essere usata per fare spoof di siti protetti con SSL Lattacco non può essere automatizzato Lattacco non può essere automatizzato Lutente deve accedere al contenuto Lutente deve accedere al contenuto Il contenuto deve causare un reverse lookup Il contenuto deve causare un reverse lookup Default Site and Content rule che permette All traffic verso All Destinations non è affetto Default Site and Content rule che permette All traffic verso All Destinations non è affetto Regola generalmente disabilitata come best practice Regola generalmente disabilitata come best practice Non raccomandato Non raccomandato
MS04-39: Soluzioni alternative Impostare la DNS Cache size a zero sulle macchine interessate Impostare la DNS Cache size a zero sulle macchine interessate Rif. Articolo Microsoft Knowledge Base Rif. Articolo Microsoft Knowledge Base
MS04-39: Strumenti per il rilevamento MBSA: MBSA: Non si può usare MBSA per rilevare i sistemi che richiedono la fix MS Non si può usare MBSA per rilevare i sistemi che richiedono la fix MS Rif. articolo Microsoft KB per le informazioni riguardanti i programmi che MBSA attualmente non rileva Rif. articolo Microsoft KB per le informazioni riguardanti i programmi che MBSA attualmente non rileva SUS: SUS: Non si può usare SUS per rilevare i sistemi che richiedono la fix MS Non si può usare SUS per rilevare i sistemi che richiedono la fix MS SMS 2.0 / 2003: SMS 2.0 / 2003: Si può usare linventory di SMS 2003 per rilevare i sistemi che richiedono la fix MS Si può usare linventory di SMS 2003 per rilevare i sistemi che richiedono la fix MS ISA Server 2000: Msphlpr.dll precedente a ISA Server 2000: Msphlpr.dll precedente a Proxy Server 2.0 Service Pack 1: W3pcache.dll, W3proxy.dll e Wspsrv.exe precedente al 28-Ott-2004 GMT Proxy Server 2.0 Service Pack 1: W3pcache.dll, W3proxy.dll e Wspsrv.exe precedente al 28-Ott-2004 GMT
MS04-39: Strumenti per il deployment SUS: SUS: Non è possibile usare SUS per il deployment della fix MS Non è possibile usare SUS per il deployment della fix MS SMS: SMS: Deploy di MS a tutti i sistemi in base alla software inventory Deploy di MS a tutti i sistemi in base alla software inventory How to distribute software updates that are not detected by the MBSA in Systems Management Server How to distribute software updates that are not detected by the MBSA in Systems Management Server 2003 Il restart può essere richiesto per ISA Server; è richiesto per Proxy Server Il restart può essere richiesto per ISA Server; è richiesto per Proxy Server La fix può essere rimossa La fix può essere rimossa
Security Bulletin Advance Notification Iniziativa annunciata al pubblico lo scorso 4 novembre 2004 Iniziativa annunciata al pubblico lo scorso 4 novembre 2004 Si tratta di fornire in anticipo alcune informazioni relative ai rilasci mensili dei bollettini di sicurezza, e in particolare: Si tratta di fornire in anticipo alcune informazioni relative ai rilasci mensili dei bollettini di sicurezza, e in particolare: Numero dei bollettini di sicurezza Numero dei bollettini di sicurezza Livelli di gravità Livelli di gravità Famiglie di prodotto interessate Famiglie di prodotto interessate Lobiettivo è fornire elementi per pianificare adeguatamente limpegno nei piani di aggiornamento Lobiettivo è fornire elementi per pianificare adeguatamente limpegno nei piani di aggiornamento La pubblicazione avverrà 3 giorni lavorativi prima del classico 2° martedì di ogni mese La pubblicazione avverrà 3 giorni lavorativi prima del classico 2° martedì di ogni mese
Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nellarea Technet/Security Preavviso sul web nellarea Technet/Security Invio delle notifiche sui bollettini Invio delle notifiche sui bollettini Microsoft Security Notification Service Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin Feed RSS Security Bulletin Feed Ricerca di un bollettino Ricerca di un bollettino Webcast di approfondimento Webcast di approfondimento
Rights Management Services SP1 Beta Pensata per estendere lutilizzo di RMS in nuovi scenari di business Pensata per estendere lutilizzo di RMS in nuovi scenari di business I miglioramenti di funzionalità previsti nel Service Pack 1 includono: I miglioramenti di funzionalità previsti nel Service Pack 1 includono: Offline server enrollment Offline server enrollment Autenticazione e certificazione più sicura, basata su Smartcard Autenticazione e certificazione più sicura, basata su Smartcard Role-based security semplificata Role-based security semplificata Pianificata per la prima metà del 2005 Pianificata per la prima metà del 2005 Maggiori informazioni: Maggiori informazioni:
Patch Management Using SMS 2003 Solution Accelerator v3.0 Fornisce esempi di script e report per assistere gli amministratori dei sistemi nellautomatizzare il processo di patch management, e in particolare i quattro passi in cui si articola tale processo: Assessing, Identifying, Evaluating and Planning, e Deploying software updates con SMS 2003 Fornisce esempi di script e report per assistere gli amministratori dei sistemi nellautomatizzare il processo di patch management, e in particolare i quattro passi in cui si articola tale processo: Assessing, Identifying, Evaluating and Planning, e Deploying software updates con SMS 2003 La nuova versione si focalizza sui temi seguenti: La nuova versione si focalizza sui temi seguenti: Virtual Server 2005 e Virtual PC 2004 Virtual Server 2005 e Virtual PC 2004 Microsoft SQL Server 2000 Microsoft SQL Server 2000 Dettagli a supporto dellaggiornamento dei componenti Microsoft Office (XP, 2000, 2003) Dettagli a supporto dellaggiornamento dei componenti Microsoft Office (XP, 2000, 2003) Laggiornamento dei sistemi attualmente non supportati da MBSA Laggiornamento dei sistemi attualmente non supportati da MBSA
Risorse utili Sito Sicurezza Sito Sicurezza Inglese Inglese Italiano Italiano Security Guidance Center Security Guidance Center Inglese Inglese Italiano Italiano Security Newsletter efault.mspx Security Newsletter efault.mspx efault.mspx efault.mspx Windows XP Service Pack 2 Windows XP Service Pack 2
Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 dicembre) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 dicembre) Webcast già erogati: Webcast già erogati: Novembre 16 Novembre Social Engineering – The Human Factor Social Engineering – The Human Factor