Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza - Mauro Cornelli Premier Center for Security Microsoft Services Italia
Agenda Bollettini sulla Sicurezza di ottobre 2005 Informazioni sul rilevamento e il deployment Malicious Software Removal Tools Security News
Bollettini di Sicurezza Ottobre 2005 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT Critical MS05-050 Microsoft Windows, DirectX Remote Code Execution MS05-051 Microsoft Windows MS05-052 Microsoft Windows , Internet Explorer Important MS05-046 MS05-047 MS05-048 Microsoft Windows, Exchange MS05-049 Moderate MS05-044 Tampering MS05-045 Denial of Service
Dettaglio per prodotto 98/SE/ME Windows 2000 Service Pack 4 Windows XP Service Pack 1 Windows XP Service Pack 2 Windows Server 2003 Windows Server 2003 SP1 Exchange 2000 MS05-044 Not Affected Moderate N/A MS05-045 Low MS05-046 Important MS05-047 MS05-048 MS05-049 MS05-050 Critical MS05-051 MS05-052
MS05-044: Introduzione Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495) Livello di gravità massimo: Moderata Software interessato dalla vulnerabilità: Microsoft Windows XP Service Pack 1 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Componente interessato: Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4 www.microsoft.com/technet/security/bulletin/ms05-044.mspx
MS05-044: vulnerabilità FTP Client Vulnerability - CAN-2005-2126 Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP. Modalità di attacco Non Eseguibile da remoto File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file. Attacco autenticato: No Tipologia: Tampering Impatti di un attacco riuscito Tampering Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. Le vulnerabilità era pubblica L’exploit è pubblico
MS05-044: Fattori mitiganti È necessaria l'interazione dell'utente prima che i file possano essere trasferiti al sistema interessato. Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso. Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema operativo interessato.
MS05-044: Soluzioni alternative Non scaricare file da server FTP non attendibili È possibile ridurre il rischio di attacco scaricando i file solo da server FTP attendibili.
MS05-045: Introduzione Vulnerability in Network Connection Manager Could Allow Denial of Service (905414) Livello di gravità massimo: Moderato Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Software non interessato Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) www.microsoft.com/technet/security/bulletin/ms05-045.mspx
MS05-045: vulnerabilità Network Connection Manager Vulnerability - CAN-2005-2307 Un buffer non controllato in Network Connection Manager è causa di vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le connessioni di rete. Modalità di attacco Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una richiesta appositamente predisposta e inviandola al componente interessato. Attacco autenticato: Si Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) Impatti di un attacco riuscito Negazione del servizio (Denial of Service) Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere. Le vulnerabilità era pubblica L’exploit è pubblico
MS05-045: Fattori mitiganti In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto. Necessario disporre di credenziali di accesso valide, ed essere in grado di accedere localmente al sistema. Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni.
MS05-045: Soluzioni alternative Bloccare le seguenti porte a livello di firewall della rete perimetrale aziendale: Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593 Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 Qualsiasi altra porta RPC specificamente configurata Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e 443
MS05-046: Introduzione Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Software non interessato Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) Windows Services for Netware www.microsoft.com/technet/security/bulletin/ms05-046.mspx
MS05-046: vulnerabilità Client Service for NetWare Vulnerability - CAN-2005-1985 Il Servizio client per NetWare (CSNW) consente a un client di accedere ai servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code Execution Modalità di attacco Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice. Attacco autenticato: NO (tranne che per Win2003 sp1) Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) Impatti di un attacco riuscito Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice. Privilegi ottenibili: Utente autenticato
MS05-046: Fattori mitiganti Windows XP Home Edition non presenta il componente vulnerabile. Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessati Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi. Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale
MS05-046: Soluzioni alternative Rimuovere il Servizio client per NetWare se non lo si utilizza. Bloccare le porte TCP 139 e 445 a livello del firewall CSNW è generalmente associato ai protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX).
MS05-047: Introduzione Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Windows 2000 SP4 (Server e Professional) Windows XP SP1 e SP2 Componente interessato: Plug&Play www.microsoft.com/technet/security/bulletin/ms05-047.mspx
MS05-047: Vulnerabilità Plug and Play Vulnerability - CAN-2005-2120 causata dalla errata validazione dei dati forniti dall’utente Modalità di attacco Su 2000 e XP SP1 Eseguibile da remoto inviando pacchetti malformati Attacco autenticato Su XP SP2 Eseguibile solo localmente, tramite applicazione malformata Local Elevation of Privilege Privilegi ottenibili: Local System La vulnerabilità non era pubblica Non vi sono exploit noti al momento
MS05-047: Fattori mitiganti Su XP XP2: necessaria l’autenticazione e il logon locale Su 2000 (se è già installato MS05-039) e XP SP1: necessaria l’autenticazione I firewall perimetrali normalmente sono configurati per bloccare le porte usate da plug&play (139, 445)
MS05-047: Soluzioni alternative Bloccare le porte 139 e 445 sul firewall perimetrale Abilitare Internet Connection Firewall su XP SP1 Abilitare advanced TCP/IP filtering Abilitare IPSec
MS05-047: ulteriori informazioni L’aggiornamento di sicurezza Rimpiazza MS05-039 (Zotob) Richiede il riavvio del sistema
MS05-048: Introduzione Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004 Componente interessato: Collaboration Data Objects www.microsoft.com/technet/security/bulletin/ms05-048.mspx
MS05-048: vulnerabilità Collaboration Data Objects Vulnerability - CAN-2005-1987 causata da un unchecked buffer in CDO Modalità di attacco Eseguibile da remoto Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) Il trasporto più comune è SMTP Attacco autenticato: No Privilegi ottenibili: Local System La vulnerabilità non era pubblica L’exploit è disponibile
MS05-048: Fattori mitiganti SMTP di IIS 5.0 e SMTP di Exchange 2000 Server di default non usano event sinks, che fanno uso di Cdosys.dll e Cdoex.dll; IIS 6.0 è disabilitato di default su Windows Server 2003; SMTP è disabilitato di default, se IIS 6.0 è abilitato.
MS05-048: Soluzioni alternative Disabilitare tutti gli event sinks tramite smtpreg.vbs (reperibile nell’SDK di Exchange o da http://msdn.microsoft.com//library/en-us/smtpevt/html/6b7a017e-981e-45a1-8690-17ff26682bc7.asp cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati; cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink Impatto malfunzionamento di applicazioni che fanno uso dell’event sink sino alla riabilitazione. Deregistrare le dll vulnerabili Cdoex.dll e Cdosys.dll su Exchange 2000 Server Cdosys.dll su IIS: Regsvr32.exe “C:\Program Files\Common Files\Microsoft Shared\CDO\cdoex.dll” /u Regsvr32.exe %windir%\system32\cdosys.dll /u malfunzionamento di programmi che dipendono da Cdosys.dll o Cdoex.dll.
MS05-048: ulteriori informazioni Riavvio Normalmente non necessario Potrebbe essere richiesto se i file in questione sono in uso L’aggiornamento per Exchange riavvia: IIS SMTP Exchange Server Information Store Service File Transfer Protocol (FTP) Network News Transfer Protocol (NNTP) Su Exchange Server 2000 è necessario applicare sia l’aggiornamento per Windows che per Exchange Su Exchange Server 2003 è necessario applicare l’aggiornamento per Windows
MS05-049: Introduzione Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Componente interessato: Windows Shell www.microsoft.com/technet/security/bulletin/ms05-049.mspx
MS05-049: vulnerabilità Shell Vulnerability - CAN-2005-2122 Causata da un problema nella gestione dei file .lnk Shell Vulnerability - CAN-2005-2118 Causata da un problema nella gestione delle proprietà dei file .lnk Web View Script Injection Vulnerability - CAN-2005-2117 Causata da un problema di validazione dei caratteri HTML nei documenti Modalità di attacco Da remoto (non autenticato) Inducendo un utente ad aprire un file .lnk o a visualizzarne le proprietà Inviando una mail con attachment .lnk Locale (autenticato): aprendo un file .lnk o visualizzandone le proprietà Inducendo l’utente a visualizzare la preview di un file malformato Privilegi ottenibili: Local System per le prime due vulnerabilità Utente loggato per la terza vulnerabilità Le vulnerabilità non erano pubbliche Non vi sono exploit noti al momento
MS05-049: Fattori mitiganti È richiesta l’interazione dell’utente: l’attacco non è automatizzabile Aprire o visualizzare proprietà di file .lnk Aprire attachment Per l’exploit locale è richiesta l’autenticazione L’exploit della terza vulnerabilità fornisce solo i privilegi dell’utente loggato
MS05-049: Soluzioni alternative Non aprire file con estensione .lnk provenienti da sconosciuti Non visualizzare le proprietà di file .lnk provenienti da sconosciuti Disabilitare Web View Usare Windows classic folders Impostabile tramite GPO Impatto Non viene visualizzata la barra delle attività Bloccare le porte 139 e 445 sul firewall perimetrale
MS05-049: ulteriori informazioni L’aggiornamento di sicurezza Rimpiazza MS05-016 e MS05-024 Richiede il riavvio del sistema
MS05-050: Introduzione Vulnerability in DirectShow Could Allow Remote Code Execution (904706) Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003 Componente interessato: DirectX (DirectShow) www.microsoft.com/technet/security/bulletin/ms05-050.mspx
MS05-050: vulnerabilità DirectShow Vulnerability - CAN-2005-2128 causata da un unchecked buffer in DirectShow nell’elaborazione dei file AVI Modalità di attacco Eseguibile da remoto Inviando una email in formato HTML che viene visualizzata dal client dell’utente Inducendo l’utente ad accedere a una pagine web contenente un file AVI Attacco autenticato: No Privilegi ottenibili: Utente loggato La vulnerabilità non era pubblica Non vi sono exploit noti al momento
MS05-050: Fattori mitiganti I privilegi ottenibili sono quelli dell’utente loggato
MS05-050: Soluzioni alternative Se si usano Outlook ed Exchange, bloccare le estensioni .avi tramite Outlook E-mail Security Administrator (837388) Aggiungere .avi alla lista dei tipi di file bloccati da Outlook (http://office.microsoft.com/en-us/assistance/HA011402971033.aspx) Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVI Usare il filtro HTTP di ISA 2004 con ‘deny signature’ per bloccare contenuto HTML contenente riferimenti a file AVI.
MS05-050: ulteriori informazioni L’aggiornamento di sicurezza Rimpiazza MS03-030 Normalmente il riavvio del sistema non è richiesto Potrebbe essere necessario se i file in questione sono in uso È necessario usare l’aggiornamento per il sistema operativo (affected software) se si ha la versione di DirectX installata col SO Va installato l’aggiornamento standalone (affected component)se si ha una versione più recente di DirectX Usare dxdiag per identificare la versione presente
MS05-51: Introduzione Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Componente interessato: MSDTC, COM+ www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-051: vulnerabilità MSDTC Vulnerability - CAN-2005-2119 Causata da un unchecked buffer in MSDTC COM+ Vulnerability - CAN-2005-1978 Causata dal processo usato da COM+ per creare e usare strutture in memoria TIP Vulnerability - CAN-2005-1979 Causata dal processo usato da DTC per validare le richieste TIP Distributed TIP Vulnerability - CAN-2005-1980 Modalità di attacco Windows 2000: da remoto (non autenticato) XP SP1, 2003: localmente (autenticato) se MSDTC non è avviato Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access XP SP2, 2003 SP1: localmente (autenticato) Privilegi ottenibili: Local System per le prime due vulnerabilità Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service Le vulnerabilità non erano pubbliche Non vi sono exploit noti al momento
MS05-051: Fattori mitiganti Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 non sono affetti dalla prima vulnerabilità DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitato Di default, su Windows XP Service Pack 1, MSDTC non è avviato Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilità Il protocollo TIP di default è disabilitato Le best practices sui firewall perimetrali normalmente bloccano le porte relative a questi attacchi
MS05-051: Soluzioni alternative Disabilitare il servizio MSDTC (manualmente o tramite GPO) Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing Disabilitare Network DTC Access Bloccare sul firewall: Tutto il traffico unsolicited inbound su porte superiori alla 1024 Ogni altra porta specificamente configurata per RPC Abilitare il Personal Firewall Abilitare advanced TCP/IP filtering Abilitare IPSEC Per la seconda vulnerabilità: Disabilitare COM+ Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443 Disabilitare DCOM Per bloccare TIP Bloccare sul firewall la porta TCP 3372
MS05-051: ulteriori informazioni L’aggiornamento di sicurezza rimpiazza MS03-010, MS03-026, MS03-039, MS04-012, MS05-012 richiede il riavvio del sistema Introduce delle modifiche di funzionalità: Disabilita il protocollo TIP su Windows 2000 Introduce 4 chiavi di registry per controllare il funzionamento di TIP
MS05-052: Introduzione Cumulative Security Update for Internet Explorer (896688) Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) Componente interessato: Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-052: vulnerabilità COM Object Instantiation Memory Corruption Vulnerability - CAN-2005-2127 causata dalla possibilità che oggetti COM istanziati da IE come controlli ActiveX possano corrompere la memoria di sistema permettendo l’esecuzione di codice arbitrario Modalità di attacco Eseguibile da remoto Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitario Inviando una e-mail HTML opportuna Attacco autenticato: No Privilegi ottenibili: quelli dell’utente loggato La vulnerabilità era pubblica L’exploit è pubblico
MS05-052: Fattori mitiganti Nello scenario web è richiesta l’interazione dell’utente I privilegi ottenibili sono quelli dell’utente loggato L’apertura delle mail nella zona Restricted sites (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mail Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilità
MS05-052: Soluzioni alternative Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta“ o richiedere conferma all'esecuzione di controlli ActiveX e plugins Limitare i siti Web ai soli siti attendibili Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versione precedente Installare l'aggiornamento descritto nel bollettino MS04-018 se si utilizza Outlook Express 5.5 SP2 Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive
MS05-052: ulteriori informazioni L’aggiornamento di sicurezza Richiede il riavvio Sostituisce MS05-037 e ms05-038 Introduce controlli addizionali prima di eseguire oggetti COM in IE Migliora la funzionalità di Internet Explorer Pop-up Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1) Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 Imposta il kill bit per l’oggetto ADODB.Stream
Strumenti per il rilevamento http://support.microsoft.com/kb/908921 è l’articolo di KB a cui far riferimento MBSA 2.0 Rileva tutti i sistemi che richiedono gli aggiornamenti MBSA 1.2.1 Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Tool MS05-044 su Windows2000 MS05-050 su Windows 2000, XP SP1, 2003
Strumenti per il deployment WSUS consente il deploy di tutti gli update e di MSRT Tramite i report consente di verificare la compliance di tutti i sistemi SUS Consente di deployare tutti gli update ad eccezione di MS05-048 per Exchange che va installato manualmente Utilizzare MBSA per verificare la compliance (vedi slide precedente) SMS 2003 SP1 Usare ITMU per verificare gli update richiesti SMS 2003 o 2.0 Usare Security Update Inventory Tool per gli update rilevabili da MBSA 1.2.1 Usare Extended Security Update Inventory Tool per gli update rilevabili da EST
Malicious Software Removal Tool Versione (1.9) aggiunge la rimozione di: Win32/Antinny - Moderate Win32/Gibe - Moderate Win32/Mywife - Moderate Win32/Wukill - Moderate Maggiori informazioni sono disponibili nell’articolo KB 890830 (http://support.microsoft.com/kb/890830)
Malicious Software Removal Tool (2) Disponibilità: Download dal Microsoft Download Center http://go.microsoft.com/fwlink/?linkid=40587 Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows Update o Automatic Update Come controllo ActiveX al sito www.microsoft.com/malwareremove/default.aspx Offerto da WSUS (non da SUS 1.0) Note: Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nell’articolo KB 891716 (http://support.microsoft.com/kb/891716)
Security News A Monaco Steve Ballmer ha annunciato: Microsoft Client Protection Protezione integrata contro virus, spyware, rootkits e altre forme di malware Una versione beta verrà resa disponibile ad alcuni clienti per la fine dell’anno Microsoft Antigen protezione antivirus e anti-spam per server di messaging e collaboration (Exchange, Sharepoint, LCS) Disponibile nel primo trimestre del 2006 SecureIT Alliance: collaborazione tra partner di sicurezza per sviluppare soluzioni su piattaforma Microsoft. VeriSign, Trend Micro, Symantec e altri 15 membri