Approfondimenti sui Microsoft Security Bulletin di settembre settembre 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Premier Center for Security Microsoft Services – Italia

Agenda Bollettini sulla Sicurezza di settembre 2004: MS e MS Bollettini sulla Sicurezza di settembre 2004: MS e MS Introduzione e dettagli sulle vulnerabilità Introduzione e dettagli sulle vulnerabilità Fattori attenuanti e soluzioni alternative Fattori attenuanti e soluzioni alternative Note di deployment Note di deployment Informazioni e risorse utili in ambito sicurezza Informazioni e risorse utili in ambito sicurezza Riferimenti ed Eventi Riferimenti ed Eventi

MS04-027: Introduzione Vulnerability in WordPerfect Converter Could Allow Code Execution (884933) Vulnerability in WordPerfect Converter Could Allow Code Execution (884933) Effetti della vulnerabilità: esecuzione di codice da remoto Effetti della vulnerabilità: esecuzione di codice da remoto Software interessato Software interessato Microsoft Office 2000 Service Pack 3 (Word 2000, FrontPage 2000, Publisher 2000) Microsoft Office 2000 Service Pack 3 (Word 2000, FrontPage 2000, Publisher 2000) Microsoft Office XP Service Pack 3 e Service Pack 2 (Word 2002, FrontPage 2002, Publisher 2002) Microsoft Office XP Service Pack 3 e Service Pack 2 (Word 2002, FrontPage 2002, Publisher 2002) Microsoft Office 2003 (Word 2003, FrontPage 2003, Publisher 2003) Microsoft Office 2003 (Word 2003, FrontPage 2003, Publisher 2003) Microsoft Works Suites 2001, 2002, 2003 & 2004 Microsoft Works Suites 2001, 2002, 2003 & 2004 Componente interessato dallaggiornamento Componente interessato dallaggiornamento Microsoft WordPerfect 5.x converter Microsoft WordPerfect 5.x converter Livello di gravità massimo: Importante Livello di gravità massimo: Importante

MS04-027: Comprendere la Vulnerabilità Consiste in una vulnerabilità di tipo Buffer overrun relativa al componente Wordperfect 5.x converter che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato Consiste in una vulnerabilità di tipo Buffer overrun relativa al componente Wordperfect 5.x converter che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato Modalità di attacco Modalità di attacco eseguibile da remoto eseguibile da remoto navigazione su un sito Web, navigazione su un sito Web, apertura di un allegato di apertura di un allegato di non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato

MS04-027: Fattori attenuanti e soluzioni alternative Fattori attenuanti Fattori attenuanti Lattacco via Web richiede una serie di interazioni con lutente Lattacco via Web richiede una serie di interazioni con lutente Lattacco via richiede lapertura volontaria dellallegato Lattacco via richiede lapertura volontaria dellallegato Least privilege: leventuale attacco ha le credenziali dellutente loggato Least privilege: leventuale attacco ha le credenziali dellutente loggato I documenti in formato WordPerfect 6.x non sono interessati dalla vulnerabilità perchè gestiti da un convertitore diverso I documenti in formato WordPerfect 6.x non sono interessati dalla vulnerabilità perchè gestiti da un convertitore diverso Office 2003 Service Pack 1 non è vulnerabile Office 2003 Service Pack 1 non è vulnerabile Soluzioni alternative Soluzioni alternative Non aprire documenti WordPerfect 5.x Non aprire documenti WordPerfect 5.x Operare la conversione da WordPerfect 5.x a Word, tramite convertitori diversi da quelli interessati dalla vulnerabilità Operare la conversione da WordPerfect 5.x a Word, tramite convertitori diversi da quelli interessati dalla vulnerabilità Far salvare il documento WordPerfect 5.x in un formato diverso Far salvare il documento WordPerfect 5.x in un formato diverso

MS04-027: Strumenti per il rilevamento e il deployment MBSA 1.2 MBSA 1.2 Rileva gli aggiornamenti per i prodotti Office (solo scan locale) Rileva gli aggiornamenti per i prodotti Office (solo scan locale) SUS non può essere utilizzato SUS non può essere utilizzato SMS 2.0 / 2003: SMS 2.0 / 2003: SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare e aggiornare i prodotti della famiglia Office SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare e aggiornare i prodotti della famiglia Office Windows Installer Windows Installer Per i prodotti Office si può aggiornare lAdministrative Install Point per poi aggiornare i client Per i prodotti Office si può aggiornare lAdministrative Install Point per poi aggiornare i client Install a Public Update to Administrative Installations of Office XP Install a Public Update to Administrative Installations of Office XP

MS04-027: Altre note per il deployment Office XP: Office XP: laggiornamento client (binary patch) è disponibile solo per Office XP SP3 laggiornamento client (binary patch) è disponibile solo per Office XP SP3 laggiornamento amministrativo (full-file patch) è disponibile sia per Office XP SP3 che per Office XP SP2 laggiornamento amministrativo (full-file patch) è disponibile sia per Office XP SP3 che per Office XP SP2 Restart: non necessario Restart: non necessario Patch non disinstallabile Patch non disinstallabile

MS04-028: Introduzione Buffer Overrun in JPEG Processing Could Allow Code Execution (833987) Buffer Overrun in JPEG Processing Could Allow Code Execution (833987) Effetti della vulnerabilità: esecuzione di codice da remoto Effetti della vulnerabilità: esecuzione di codice da remoto Livello di gravità massimo: Critico Livello di gravità massimo: Critico Software interessato : Software interessato : Microsoft Windows: Microsoft Windows: Windows XP, Windows XP SP1 e Windows XP 64-Bit SP1 Windows XP, Windows XP SP1 e Windows XP 64-Bit SP1 Windows Server 2003 e Windows Server Bit Windows Server 2003 e Windows Server Bit Microsoft Office: Microsoft Office: Office XP SP3/SP2, Office 2003 e prodotti inclusi Office XP SP3/SP2, Office 2003 e prodotti inclusi Project 2002 SP1, Project 2003 Project 2002 SP1, Project 2003 Visio 2002 SP2, Visio 2003 Visio 2002 SP2, Visio 2003

MS04-028: Introduzione (2) Software interessato (continua ): Software interessato (continua ): Microsoft Development Environments and Tools: Microsoft Development Environments and Tools: Visual Studio.NET 2002 e 2003 (e relativi prodotti inclusi) Visual Studio.NET 2002 e 2003 (e relativi prodotti inclusi) Microsoft Platform SDK Redistributable: GDI+, Microsoft Platform SDK Redistributable: GDI+, Microsoft.NET Framework, Version 1.0 SDK Microsoft.NET Framework, Version 1.0 SDK Microsoft Home: Microsoft Home: Microsoft Picture It! versione 2002, 9 e 7.0 Microsoft Picture It! versione 2002, 9 e 7.0 Nota: Può essere installato come opzione durante linstallazione di MSN 9 Nota: Può essere installato come opzione durante linstallazione di MSN 9 Microsoft Greetings 2002 Microsoft Greetings 2002 Microsoft Digital Image Pro versioni 7.0 e 9 Microsoft Digital Image Pro versioni 7.0 e 9 Microsoft Digital Image Suite versione 9 Microsoft Digital Image Suite versione 9 Microsoft Producer for Microsoft Office PowerPoint Microsoft Producer for Microsoft Office PowerPoint Componenti interessati : Componenti interessati : Internet Explorer 6 Service Pack 1 Internet Explorer 6 Service Pack 1 Microsoft.NET Framework, Versione 1.0 Service Pack 2 Microsoft.NET Framework, Versione 1.0 Service Pack 2 Microsoft.NET Framework, Versione 1.1 Microsoft.NET Framework, Versione 1.1

MS04-028: Introduzione (3) Perché tanti prodotti interessati? Perché tanti prodotti interessati? GDI + è incluso nel sistema operativo di Windows XP e Windows Server 2003 GDI + è incluso nel sistema operativo di Windows XP e Windows Server 2003 I prodotti Office (inclusi Project e Visio) utilizzano una propria copia di GDI+ I prodotti Office (inclusi Project e Visio) utilizzano una propria copia di GDI+ Le applicazioni possono utilizzare una propria copia di GDI+ Le applicazioni possono utilizzare una propria copia di GDI+ GDI+ è inclusa negli strumenti di sviluppo Microsoft GDI+ è inclusa negli strumenti di sviluppo Microsoft GDI+ può rappresentare un componente distribuito in applicazioni realizzate tramite gli strumenti di sviluppo Microsoft GDI+ può rappresentare un componente distribuito in applicazioni realizzate tramite gli strumenti di sviluppo Microsoft

MS04-028: Comprendere la Vulnerabilità Consiste in una vulnerabilità di tipo Buffer overrun relativa alla visualizzazione di immagini JPEG che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato. Consiste in una vulnerabilità di tipo Buffer overrun relativa alla visualizzazione di immagini JPEG che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dellutente loggato. Modalità di attacco Modalità di attacco eseguibile da remoto eseguibile da remoto navigazione su un sito Web, navigazione su un sito Web, ogni possibile azione che preveda la visualizzazione di immagini JPEG ogni possibile azione che preveda la visualizzazione di immagini JPEG non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato

MS04-028: Fattori attenuanti e soluzioni alternative Fattori attenuanti Fattori attenuanti Least privilege: leventuale attacco ha le credenziali dellutente loggato. Least privilege: leventuale attacco ha le credenziali dellutente loggato. Windows XP SP2 e Office 2003 SP1 non sono interessati dalla vulnerabilità. Windows XP SP2 e Office 2003 SP1 non sono interessati dalla vulnerabilità. Soluzioni alternative Soluzioni alternative Leggere le in formato solo testo per mitigare il rischio nei confronti di HTML con immagini JPEG (attenzione allallegato) Leggere le in formato solo testo per mitigare il rischio nei confronti di HTML con immagini JPEG (attenzione allallegato) Outlook 2003: funzionalità nativa Outlook 2003: funzionalità nativa Outlook 2002: a partire dal SP1 (articolo ) Outlook 2002: a partire dal SP1 (articolo ) Outlook Express 6: con SP1 (articolo ) Outlook Express 6: con SP1 (articolo )

MS04-028: Scenari di aggiornamento Windows XP SP1/Gold e Windows Server 2003 Windows XP SP1/Gold e Windows Server 2003 Necessario laggiornamento per il SO Necessario laggiornamento per il SO Se presenti Se presenti Office, Project e Visio (nelle versioni vulnerabili) Office, Project e Visio (nelle versioni vulnerabili) Allora bisogna installare anche la patch relativa ad ogni prodotto vulnerabile Allora bisogna installare anche la patch relativa ad ogni prodotto vulnerabile Se presenti Se presenti VS.NET 2002/2003,.NET FW 1.0 SDK e Platform SDK VS.NET 2002/2003,.NET FW 1.0 SDK e Platform SDK per creare apps che redistribuiscono la GDI+ per creare apps che redistribuiscono la GDI+ Allora bisogna installare anche la patch relativa ad ogni prodotto vulnerabile Allora bisogna installare anche la patch relativa ad ogni prodotto vulnerabile Per gli altri prodotti vulnerabili: Per gli altri prodotti vulnerabili: usano la GDI+ del Sistema Operativo usano la GDI+ del Sistema Operativo NON necessitano di essere aggiornati NON necessitano di essere aggiornati

MS04-028: Scenari di aggiornamento (2) Windows XP SP2 Windows XP SP2 differisce dallo scenario precedente solo per il fatto che NON è necessario laggiornamento per il Sistema Oerativo differisce dallo scenario precedente solo per il fatto che NON è necessario laggiornamento per il Sistema Oerativo Windows 2000 / Windows NT 4.0 / Windows 98 / 98SE / ME Windows 2000 / Windows NT 4.0 / Windows 98 / 98SE / ME Non hanno la propria GDI+ Non hanno la propria GDI+ E necessario installare la patch relativa ad ogni prodotto vulnerabile presente sul sistema E necessario installare la patch relativa ad ogni prodotto vulnerabile presente sul sistema

MS04-028: Strumenti per il rilevamento MBSA 1.2 MBSA 1.2 Rileva gli aggiornamenti per: Rileva gli aggiornamenti per: Windows XP e Windows Server 2003 (*) Windows XP e Windows Server 2003 (*) Office (solo scan locale) Office (solo scan locale) Project (solo scan locale) Project (solo scan locale) Visio (solo scan locale) Visio (solo scan locale) NON rileva gli aggiornamenti per: NON rileva gli aggiornamenti per: Microsoft Visual Studio.NET 2002/2003 Microsoft Visual Studio.NET 2002/2003.Net Framework 1.0/1.1.Net Framework 1.0/1.1 PictureIT, Greetings, Digital Image PictureIT, Greetings, Digital Image Microsoft Producer for Office Powerpoint Microsoft Producer for Office Powerpoint Platform SDK Redistributable:GDI+ Platform SDK Redistributable:GDI+ Internet Explorer 6.0 SP1 Internet Explorer 6.0 SP1 NOTA (*): MBSA non rileva la necessità dellaggiornamento: viene solo prodotto un messaggio di warning. NOTA (*): MBSA non rileva la necessità dellaggiornamento: viene solo prodotto un messaggio di warning.

MS04-028: Strumenti per il rilevamento (2) WindowsUpdate WindowsUpdate offre gli aggiornamenti per: Windows XP, Windows Server 2003 Windows XP, Windows Server 2003 Internet Explorer 6.0 SP1 Internet Explorer 6.0 SP1.Net Framework 1.0 SP2 (offre la SP3).Net Framework 1.0 SP2 (offre la SP3).Net Framework 1.1 (offre la SP1).Net Framework 1.1 (offre la SP1) OfficeUpdate OfficeUpdate offre gli aggiornamenti per: Office 2003, Office XP SP3 Project 2002 SP1, Project 2003 Visio 2002 SP2, Visio 2003

MS04-028: Strumenti per il rilevamento (4) SUS: SUS: Il SUS Client (l Automatic Updates Client) può solo rilevare automaticamente la necessità di aggiornare: Il SUS Client (l Automatic Updates Client) può solo rilevare automaticamente la necessità di aggiornare: Windows XP, Windows Server 2003 e IE 6 SP1 Windows XP, Windows Server 2003 e IE 6 SP1 SMS 2.0 / 2003: SMS 2.0 / 2003: SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare i prodotti della famiglia Office SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare i prodotti della famiglia Office Office XP/2003, Project 2002/2003, Visio 2002/2003 Office XP/2003, Project 2002/2003, Visio 2002/2003 Utilizzare la Software Inventory per rilevare la necessità di aggiornare gli altri prodotti Utilizzare la Software Inventory per rilevare la necessità di aggiornare gli altri prodotti Maggiori informazioni nellarticolo Maggiori informazioni nellarticolo

MS04-028: Strumenti per il rilevamento (5) GDI+ Detection Tool: GDI+ Detection Tool: Rivolto ai clienti consumer Rivolto ai clienti consumer E disponibile sia su Windows Update che sul Microsoft Download Center E disponibile sia su Windows Update che sul Microsoft Download Center Offerto ai clienti che hanno abilitato lAutomatic Update Offerto ai clienti che hanno abilitato lAutomatic Update Descritto nellarticolo Descritto nellarticolo Come opera il tool: Come opera il tool: Scansione per rilevare i prodotti potenzialmente vulnerabili diversi dal SO Scansione per rilevare i prodotti potenzialmente vulnerabili diversi dal SO Fa puntare i clienti ad una pagina web che indica i passi necessari per ottenere gli aggiornamenti richiesti: Fa puntare i clienti ad una pagina web che indica i passi necessari per ottenere gli aggiornamenti richiesti: Windows Update per gli aggiornamenti Windows Windows Update per gli aggiornamenti Windows Office Update per gli aggiornamenti Office Office Update per gli aggiornamenti Office Esegue un ActiveX per rilevare la presenza di altri prodotti potenzialmente vulnerabili Esegue un ActiveX per rilevare la presenza di altri prodotti potenzialmente vulnerabili

MS04-028: Strumenti per il deployment SUS SUS Permette di aggiornare i sistemi che è in grado di rilevare Permette di aggiornare i sistemi che è in grado di rilevare SMS 2.0 / 2003 SMS 2.0 / 2003 Permettono di aggiornare tutti i sistemi Permettono di aggiornare tutti i sistemi Windows Installer Windows Installer Per i prodotti Office si può aggiornare lAdministrative Install Point per poi aggiornare i client Per i prodotti Office si può aggiornare lAdministrative Install Point per poi aggiornare i client Install a Public Update to Administrative Installations of Office XP Install a Public Update to Administrative Installations of Office XP I restart dipendono dalle situazioni e la possibilità di disinstallare dai prodotti I restart dipendono dalle situazioni e la possibilità di disinstallare dai prodotti

Security Tools: MBSA v1.2.1 Versione rilasciata in agosto Versione rilasciata in agosto Nuove caratteristiche rispetto alla v. 1.2: Nuove caratteristiche rispetto alla v. 1.2: Supporto per le nuove caratteristiche di sicurezza di Windows XP Service Pack 2 Supporto per le nuove caratteristiche di sicurezza di Windows XP Service Pack 2 Guida più chiara per localizzare gli aggiornamenti necessari e le azioni di rafforzamento Guida più chiara per localizzare gli aggiornamenti necessari e le azioni di rafforzamento La scansione effettuata su MBSA 1.2 su un sistema connesso ad Internet segnalerà la possibilità di operare laggiornamento La scansione effettuata su MBSA 1.2 su un sistema connesso ad Internet segnalerà la possibilità di operare laggiornamento Nota: gli utilizzatori di SMS non hanno bisogno di aggiornare lengine a MBSA Nota: gli utilizzatori di SMS non hanno bisogno di aggiornare lengine a MBSA

Windows XP SP2 Update Automatic Update Blocking Mechanism E stata prorogata la data dopo la quale verrebbe forzata linstallazione del Service Pack 2 di Windows XP da parte di Automatic Updates (AU) e Windows Update (WU) anche in presenza dellimpostazione di registry che permette di bloccarla E stata prorogata la data dopo la quale verrebbe forzata linstallazione del Service Pack 2 di Windows XP da parte di Automatic Updates (AU) e Windows Update (WU) anche in presenza dellimpostazione di registry che permette di bloccarla In seguito al feedback dei clienti In seguito al feedback dei clienti Permette una finestra temporale più ampia per operare il testing Permette una finestra temporale più ampia per operare il testing AU e WU terranno conto dellimpostazione di blocco dellaggiornamento fino a martedì 12 Aprile 2005 AU e WU terranno conto dellimpostazione di blocco dellaggiornamento fino a martedì 12 Aprile 2005 Note: rappresenta anche il giorno dellemissione di aprile dei bollettini di sicurezza Note: rappresenta anche il giorno dellemissione di aprile dei bollettini di sicurezza

Windows XP SP2 Update Blocking Mechanism Resources Strumenti a disposizione: Strumenti a disposizione: File ADM per controllare la chiave di registry tramite Group Policy File ADM per controllare la chiave di registry tramite Group Policy Eseguibile firmato da Microsoft che imposta localmente la chiave di registry Eseguibile firmato da Microsoft che imposta localmente la chiave di registry Script file per impostare la chiave di registry da remoto Script file per impostare la chiave di registry da remoto Messaggio per far puntare gli utenti ad uno script presente su Microsoft.com Messaggio per far puntare gli utenti ad uno script presente su Microsoft.com Script e documentazione disponibili su TechNet Script e documentazione disponibili su TechNet

Documenti sulla sicurezza: aggiornamenti Windows XP Security Guide v2.0 (1° settembre 2004) Windows XP Security Guide v2.0 (1° settembre 2004) Aggiunta lAppendice A relativa a Windows XP SP2, per descrivere le sue caratteristiche e le impostazioni raccomandate Aggiunta lAppendice A relativa a Windows XP SP2, per descrivere le sue caratteristiche e le impostazioni raccomandate p/xpsgapa.mspx p/xpsgapa.mspx p/xpsgapa.mspx p/xpsgapa.mspx Antivirus Defense-in-Depth Guide (25 August 2004) Antivirus Defense-in-Depth Guide (25 August 2004) Aggiornata per descrivere i miglioramenti di sicurezza inclusi nel SP2 di Windows XP Aggiornata per descrivere i miglioramenti di sicurezza inclusi nel SP2 di Windows XP Altra documentazione: Altra documentazione:

Risorse Utili ed Eventi Sito Sicurezza italiano Sito Sicurezza italiano Registratevi alla Security Newsletter Registratevi alla Security Newsletter Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 15 ottobre) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 15 ottobre) Webcast già erogati: Webcast già erogati: