Approfondimenti sui Microsoft Security Bulletin novembre 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia
Agenda Emissione di Sicurezza di novembre 2005 Bollettini di Sicurezza Nuovi: MS05-053 Ulteriori informazioni sul bollettino MS05-051 di ottobre Aggiornamenti critici di tipo Non-Security Malicious Software Removal Tools di novembre Prossimo supporto S/MIME per le comunicazioni di sicurezza Risorse ed Eventi
Bollettini di Sicurezza novembre 2005 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT Critical MS05-053 Microsoft Windows Remote Code Execution
MS05-053: Introduzione Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Tutte le versioni di Windows attualmente supportate tranne: Windows 98, Windows 98 SE, Windows ME
MS05-053: Analisi di rischio
MS05-053: Analisi di rischio Graphics Rendering Engine Vulnerability - CAN-2005-2123 Unchecked buffer nel rendering dei formati WMF ed EMF Effetti della vulnerabilità: Remote Code Execution Modalità di attacco Eseguibile da remoto: SI Tutte le modalità che inducono alla visualizzazione di una immagine Attacco autenticato: NO Privilegi ottenibili: Local System
MS05-053: Analisi di rischio Windows Metafile Vulnerability - CAN-2005-2124 Unchecked buffer nel rendering del formato WMF Effetti della vulnerabilità: Remote Code Execution Modalità di attacco Eseguibile da remoto: SI Tutte le modalità che inducono alla visualizzazione di una immagine Attacco autenticato: NO Privilegi ottenibili: Local System
MS05-053: Analisi di rischio Enhanced Metafile Vulnerability - CAN-2005-0803 Unchecked buffer nel rendering del formato EMF Effetti della vulnerabilità: Denial of Service Modalità di attacco Eseguibile da remoto: SI Tutte le modalità che inducono alla visualizzazione di una immagine Attacco autenticato: NO Privilegi ottenibili: nessuno (DoS)
MS05-035: Fattori mitiganti Per tutte le 3 vulnerabilità Fattori mitiganti E’ necessario indurre l’utente a visualizzare l’immagine artefatta per realizzare l’attacco Soluzioni alternative Leggere le e-mail in formato solo testo
Strumenti per il rilevamento e il deployment
Note di Deployment Informazioni sul restart, la disinstallazione e le patch sostituite: Bulletin Restart Uninstall Replaces On products MS05-053 Yes MS03-045 MS05-002 Windows XPSP1
Ulteriori informazioni sul bollettino MS05-051 di ottobre Si potrebbero manifestare alcuni malfunzionamenti dopo l’installazione del bollettino MS05-051 Comportamenti inattesi nelle applicazioni che utilizzano oggetti COM Se sono state modificate le Access Control List (ACL) predefinite su %Windir%/Registration La problematica è documentata in Microsoft Security Advisory (909444) Microsoft Knowledge Base Article 909444 Approccio consigliato: Prima assicurarsi che le ACL su %Windir%/Registration corrispondano a quelle indicate nell’articolo KB 909444 Successivamente applicare la patch MS05-051
Emissione di novembre 2005 Aggiornamenti critici Non-Security NUMBER TITLE Distribution KB887624 Windows SharePoint Services Language Template Pack Service Pack 2 WU/MU KB907492 Outlook 2003 Junk E-mail Filter update: November 2005 MU KB907417 Update for Office 2003 L’aggiornamento corregge un potenziale malfunzionamento tale da impedire il caricamento di un “add-in”, uno “smart tag”, o uno “smart document” se questi utilizzano il Microsoft .NET Framework 2.0
Malicious Software Removal Tool (Aggiornamento) La 11a emissione del tool aggiunge la capacità di rimozione di altri malware: Win32/Bugbear Win32/Codbot Win32/Mabutu Win32/Opaserv Win32/Swen Come sempre è disponibile: Come aggiornamento critico su Windows Update e Microsoft Update per gli utenti Windows XP Nota: distribuile tramite WSUS, e NON tramite SUS 1.0 Download dal Microsoft Download Center (www.microsoft.com/downloads) Come controllo ActiveX su www.microsoft.com/malwareremove
Prossimo supporto S/MIME per le comunicazioni di sicurezza A partire dal 2006, Microsoft modificherà da PGP a S/MIME la modalità di firma digitale utilizzata per le comunicazioni di sicurezza: verifica semplificata da parte dei clienti modalità supportata by default su Outlook Express, Microsoft Outlook, e molti altri programmi di posta di terze parti Non vi è alcuna azione richiesta ai clienti in questo momento
Prossimo supporto S/MIME per le comunicazioni di sicurezza (2) Si userà una Microsoft Root Certificate Authority Serial number 00c1008b3c3c8811d13ef663ecdf40 Tale certificato è già presente sui sistemi Windows 2000, Windows XP, Windows Server 2003 (e non deve essere rimosso, come indicato nell’articolo 293781 della Microsoft Knowledge Base) Può essere richiesto al link: https://www.microsoft.com/pki/certs/MicrosoftProductRootAuthority.crt Per ulteriori dettagli su S/MIME: Capitolo 1 della “Exchange Server 2003 Message Security Guide” “Understanding Message Security” http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exmessec.mspx
Nuove risorse informative MSN Security Alerts: Aggiunta una nuova categoria “security” all’ MSN Alerts Service: Security bulletin release notifications Security incident updates L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione www.microsoft.com/security/bulletins/alerts.mspx RSS feed per bollettini di sicurezza a livello consumer: www.microsoft.com/updates MSRC Blog su TechNet: Introdotto a febbraio in occasione dell’ RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet http://blogs.technet.com/msrc
Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettini e advisory http://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS RSS Security Bulletin Feed http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Ricerca di un bollettino www.microsoft.com/technet/security/current.aspx Ricerca di un advisory www.microsoft.com/technet/security/advisory Webcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Risorse utili Security Guidance Center Sito Sicurezza Inglese http://www.microsoft.com/security/default.mspx Italiano http://www.microsoft.com/italy/security/default.mspx Security Guidance Center Inglese www.microsoft.com/security/guidance Italiano www.microsoft.com/italy/security/guidance Security Newsletter www.microsoft.com/technet/security/secnews/default.mspx Windows XP Service Pack 2 www.microsoft.com/technet/winxpsp2 Windows Server 2003 Service Pack 1 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx
Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese: il prossimo si terrà il 16 dicembre http://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspx Microsoft “Security360”: 15 novembre Argomento: Integrating the Edge in Network Security Come far connettere i sistemi non gestiti alla rete aziendale in modo sicuro Soluzioni attuali e future www.microsoft.com/security360