Approfondimenti sui Microsoft Security Bulletin luglio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia
Agenda Emissione di Sicurezza di luglio 2005 Bollettini di Sicurezza Nuovi: MS05-035/MS Riemessi: MS Aggiornamenti critici di tipo Non-Security Malicious Software Removal Tools di luglio Risorse ed Eventi
MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT CriticalMS Microsoft Office Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution CriticalMS Microsoft Windows Remote Code Execution Emissione di Sicurezza luglio 2005
MS05-035: Introduzione Vulnerability in Microsoft Word Could Allow Remote Code Execution (903672) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Word 2000 & 2002, Works Suites
MS05-035: Analisi di rischio Font Parsing Vulnerability CAN Unchecked buffer nella gestione dei font Effetti della vulnerabilità: Remote Code Execution Modalità di attacco Eseguibile da remoto: SI Apertura di un documento Word Attacco autenticato: NO Privilegi ottenibili: Utente loggato
MS05-035: Fattori mitiganti Fattori mitiganti l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato L’attacco non può essere automatizzato. Per essere attaccati tramite è necessario aprire l’allegato.doc Soluzioni alternative Non aprire allegati ricevuti da fonti non attendibili
MS05-036: Introduzione Vulnerability in Microsoft Color Management Module Could Allow Remote Code Execution (901214) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Tutte le versioni di Windows attualmente supportate Ricordarsi che Windows 2000 SP3 è fuori supporto dal 30 giugno 2005 Windows 98, 98SE, ME non sono interessati in modo critico >> no patch
MS05-036: Analisi di rischio Color Management Module Vulnerability - CAN Unchecked buffer nel modulo CMM Effetti della vulnerabilità: Remote Code Execution Modalità di attacco Eseguibile da remoto: SI qualsiasi metodo che induce la visualizzazione di un’immagine Attacco autenticato: NO Privilegi ottenibili: Utente loggato
MS05-036: Fattori mitiganti Fattori mitiganti l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso Soluzioni alternative Nessuna
MS05-037: Introduzione Vulnerability in JView Profiler Could Allow Remote Code Execution (903235) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Tutte le versioni di Windows (ed Internet Explorer) attualmente supportate IE 5.01 SP4 su Windows 2000 SP4 IE 5.5 SP2 su Windows ME IE 6.0 SP1 su Windows 2000 SP4 e Windows XP SP1 IE 6.0 su Windows XP SP2 IE 6.0 su Windows Server 2003 Gold/SP1
MS05-037: Analisi di rischio JView Profiler Vulnerability - CAN Corruzione di memoria nel caricamento della Javaprxy.dll in Internet Explorer Effetti della vulnerabilità: Remote Code Execution Modalità di attacco Eseguibile da remoto: SI Pagina HTML su web o via Attacco autenticato: NO Privilegi ottenibili: Utente loggato
MS05-037: Fattori mitiganti l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato la Microsoft JVM non è presente su Windows XP SP1a/SP2 o Windows Server 2003 Gold/SP1 ma potrebbe essere presente a seguito di upgrade o di installazione diretta
MS05-037: Soluzioni alternative Configurare IE per il prompt degli ActiveX Deregistrare l’oggetto COM javaprxy.dll Modificare le ACL su javaprxy.dll Limitare l’esecuzione della javaprxy.dll tramite le Software Retriction Policy Rimuovere la Microsoft JVM
Bollettini di luglio 2005 Riemissioni BULLETIN NUMBER PRODUCTS AFFECTED (re- release only) REASONRECOMMENDATION MS Microsoft Windows Services for UNIX 2.0 & 2.1 Microsoft Windows Services for UNIX 2.0 & 2.1 sono stati riconosciuti interessati dalla vulnerabilità. I clienti forniti di Microsoft Windows Services for UNIX 2.0 & 2.1 dovrebbero aggiornare i sistemi
Strumenti per il rilevamento MBSA MBSA 2.0: MS (Word 2002) - MS e MS MBSA 1.2.1: MS (local scan) - MS e MS EST MS WSUS MS (Word 2002) - MS e MS SUS MS e MS SMS 2.0 / 2003 Security Update Inventory Tool: MS e MS Microsoft Office Inventory Tool for Updates: MS Security Update Scan Tool: MS05-033
Strumenti per il deployment WSUS MS (Word 2002) - MS e MS SUS MS e MS SMS Tutti
Note di Deployment Informazioni sul restart e la disinstallazione: BulletinRestartUninstall MS Può essere richiesto Non per Word 2000 MS05-036SìSì MS05-037NoSì
Note di Deployment BulletinReplaces Products Replaced MS05-035MS Word 2000 Word 2002
Emissione di luglio 2005 Aggiornamenti critici Non-Security NUMBERTITLE ADDITIONAL INFORMATION KB Update for Outlook 2003 Junk Filter Junk Filter in Microsoft Office Outlook 2003 KB Update for InterConnect 2004 Only offered to Japanese Language Office Users
Malicious Software Removal Tool (Aggiornamento) La 7a emissione del tool aggiunge la capacità di rimozione di altri malware: Wootbot, Optix, Optixpro, Hacty (anche noto come YYTHAC), e Prustiu (anche noto come Delf.FN) Come sempre è disponibile: Come aggiornamento critico su Windows Update e Microsoft Update per gli utenti Windows XP Nota: distribuile tramite WSUS, e NON tramite SUS 1.0 Download dal Microsoft Download Center ( Come controllo ActiveX su
Nuove risorse informative MSN Security Alerts: Aggiunta una nuova categoria “security” all’ MSN Alerts Service: Security bulletin release notifications Security incident updates L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione RSS feed per bollettini di sicurezza a livello consumer: MSRC Blog su TechNet: Introdotto a febbraio in occasione dell’ RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet
Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security Invio delle notifiche sui bollettini e advisory Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS RSS Security Bulletin Feed Ricerca di un bollettino Ricerca di un advisory Webcast di approfondimento
Risorse utili Sito Sicurezza Inglese Italiano Security Guidance Center Inglese Italiano Security Newsletter Windows XP Service Pack Windows Server 2003 Service Pack 1 servicepack/default.mspx servicepack/default.mspx servicepack/default.mspx
Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese t.mspx t.mspx t.mspx Webcast già erogati: ti.mspx ti.mspx ti.mspx Microsoft “Security360”: 19 luglio Argomento: Making Sense of Compliance Normativa corrente (USA) Determinare se l’azienda è in regola con la normativa Gestire progetti di Compliance