Approfondimenti sui Microsoft Security Bulletin ottobre 2005

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

Magic Desktop Senza Segreti
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Approfondimenti sui Microsoft Security Bulletin di aprile aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services –
Office System 2007: il licensing dei prodotti server.
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Sharepoint Gabriele Castellani
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Approfondimenti sui Microsoft Security Bulletin di maggio maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services.
Approfondimenti sui Microsoft Security Bulletin di ottobre ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security.
Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services.
Approfondimenti sui Microsoft Security Bulletin di settembre settembre 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Premier Center.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
1 Smart Client distribuzione e aggiornamento Fabio Santini.
Installazione di Apache 2, PHP5, MySQL 5
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Java Enterprise Edition (JEE)
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Sicurezza e Policy in Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
NESSUS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Modello del sistema di posta Elettronica
Perché.Net e non più COM/DCOM ? Superamento dei problemi di COM: Richiede una infrastruttura "non semplice" da ogni applicazione (ad esempio Class Factory.
C Consiglio Nazionale delle Ricerche DNS e Posta Elettronica: evoluzione dei servizi Marina Buzzi Marina Buzzi Istituto per le Applicazioni Telematiche.
ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.
Corso di Informatica per Giurisprudenza Lezione 7
Il nostro computer navigando su Internet è molto esposto a rischio di virus, spyware o hacker che minacciano lintegrità dei nostri dati. Proteggere il.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Guida IIS 6 A cura di Nicola Del Re.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
L’applicazione integrata per la gestione proattiva delle reti IT
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Corso Rapido Sicurezza Web
Un problema importante
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
ASP – Active Server Pages Introduzione Pagine Web Statiche & Dinamiche(ASP)
IPSec Fabrizio Grossi.
Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Creato da Riccardo Nuzzone
1 Il Servizio di Posta Elettronica Relatori Gianpiero Guerrieri Francesco Baldini S.C. Information and Communication Technology.
Exchange 2003 ed i “Mobile Worker”. Agenda Esigenze dei Mobile Worker Strumenti Soluzioni “legacy” Accesso ad Exchange 2003 Architetture/implementazioni.
1 Storia di Internet Internet non è un’invenzione degli anni ’90….. Nata dagli studi di un’agenzia detta ARPA (Advanced Research Projects Agency) Internet.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
Servizi Internet Claudia Raibulet
Servizio per l’Informatica Centrale di Ateneo Portale della Didattica Un’introduzione
UNITA’ 02 Malware.
CORSO INTERNET la Posta elettronica
Tecnologie lato Server: i Server Web © 2005 Stefano Clemente I lucidi sono in parte realizzati con materiale tratto dal libro di testo adottato tradotto.
Approfondimenti sui Microsoft Security Bulletin luglio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Analisi di sicurezza della postazione PIC operativa
{ Magic Desktop Senza Segreti Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.
I sistemi operativi Funzioni principali e caratteristiche.
PHP HyperText Prepocessor.  Linguaggio di scripting lato server sviluppato per generare pagine web.  Permette ad un sito web di diventare dinamico 
Transcript della presentazione:

Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza - Mauro Cornelli Premier Center for Security Microsoft Services Italia

Agenda Bollettini sulla Sicurezza di ottobre 2005 Informazioni sul rilevamento e il deployment Malicious Software Removal Tools Security News

Bollettini di Sicurezza Ottobre 2005 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT Critical MS05-050 Microsoft Windows, DirectX Remote Code Execution MS05-051 Microsoft Windows MS05-052 Microsoft Windows , Internet Explorer Important MS05-046 MS05-047 MS05-048 Microsoft Windows, Exchange MS05-049 Moderate MS05-044 Tampering MS05-045 Denial of Service

Dettaglio per prodotto 98/SE/ME Windows 2000 Service Pack 4 Windows XP Service Pack 1 Windows XP Service Pack 2 Windows Server 2003 Windows Server 2003 SP1 Exchange 2000 MS05-044 Not Affected Moderate N/A MS05-045 Low MS05-046 Important MS05-047 MS05-048 MS05-049 MS05-050 Critical MS05-051 MS05-052

MS05-044: Introduzione Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495) Livello di gravità massimo: Moderata Software interessato dalla vulnerabilità: Microsoft Windows XP Service Pack 1 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Componente interessato: Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4 www.microsoft.com/technet/security/bulletin/ms05-044.mspx

MS05-044: vulnerabilità FTP Client Vulnerability - CAN-2005-2126 Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP. Modalità di attacco Non Eseguibile da remoto File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file. Attacco autenticato: No Tipologia: Tampering Impatti di un attacco riuscito Tampering Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. Le vulnerabilità era pubblica L’exploit è pubblico

MS05-044: Fattori mitiganti È necessaria l'interazione dell'utente prima che i file possano essere trasferiti al sistema interessato. Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso. Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema operativo interessato.

MS05-044: Soluzioni alternative Non scaricare file da server FTP non attendibili È possibile ridurre il rischio di attacco scaricando i file solo da server FTP attendibili.

MS05-045: Introduzione Vulnerability in Network Connection Manager Could Allow Denial of Service (905414) Livello di gravità massimo: Moderato Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Software non interessato Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) www.microsoft.com/technet/security/bulletin/ms05-045.mspx

MS05-045: vulnerabilità Network Connection Manager Vulnerability - CAN-2005-2307 Un buffer non controllato in Network Connection Manager è causa di vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le connessioni di rete. Modalità di attacco Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una richiesta appositamente predisposta e inviandola al componente interessato. Attacco autenticato: Si Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) Impatti di un attacco riuscito Negazione del servizio (Denial of Service) Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere. Le vulnerabilità era pubblica L’exploit è pubblico

MS05-045: Fattori mitiganti In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto. Necessario disporre di credenziali di accesso valide, ed essere in grado di accedere localmente al sistema. Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni.

MS05-045: Soluzioni alternative Bloccare le seguenti porte a livello di firewall della rete perimetrale aziendale: Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593 Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 Qualsiasi altra porta RPC specificamente configurata Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e 443

MS05-046: Introduzione Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 Software non interessato Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) Windows Services for Netware www.microsoft.com/technet/security/bulletin/ms05-046.mspx

MS05-046: vulnerabilità Client Service for NetWare Vulnerability - CAN-2005-1985 Il Servizio client per NetWare (CSNW) consente a un client di accedere ai servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code Execution Modalità di attacco Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice. Attacco autenticato: NO (tranne che per Win2003 sp1) Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) Impatti di un attacco riuscito Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice. Privilegi ottenibili: Utente autenticato

MS05-046: Fattori mitiganti Windows XP Home Edition non presenta il componente vulnerabile. Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessati Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi. Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale

MS05-046: Soluzioni alternative Rimuovere il Servizio client per NetWare se non lo si utilizza. Bloccare le porte TCP 139 e 445 a livello del firewall CSNW è generalmente associato ai protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX).

MS05-047: Introduzione Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Windows 2000 SP4 (Server e Professional) Windows XP SP1 e SP2 Componente interessato: Plug&Play www.microsoft.com/technet/security/bulletin/ms05-047.mspx

MS05-047: Vulnerabilità Plug and Play Vulnerability - CAN-2005-2120 causata dalla errata validazione dei dati forniti dall’utente Modalità di attacco Su 2000 e XP SP1 Eseguibile da remoto inviando pacchetti malformati Attacco autenticato Su XP SP2 Eseguibile solo localmente, tramite applicazione malformata Local Elevation of Privilege Privilegi ottenibili: Local System La vulnerabilità non era pubblica Non vi sono exploit noti al momento

MS05-047: Fattori mitiganti Su XP XP2: necessaria l’autenticazione e il logon locale Su 2000 (se è già installato MS05-039) e XP SP1: necessaria l’autenticazione I firewall perimetrali normalmente sono configurati per bloccare le porte usate da plug&play (139, 445)

MS05-047: Soluzioni alternative Bloccare le porte 139 e 445 sul firewall perimetrale Abilitare Internet Connection Firewall su XP SP1 Abilitare advanced TCP/IP filtering Abilitare IPSec

MS05-047: ulteriori informazioni L’aggiornamento di sicurezza Rimpiazza MS05-039 (Zotob) Richiede il riavvio del sistema

MS05-048: Introduzione Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004 Componente interessato: Collaboration Data Objects www.microsoft.com/technet/security/bulletin/ms05-048.mspx

MS05-048: vulnerabilità Collaboration Data Objects Vulnerability - CAN-2005-1987 causata da un unchecked buffer in CDO Modalità di attacco Eseguibile da remoto Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) Il trasporto più comune è SMTP Attacco autenticato: No Privilegi ottenibili: Local System La vulnerabilità non era pubblica L’exploit è disponibile

MS05-048: Fattori mitiganti SMTP di IIS 5.0 e SMTP di Exchange 2000 Server di default non usano event sinks, che fanno uso di Cdosys.dll e Cdoex.dll; IIS 6.0 è disabilitato di default su Windows Server 2003; SMTP è disabilitato di default, se IIS 6.0 è abilitato.

MS05-048: Soluzioni alternative Disabilitare tutti gli event sinks tramite smtpreg.vbs (reperibile nell’SDK di Exchange o da http://msdn.microsoft.com//library/en-us/smtpevt/html/6b7a017e-981e-45a1-8690-17ff26682bc7.asp cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati; cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink Impatto malfunzionamento di applicazioni che fanno uso dell’event sink sino alla riabilitazione. Deregistrare le dll vulnerabili Cdoex.dll e Cdosys.dll su Exchange 2000 Server Cdosys.dll su IIS: Regsvr32.exe “C:\Program Files\Common Files\Microsoft Shared\CDO\cdoex.dll” /u Regsvr32.exe %windir%\system32\cdosys.dll /u malfunzionamento di programmi che dipendono da Cdosys.dll o Cdoex.dll.

MS05-048: ulteriori informazioni Riavvio Normalmente non necessario Potrebbe essere richiesto se i file in questione sono in uso L’aggiornamento per Exchange riavvia: IIS SMTP Exchange Server Information Store Service File Transfer Protocol (FTP) Network News Transfer Protocol (NNTP) Su Exchange Server 2000 è necessario applicare sia l’aggiornamento per Windows che per Exchange Su Exchange Server 2003 è necessario applicare l’aggiornamento per Windows

MS05-049: Introduzione Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Componente interessato: Windows Shell www.microsoft.com/technet/security/bulletin/ms05-049.mspx

MS05-049: vulnerabilità Shell Vulnerability - CAN-2005-2122 Causata da un problema nella gestione dei file .lnk Shell Vulnerability - CAN-2005-2118 Causata da un problema nella gestione delle proprietà dei file .lnk Web View Script Injection Vulnerability - CAN-2005-2117 Causata da un problema di validazione dei caratteri HTML nei documenti Modalità di attacco Da remoto (non autenticato) Inducendo un utente ad aprire un file .lnk o a visualizzarne le proprietà Inviando una mail con attachment .lnk Locale (autenticato): aprendo un file .lnk o visualizzandone le proprietà Inducendo l’utente a visualizzare la preview di un file malformato Privilegi ottenibili: Local System per le prime due vulnerabilità Utente loggato per la terza vulnerabilità Le vulnerabilità non erano pubbliche Non vi sono exploit noti al momento

MS05-049: Fattori mitiganti È richiesta l’interazione dell’utente: l’attacco non è automatizzabile Aprire o visualizzare proprietà di file .lnk Aprire attachment Per l’exploit locale è richiesta l’autenticazione L’exploit della terza vulnerabilità fornisce solo i privilegi dell’utente loggato

MS05-049: Soluzioni alternative Non aprire file con estensione .lnk provenienti da sconosciuti Non visualizzare le proprietà di file .lnk provenienti da sconosciuti Disabilitare Web View Usare Windows classic folders Impostabile tramite GPO Impatto Non viene visualizzata la barra delle attività Bloccare le porte 139 e 445 sul firewall perimetrale

MS05-049: ulteriori informazioni L’aggiornamento di sicurezza Rimpiazza MS05-016 e MS05-024 Richiede il riavvio del sistema

MS05-050: Introduzione Vulnerability in DirectShow Could Allow Remote Code Execution (904706) Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003 Componente interessato: DirectX (DirectShow) www.microsoft.com/technet/security/bulletin/ms05-050.mspx

MS05-050: vulnerabilità DirectShow Vulnerability - CAN-2005-2128 causata da un unchecked buffer in DirectShow nell’elaborazione dei file AVI Modalità di attacco Eseguibile da remoto Inviando una email in formato HTML che viene visualizzata dal client dell’utente Inducendo l’utente ad accedere a una pagine web contenente un file AVI Attacco autenticato: No Privilegi ottenibili: Utente loggato La vulnerabilità non era pubblica Non vi sono exploit noti al momento

MS05-050: Fattori mitiganti I privilegi ottenibili sono quelli dell’utente loggato

MS05-050: Soluzioni alternative Se si usano Outlook ed Exchange, bloccare le estensioni .avi tramite Outlook E-mail Security Administrator (837388) Aggiungere .avi alla lista dei tipi di file bloccati da Outlook (http://office.microsoft.com/en-us/assistance/HA011402971033.aspx) Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVI Usare il filtro HTTP di ISA 2004 con ‘deny signature’ per bloccare contenuto HTML contenente riferimenti a file AVI.

MS05-050: ulteriori informazioni L’aggiornamento di sicurezza Rimpiazza MS03-030 Normalmente il riavvio del sistema non è richiesto Potrebbe essere necessario se i file in questione sono in uso È necessario usare l’aggiornamento per il sistema operativo (affected software) se si ha la versione di DirectX installata col SO Va installato l’aggiornamento standalone (affected component)se si ha una versione più recente di DirectX Usare dxdiag per identificare la versione presente

MS05-51: Introduzione Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Componente interessato: MSDTC, COM+ www.microsoft.com/technet/security/bulletin/ms05-001.mspx

MS05-051: vulnerabilità MSDTC Vulnerability - CAN-2005-2119 Causata da un unchecked buffer in MSDTC COM+ Vulnerability - CAN-2005-1978 Causata dal processo usato da COM+ per creare e usare strutture in memoria TIP Vulnerability - CAN-2005-1979 Causata dal processo usato da DTC per validare le richieste TIP Distributed TIP Vulnerability - CAN-2005-1980 Modalità di attacco Windows 2000: da remoto (non autenticato) XP SP1, 2003: localmente (autenticato) se MSDTC non è avviato Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access XP SP2, 2003 SP1: localmente (autenticato) Privilegi ottenibili: Local System per le prime due vulnerabilità Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service Le vulnerabilità non erano pubbliche Non vi sono exploit noti al momento

MS05-051: Fattori mitiganti Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 non sono affetti dalla prima vulnerabilità DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitato Di default, su Windows XP Service Pack 1, MSDTC non è avviato Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilità Il protocollo TIP di default è disabilitato Le best practices sui firewall perimetrali normalmente bloccano le porte relative a questi attacchi

MS05-051: Soluzioni alternative Disabilitare il servizio MSDTC (manualmente o tramite GPO) Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing Disabilitare Network DTC Access Bloccare sul firewall: Tutto il traffico unsolicited inbound su porte superiori alla 1024 Ogni altra porta specificamente configurata per RPC Abilitare il Personal Firewall Abilitare advanced TCP/IP filtering Abilitare IPSEC Per la seconda vulnerabilità: Disabilitare COM+ Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443 Disabilitare DCOM Per bloccare TIP Bloccare sul firewall la porta TCP 3372

MS05-051: ulteriori informazioni L’aggiornamento di sicurezza rimpiazza MS03-010, MS03-026, MS03-039, MS04-012, MS05-012 richiede il riavvio del sistema Introduce delle modifiche di funzionalità: Disabilita il protocollo TIP su Windows 2000 Introduce 4 chiavi di registry per controllare il funzionamento di TIP

MS05-052: Introduzione Cumulative Security Update for Internet Explorer (896688) Livello di gravità massimo: Critica Software interessato dalla vulnerabilità: Windows Server 2003 SP1 Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 SP1 per Itanium Windows Server 2003 per Itanium Windows 2000 SP4 Windows XP SP2 Windows XP SP1 Windows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) Componente interessato: Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition www.microsoft.com/technet/security/bulletin/ms05-001.mspx

MS05-052: vulnerabilità COM Object Instantiation Memory Corruption Vulnerability - CAN-2005-2127 causata dalla possibilità che oggetti COM istanziati da IE come controlli ActiveX possano corrompere la memoria di sistema permettendo l’esecuzione di codice arbitrario Modalità di attacco Eseguibile da remoto Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitario Inviando una e-mail HTML opportuna Attacco autenticato: No Privilegi ottenibili: quelli dell’utente loggato La vulnerabilità era pubblica L’exploit è pubblico

MS05-052: Fattori mitiganti Nello scenario web è richiesta l’interazione dell’utente I privilegi ottenibili sono quelli dell’utente loggato L’apertura delle mail nella zona Restricted sites (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mail Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilità

MS05-052: Soluzioni alternative Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta“ o richiedere conferma all'esecuzione di controlli ActiveX e plugins Limitare i siti Web ai soli siti attendibili Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versione precedente Installare l'aggiornamento descritto nel bollettino MS04-018 se si utilizza Outlook Express 5.5 SP2 Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive

MS05-052: ulteriori informazioni L’aggiornamento di sicurezza Richiede il riavvio Sostituisce MS05-037 e ms05-038 Introduce controlli addizionali prima di eseguire oggetti COM in IE Migliora la funzionalità di Internet Explorer Pop-up Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1) Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 Imposta il kill bit per l’oggetto ADODB.Stream

Strumenti per il rilevamento http://support.microsoft.com/kb/908921 è l’articolo di KB a cui far riferimento MBSA 2.0 Rileva tutti i sistemi che richiedono gli aggiornamenti MBSA 1.2.1 Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Tool MS05-044 su Windows2000 MS05-050 su Windows 2000, XP SP1, 2003

Strumenti per il deployment WSUS consente il deploy di tutti gli update e di MSRT Tramite i report consente di verificare la compliance di tutti i sistemi SUS Consente di deployare tutti gli update ad eccezione di MS05-048 per Exchange che va installato manualmente Utilizzare MBSA per verificare la compliance (vedi slide precedente) SMS 2003 SP1 Usare ITMU per verificare gli update richiesti SMS 2003 o 2.0 Usare Security Update Inventory Tool per gli update rilevabili da MBSA 1.2.1 Usare Extended Security Update Inventory Tool per gli update rilevabili da EST

Malicious Software Removal Tool Versione (1.9) aggiunge la rimozione di: Win32/Antinny - Moderate Win32/Gibe - Moderate Win32/Mywife - Moderate Win32/Wukill - Moderate Maggiori informazioni sono disponibili nell’articolo KB 890830 (http://support.microsoft.com/kb/890830)

Malicious Software Removal Tool (2) Disponibilità: Download dal Microsoft Download Center http://go.microsoft.com/fwlink/?linkid=40587 Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows Update o Automatic Update Come controllo ActiveX al sito www.microsoft.com/malwareremove/default.aspx Offerto da WSUS (non da SUS 1.0) Note: Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nell’articolo KB 891716 (http://support.microsoft.com/kb/891716)

Security News A Monaco Steve Ballmer ha annunciato: Microsoft Client Protection Protezione integrata contro virus, spyware, rootkits e altre forme di malware Una versione beta verrà resa disponibile ad alcuni clienti per la fine dell’anno Microsoft Antigen protezione antivirus e anti-spam per server di messaging e collaboration (Exchange, Sharepoint, LCS) Disponibile nel primo trimestre del 2006 SecureIT Alliance: collaborazione tra partner di sicurezza per sviluppare soluzioni su piattaforma Microsoft. VeriSign, Trend Micro, Symantec e altri 15 membri