Approfondimenti sui Microsoft Security Bulletin di maggio 2004 14 maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services.

Slides:



Advertisements
Presentazioni simili
3/25/2017 3:51 AM TechNet Security Workshop per la PMI Come rendere sicura l'infrastruttura IT di una Piccola e Media Impresa Marco Agnoli Responsabile.
Advertisements

Modulo 1 – Ambiente di lavoro Windows 7
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
Francesco Cristofoli Microsoft Italia
ISA Server 2004 Configurazione di Accessi via VPN
Approfondimenti sui Microsoft Security Bulletin di aprile aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services –
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Microsoft Partner Program
| | Microsoft Certificate Lifecycle Manager.
Approfondimenti sui Microsoft Security Bulletin di ottobre ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security.
Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services.
Approfondimenti sui Microsoft Security Bulletin di settembre settembre 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Premier Center.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
Strumenti di sviluppo Microsoft Campagna incentivi per Software Assurance Opportunità di vendita.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
LA SICUREZZA INFORMATICA
La sicurezza nel mondo Social Network dei
Organizzazione di una rete Windows 2003
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Architettura del World Wide Web
CAPITOLO 2 INTRODUZIONE AL LINGUAGGIO JAVA E ALL'AMBIENTE HOTJAVA.
Intervento Microsoft Rischi e minacce su Internet
ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.
Il nostro computer navigando su Internet è molto esposto a rischio di virus, spyware o hacker che minacciano lintegrità dei nostri dati. Proteggere il.
SICUREZZA INFORMATICA
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Guida IIS 6 A cura di Nicola Del Re.
Modulo 1 - Hardware u.d. 3 (syllabus – 1.3.5)
Riservato Cisco 1 © 2010 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati.
MetodoEvolus Evolvere nella continuità. Certificazione Windows 7 logo Nuova procedura di setup Certificazione SQL 2008 R1 Consolle di produzione.
Calendario eventi sanitari Convocazione tramite SMS
Gestimp IV Il pacchetto software GESTIMP© di Isea S.r.l., di seguito indicato con GESTIMP©, permette di gestire la supervisione e la telegestione di impianti.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
L’applicazione integrata per la gestione proattiva delle reti IT
BROKER SERVER Progetto di Ingegneria del Web 2008 Alessio Bianchi Andrea Gambitta Giuseppe Siracusano.
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Corso Rapido Sicurezza Web
Corso Rapido Sicurezza Web STELMILIT Ufficio TLC Sezione Reti TLC C° 1^ ETE Matteo Cannito.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Un problema importante
Approfondimenti sui Microsoft Security Bulletin ottobre 2005
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
IPSec Fabrizio Grossi.
Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Nuovo Licensing e Pacchettizzazione dei prodotti
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Francesco M. Taurino 1 NESSUS IL Security Scanner.
Strategie di protezione applicate Fabrizio Grossi.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
UNITA’ 02 Malware.
Approfondimenti sui Microsoft Security Bulletin luglio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia.
IT SECURITY Malware.
Sicurezza e attacchi informatici
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
I sistemi operativi Funzioni principali e caratteristiche.
NEWS 2015 MyCompany Presentazione. MyCompany Supervisione di tutti gli Impianti registarti nel Cloud Creazione di Offerte personalizzate con il proprio.
Interazione Persona Computer prova di progetto Gruppo: IO Componenti: Carlo Solimando Sito analizzato:
Virus informatici Samuele Mazzoli 1B 2014/2015. indice I virus informatici Come fare per proteggersi Come si classificano Componenti dei virus Chi crea.
Transcript della presentazione:

Approfondimenti sui Microsoft Security Bulletin di maggio maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services – Italia

Agenda Security Bulletin di maggio 2004: Security Bulletin di maggio 2004: MS : Help & Support Center - Importante MS : Help & Support Center - Importante Bollettini riemessi Bollettini riemessi MS e MS MS e MS Informazioni sul worm Sasser Informazioni sul worm Sasser Risorse utili ed Eventi Risorse utili ed Eventi

MS04-015: Introduzione Una vulnerabilità in Guida in linea e supporto tecnico potrebbe consentire l'esecuzione di codice in modalità remota (840374) Una vulnerabilità in Guida in linea e supporto tecnico potrebbe consentire l'esecuzione di codice in modalità remota (840374) Effetti della vulnerabilità: esecuzione di codice in modalità remota Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Software interessato Windows XP, Windows Server 2003 Windows XP, Windows Server 2003 Livello di gravità: Importante Livello di gravità: Importante

MS04-015: Comprendere le Vulnerabilità E un problema nella gestione degli URL HCP E un problema nella gestione degli URL HCP Modalità di attacco Modalità di attacco uso di URL HCP malformati in una pagina HTML uso di URL HCP malformati in una pagina HTML far visualizzare la pagina HTML nel browser o in una HTML far visualizzare la pagina HTML nel browser o in una HTML indurre al click sullURL HCP indurre al click sullURL HCP Analisi di rischio: Analisi di rischio: eseguibile da remoto (mail HTML, Sito Web) eseguibile da remoto (mail HTML, Sito Web) non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato NOTA: la vulnerabilità non può essere sfruttata per realizzare un worm NOTA: la vulnerabilità non può essere sfruttata per realizzare un worm

MS04-015: Fattori attenuanti Fattori attenuanti Fattori attenuanti Nellattacco Web-based è necessario adescare la vittima a navigare sul sito Web pericoloso (tramite click esplicito su un link) Nellattacco Web-based è necessario adescare la vittima a navigare sul sito Web pericoloso (tramite click esplicito su un link) Luso di versioni di Outlook che leggono le e- mail nella zona Restricted Sites può aiutare ad ostacolare i tentativi di attacco Luso di versioni di Outlook che leggono le e- mail nella zona Restricted Sites può aiutare ad ostacolare i tentativi di attacco E necessario che la vittima risponda alla richiesta di effettuare diverse operazioni E necessario che la vittima risponda alla richiesta di effettuare diverse operazioni Si ottengono solo i privilegi dellutente loggato (quindi applicare il principio del Least Privilege dove possibile) Si ottengono solo i privilegi dellutente loggato (quindi applicare il principio del Least Privilege dove possibile)

MS04-015: Soluzioni alternative Rimuovere la registrazione del protocollo HCP Rimuovere la registrazione del protocollo HCP Cancellare la chiave di registry HKEY_CLASSES_ROOT\HCP Cancellare la chiave di registry HKEY_CLASSES_ROOT\HCP Impatto: non funzionano più i link di help che utilizzano il protocollo hcp:// Impatto: non funzionano più i link di help che utilizzano il protocollo hcp://

MS04-015: Modifiche di funzionalità Rimozione dellaggiornamento automatico dei driver DVD Rimozione dellaggiornamento automatico dei driver DVD In attesa di una funzionalità più sicura si riceve lerrore Impossibile visualizzare questa pagina In attesa di una funzionalità più sicura si riceve lerrore Impossibile visualizzare questa pagina Funzionalità utilizzata principalmente sulle versioni OEM dotate di driver non aggiornati Funzionalità utilizzata principalmente sulle versioni OEM dotate di driver non aggiornati Rimozione dellinvio di informazioni richiesto al termine di Installazione Guidata Nuovo Hardware Rimozione dellinvio di informazioni richiesto al termine di Installazione Guidata Nuovo Hardware Al termine della procedura guidata si riceve lerrore Impossibile visualizzare questa pagina Al termine della procedura guidata si riceve lerrore Impossibile visualizzare questa pagina

MS04-015: Note sulla patch Rilevamento: Rilevamento: MBSA 1.2 (non possibile con MBSA 1.1.1) MBSA 1.2 (non possibile con MBSA 1.1.1) Deployment: SUS/SMS Deployment: SUS/SMS Reboot: No (a meno che i servizi siano in uso o non si riescano a stoppare) Reboot: No (a meno che i servizi siano in uso o non si riescano a stoppare) Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì Nota: laggiornamento richiede che il servizio Help & Support Center non sia disabilitato Nota: laggiornamento richiede che il servizio Help & Support Center non sia disabilitato La patch NON sostituisce la correzione per lanaloga vulnerabilità (stesso componente) di MS La patch NON sostituisce la correzione per lanaloga vulnerabilità (stesso componente) di MS04-011

Security Bulletin riemessi MS Jet database MS Jet database Motivo della riemissione Motivo della riemissione La patch per Windows XP (solo RTM) in italiano causava la visualizzazione di messaggi di errore Jet in inglese. La patch per Windows XP (solo RTM) in italiano causava la visualizzazione di messaggi di errore Jet in inglese. Windows Update non propone la nuova patch se non si rimuove la precedente versione Windows Update non propone la nuova patch se non si rimuove la precedente versione MS MS Motivo della riemissione Motivo della riemissione annunciare la disponibilità di un nuovo aggiornamento per Windows NT 4.0 Terminal Server annunciare la disponibilità di un nuovo aggiornamento per Windows NT 4.0 Terminal Server

Informazioni sul worm Sasser Sfrutta la vulnerabilità di LSASS corretta dallaggiornamento MS Sfrutta la vulnerabilità di LSASS corretta dallaggiornamento MS Windows XP/Windows 2000: Critica Windows XP/Windows 2000: Critica Windows Server 2003: Bassa Windows Server 2003: Bassa Software interessati dal worm: Software interessati dal worm: Windows XP e Windows 2000 Windows XP e Windows 2000 Porta utilizzata per lattacco: TCP 445 Porta utilizzata per lattacco: TCP 445 Sintomi di infezione possibili: Sintomi di infezione possibili: errori/crash di Lsass errori/crash di Lsass riavvio del sistema riavvio del sistema

Sasser: Prevenzione Aggiornamento con MS Aggiornamento con MS Blocco della porta TCP 445 Blocco della porta TCP 445 sui firewall perimetrali e di segmentazione sui firewall perimetrali e di segmentazione Per ISA Server sono disponibili script (su per il blocco di traffico Sasser in ingresso e in uscita Per ISA Server sono disponibili script (su per il blocco di traffico Sasser in ingresso e in uscita su sistemi stessi su sistemi stessi Windows XP Internet Connection Firewall abilitato difende by-default Windows XP Internet Connection Firewall abilitato difende by-default filtri IPSEC – TCP/IP filtering filtri IPSEC – TCP/IP filtering

Sasser: Recovery Aggiornamento con MS Aggiornamento con MS in assenza di patch la reinfezione è assicurata in assenza di patch la reinfezione è assicurata Utilizzare il cleaner tool per rimuovere le 5 varianti del worm Utilizzare il cleaner tool per rimuovere le 5 varianti del worm Il crash di LSASS e il conseguente riavvio può rendere difficoltoso il rispristino del sistema Il crash di LSASS e il conseguente riavvio può rendere difficoltoso il rispristino del sistema Su Windows XP bloccare il riavvio con il comando shutdown –a Su Windows XP bloccare il riavvio con il comando shutdown –a La presenza di un file dcpromo.log di tipo read-only in %systemroot%\debug impedisce sia lo sfruttamento della vulnerabilità che il riavvio del sistema La presenza di un file dcpromo.log di tipo read-only in %systemroot%\debug impedisce sia lo sfruttamento della vulnerabilità che il riavvio del sistema Killare i processi del worm (diversi a seconda delle varianti) tramite task manager Killare i processi del worm (diversi a seconda delle varianti) tramite task manager

Sasser: risorse utili Come proteggersi dal worm Sasser e dalle sue varianti Come proteggersi dal worm Sasser e dalle sue varianti Sono presenti i puntatori a Sono presenti i puntatori a Download del cleaner tool per la rimozione automatica del worm Download del cleaner tool per la rimozione automatica del worm Istruzioni manuali di rimozione per le due piattaforme interessate Istruzioni manuali di rimozione per le due piattaforme interessate Link al bollettino MS Link al bollettino MS Link ai vendor Antivirus Link ai vendor Antivirus il Sasser Cleaner Tool (v.4) il Sasser Cleaner Tool (v.4) rimuove le 5 varianti del worm (A-F) rimuove le 5 varianti del worm (A-F) è disponibile anche in versione online su è disponibile anche in versione online su Offerto su WindowsUpdate se si rileva che il computer è infetto Offerto su WindowsUpdate se si rileva che il computer è infetto

Informazioni su MBSA MBSA non più supportato MBSA non più supportato dal 20 aprile 2004, il file mssecure.xml relativo non viene più aggiornato dal 20 aprile 2004, il file mssecure.xml relativo non viene più aggiornato Bollettini di maggio non rilevati Bollettini di maggio non rilevati lanciando MBSA da GUI e da riga di comando (mbsacli) la scansione viene interrotta e viene segnalata la disponibilità della versione MBSA 1.2 lanciando MBSA da GUI e da riga di comando (mbsacli) la scansione viene interrotta e viene segnalata la disponibilità della versione MBSA 1.2 lanciando mbsacli /hf, come anche utilizzando SMS 2.0 SUS FP ed SMS 2003, la scansione è incompleta e non viene segnalato lerrore lanciando mbsacli /hf, come anche utilizzando SMS 2.0 SUS FP ed SMS 2003, la scansione è incompleta e non viene segnalato lerrore Per SMS 2.0 SUS FP ed SMS 2003 recuperare gli aggiornamenti: Per SMS 2.0 SUS FP ed SMS 2003 recuperare gli aggiornamenti:

Risorse Utili Sito Sicurezza italiano Sito Sicurezza italiano Registratevi alla Security Newsletter Registratevi alla Security Newsletter t.asp t.asp t.asp t.aspNew! Microsoft Security Notification Service: Comprehensive Version Microsoft Security Notification Service: Comprehensive Version vi permette di ricevere la notifica di tutte le variazioni di versione apportate ai bollettini di sicurezza vi permette di ricevere la notifica di tutte le variazioni di versione apportate ai bollettini di sicurezza Modificate il vostro profilo Passport iscrivendovi alla newsletter con il titolo indicato Modificate il vostro profilo Passport iscrivendovi alla newsletter con il titolo indicato

Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11/06) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11/06)