Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoTito Abate Modificato 11 anni fa
1
Approfondimenti sui Microsoft Security Bulletin di aprile 2004 16 aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services – Italia
2
Agenda Security Bulletin di aprile 2004: Security Bulletin di aprile 2004: MS04-011 : Windows - Critico MS04-011 : Windows - Critico MS04-012 : RPC/DCOM - Critico MS04-012 : RPC/DCOM - Critico MS04-013 : Outlook Express – Critico MS04-013 : Outlook Express – Critico MS04-014 : JET Database Engine - Importante MS04-014 : JET Database Engine - Importante Risorse utili ed Eventi Risorse utili ed Eventi Domande e risposte Domande e risposte
3
MS04-011: Introduzione Aggiornamento per la protezione di Microsoft Windows (835732) Aggiornamento per la protezione di Microsoft Windows (835732) Effetti delle vulnerabilità più gravi: esecuzione di codice in modalità remota Effetti delle vulnerabilità più gravi: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Netmeeting Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Netmeeting (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Livello di gravità massimo: Critico Livello di gravità massimo: Critico Non critico per Windows 98, Windows 98 SE, Windows ME Non critico per Windows 98, Windows 98 SE, Windows ME (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche
4
MS04-011: Comprendere le Vulnerabilità 14 vulnerabilità di cui 8 con effetto Remote Code Execution, 4 con Privilege Elevation, 2 con Denial of Service: LSASS Vulnerability - CAN-2003-0533 LDAP Vulnerability – CAN-2003-0663 PCT Vulnerability - CAN-2003-0719 Winlogon Vulnerability - CAN-2003-0806 Metafile Vulnerability - CAN-2003-0906 Help and Support Center Vulnerability - CAN-2003-0907 Utility Manager Vulnerability - CAN-2003-0908 Windows Management Vulnerability - CAN-2003-0909 Local Descriptor Table Vulnerability - CAN-2003-0910 H.323 Vulnerability* - CAN-2004-0117 Virtual DOS Machine Vulnerability - CAN-2004-0118 Negotiate SSP Vulnerability - CAN-2004-0119 SSL Vulnerability - CAN-2004-0120 ASN.1 Double Free Vulnerability - CAN-2004-0123 14 vulnerabilità di cui 8 con effetto Remote Code Execution, 4 con Privilege Elevation, 2 con Denial of Service: LSASS Vulnerability - CAN-2003-0533 LDAP Vulnerability – CAN-2003-0663 PCT Vulnerability - CAN-2003-0719 Winlogon Vulnerability - CAN-2003-0806 Metafile Vulnerability - CAN-2003-0906 Help and Support Center Vulnerability - CAN-2003-0907 Utility Manager Vulnerability - CAN-2003-0908 Windows Management Vulnerability - CAN-2003-0909 Local Descriptor Table Vulnerability - CAN-2003-0910 H.323 Vulnerability* - CAN-2004-0117 Virtual DOS Machine Vulnerability - CAN-2004-0118 Negotiate SSP Vulnerability - CAN-2004-0119 SSL Vulnerability - CAN-2004-0120 ASN.1 Double Free Vulnerability - CAN-2004-0123
5
MS04-011: Comprendere le Vulnerabilità Modalità di attacco: nel caso peggiore Modalità di attacco: nel caso peggiore eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli di SYSTEM privilegi ottenibili: quelli di SYSTEM comunque: comunque: Non tutte le vulnerabilità si possono sfruttare da remoto Non tutte le vulnerabilità si possono sfruttare da remoto Non tutte le vulnerabilità si possono sfruttare senza credenziali valide Non tutte le vulnerabilità si possono sfruttare senza credenziali valide Non tutte le vulnerabilità permettono di ottenere i massimi privilegi sui sistemi sotto attacco Non tutte le vulnerabilità permettono di ottenere i massimi privilegi sui sistemi sotto attacco
6
MS04-011: Fattori attenuanti Fattori attenuanti Fattori attenuanti le vulnerabilità non sono presenti su tutte le piattaforme e la loro criticità varia a seconda della piattaforma: le vulnerabilità non sono presenti su tutte le piattaforme e la loro criticità varia a seconda della piattaforma: in ordine decrescente di impatto: Windows 2000, Windows XP, Windows NT, Windows Server 2003 in ordine decrescente di impatto: Windows 2000, Windows XP, Windows NT, Windows Server 2003 Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità
7
MS04-011: Soluzioni alternative Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate Blocco delle porte LDAP: TCP 389, 636, 3268, 3269 Blocco delle porte LDAP: TCP 389, 636, 3268, 3269 Disabilitare il supporto PCT da registry Disabilitare il supporto PCT da registry Limitare gli utenti con credenziali in grado di modificare le proprietà degli User Account in AD Limitare gli utenti con credenziali in grado di modificare le proprietà degli User Account in AD Leggere mail in formato solo testo Leggere mail in formato solo testo Deregistrare il protocollo HCP da registry Deregistrare il protocollo HCP da registry Disabilitare Utility Manager Disabilitare Utility Manager Cancellare il provider WMI vulnerabile Cancellare il provider WMI vulnerabile Blocco delle porte Netmeeting: TCP 1720 e 1503 Blocco delle porte Netmeeting: TCP 1720 e 1503 Disabilitare la Windows Integrated Authentication o il Negotiate SSP Disabilitare la Windows Integrated Authentication o il Negotiate SSP Blocco delle porte SSL: TCP 443 e 636 Blocco delle porte SSL: TCP 443 e 636
8
MS04-011: Modifiche di funzionalità I file con estensione.folder non sono più associati alle cartelle e visualizzati come tali I file con estensione.folder non sono più associati alle cartelle e visualizzati come tali Laggiornamento disabilita il protocollo PCT Laggiornamento disabilita il protocollo PCT Trigger di tipo event-based: Trigger di tipo event-based: Non è più possibile creare trigger event-based con il tool Eventtriggers.exe senza fornire delle credenziali valide. Non è più possibile creare trigger event-based con il tool Eventtriggers.exe senza fornire delle credenziali valide. Per creare tali tipi di trigger ora è necessario che il servizio di Task Scheduler sia attivo Per creare tali tipi di trigger ora è necessario che il servizio di Task Scheduler sia attivo Non si possono creare più di 1000 trigger di questo tipo Non si possono creare più di 1000 trigger di questo tipo Sono stati rafforzati i permessi su tali trigger Sono stati rafforzati i permessi su tali trigger
9
MS04-011: Note sulla patch Rilevamento Rilevamento MBSA 1.2 (tranne per Windows NT 4.0, la versione stand-alone di Netmeeting e quelle incluse in Windows 2000, Windows XP e Windows Server 2003) MBSA 1.2 (tranne per Windows NT 4.0, la versione stand-alone di Netmeeting e quelle incluse in Windows 2000, Windows XP e Windows Server 2003) Netmeeting (versione stand-alone): la versione aggiornata è la 3.01 (4.4.3399) Netmeeting (versione stand-alone): la versione aggiornata è la 3.01 (4.4.3399) Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì (Windows NT 4.0 non rilevato) SMS: Sì (Windows NT 4.0 non rilevato) Reboot: Sì Reboot: Sì Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì
10
MS04-012: Introduzione Aggiornamento cumulativo per Microsoft RPC/DCOM (828741) Aggiornamento cumulativo per Microsoft RPC/DCOM (828741) Effetti della vulnerabilità più grave: esecuzione di codice in modalità remota Effetti della vulnerabilità più grave: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Livello di gravità massimo: Critico Livello di gravità massimo: Critico Bassa criticità per Windows NT 4.0 Bassa criticità per Windows NT 4.0 Non critico per Windows 98, Windows 98 SE, Windows ME Non critico per Windows 98, Windows 98 SE, Windows ME (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche
11
MS04-012: Comprendere le Vulnerabilità 4 vulnerabilità di cui 1 con effetto Remote Code Execution 1 con Information Disclosure 2 con Denial of Service 4 vulnerabilità di cui 1 con effetto Remote Code Execution 1 con Information Disclosure 2 con Denial of Service RPC Runtime Library Vulnerability - CAN-2003-0813 RPCSS Service Vulnerability - CAN-2004-0116 COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN-2003-0807 Object Identity Vulnerability - CAN-2004-0124 RPC Runtime Library Vulnerability - CAN-2003-0813 RPCSS Service Vulnerability - CAN-2004-0116 COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN-2003-0807 Object Identity Vulnerability - CAN-2004-0124
12
MS04-012: Comprendere le Vulnerabilità Modalità di attacco: nel caso peggiore Modalità di attacco: nel caso peggiore eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli di SYSTEM privilegi ottenibili: quelli di SYSTEM
13
MS04-012: Soluzioni alternative Blocco delle porte NetBIOS/RPC/SMB: Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate Blocco delle porte HTTP (TCP 80 e 443) se presente il componente CIS o RPC over HTTP Blocco delle porte HTTP (TCP 80 e 443) se presente il componente CIS o RPC over HTTP Disabilitare DCOM Disabilitare DCOM Disabilitare il componente CIS o RPC over HTTP se presenti e non utilizzati Disabilitare il componente CIS o RPC over HTTP se presenti e non utilizzati
14
MS04-012: Fattori attenuanti Fattori attenuanti Fattori attenuanti Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità Lopportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dallesterno diretto verso specifiche vulnerabilità Solo una vulnerabilità permetterebbe la compromissione del sistema Solo una vulnerabilità permetterebbe la compromissione del sistema Windows NT 4.0 non è interessato dalla vulnerabilità più grave. Windows NT 4.0 non è interessato dalla vulnerabilità più grave.
15
MS04-012: Note sulla patch Rilevamento Rilevamento MBSA 1.2: Sì MBSA 1.2: Sì Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì SMS: Sì Reboot: Sì Reboot: Sì Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì
16
MS04-013: Introduzione Aggiornamento cumulativo per la protezione di Outlook Express (837009) Aggiornamento cumulativo per la protezione di Outlook Express (837009) Effetti della vulnerabilità: esecuzione di codice in modalità remota Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Componenti interessati Componenti interessati Outlook Express 5.5 SP2, 6.0, 6.0 SP1 Outlook Express 5.5 SP2, 6.0, 6.0 SP1 Livello di gravità: Critico Livello di gravità: Critico (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche
17
MS04-013: Comprendere le Vulnerabilità Vulnerabilità: MHTML URL Processing Vulnerability - CAN-2004-0380 Vulnerabilità: MHTML URL Processing Vulnerability - CAN-2004-0380 Consiste in un difetto della gestione di URL MHTML in grado di far eseguire codice non autorizzato nel contesto di sicurezza dellutente loggato Consiste in un difetto della gestione di URL MHTML in grado di far eseguire codice non autorizzato nel contesto di sicurezza dellutente loggato Modalità di attacco: Modalità di attacco: eseguibile da remoto (mail HTML o navigazione su siti non sicuri) eseguibile da remoto (mail HTML o navigazione su siti non sicuri) non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellutente loggato privilegi ottenibili: quelli dellutente loggato
18
MS04-013: Fattori attenuanti Fattori attenuanti Fattori attenuanti lattacker deve ospitare un sito Web sotto il suo controllo e convincere lutente a visitarlo per poter sfruttare queste vulnerabilità lattacker deve ospitare un sito Web sotto il suo controllo e convincere lutente a visitarlo per poter sfruttare queste vulnerabilità Per lattack vector via-email: lapertura di e-mail HTML nella Restricted Site security zone riduce il rischio (Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato lOutlook E-mail Security Update), ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso Per lattack vector via-email: lapertura di e-mail HTML nella Restricted Site security zone riduce il rischio (Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato lOutlook E-mail Security Update), ma non difende dal rischio risultante dallesplicita volontà dellutente di cliccare su un link malizioso leventuale attacco ha le credenziali dellutente che lo ha subito. leventuale attacco ha le credenziali dellutente che lo ha subito.
19
MS04-013: Soluzioni alternative Rafforzare le impostazioni di sicurezza della Local Machine zone (impatto sulle funzionalità di sistema) Rafforzare le impostazioni di sicurezza della Local Machine zone (impatto sulle funzionalità di sistema) Installazione di Outlook E-mail Security Update per le versioni non protette by- default Installazione di Outlook E-mail Security Update per le versioni non protette by- default Leggere le mail in formato solo testo per le versioni di Outlook che supportano questa funzionalità Leggere le mail in formato solo testo per le versioni di Outlook che supportano questa funzionalità
20
MS04-013: Note sulla patch Rilevamento Rilevamento MBSA 1.2: NO MBSA 1.2: NO Windows Update: Sì Windows Update: Sì Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì (ma non rileva lassenza della patch) SMS: Sì (ma non rileva lassenza della patch) Reboot: Può essere richiesto Reboot: Può essere richiesto Possibilità di disinstallare: Sì Possibilità di disinstallare: Sì
21
MS04-014: Introduzione Una vulnerabilità nel motore di database Microsoft Jet può consentire l'esecuzione di codice (837001) Una vulnerabilità nel motore di database Microsoft Jet può consentire l'esecuzione di codice (837001) Effetti della vulnerabilità: esecuzione di codice in modalità remota Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Software interessato Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* (Windows 98, Windows 98 SE, Windows ME)* Componenti interessati Componenti interessati Microsoft Jet Database Engine 4.0 Microsoft Jet Database Engine 4.0 Livello di gravità massima: Importante Livello di gravità massima: Importante Windows NT 4.0: Moderata Windows NT 4.0: Moderata (*) Supporto solo per security patch critiche (*) Supporto solo per security patch critiche
22
MS04-014: Comprendere le Vulnerabilità Vulnerabilità: Jet Vulnerability - CAN-2004-0197 Vulnerabilità: Jet Vulnerability - CAN-2004-0197 Consiste in un buffer overrun del componente Jet Database Engine e permetterebbe ad un attacker in grado di inviare una query malformata al database di far eseguire codice non autorizzato nel contesto di sicurezza dellapplicazione che utilizza JET Consiste in un buffer overrun del componente Jet Database Engine e permetterebbe ad un attacker in grado di inviare una query malformata al database di far eseguire codice non autorizzato nel contesto di sicurezza dellapplicazione che utilizza JET Modalità di attacco: Modalità di attacco: eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dellapplicazione che utilizza JET privilegi ottenibili: quelli dellapplicazione che utilizza JET
23
MS04-014: Fattori attenuanti Fattori attenuanti Fattori attenuanti Per i sistemi Windows NT 4.0 la criticità è Moderata poiché Jet non è installato di default, anche se può essere aggiunto da diversi applicativi (Office 2000, Visual Studio, MDAC, Visio, Sharepoint Portal Server...) Per i sistemi Windows NT 4.0 la criticità è Moderata poiché Jet non è installato di default, anche se può essere aggiunto da diversi applicativi (Office 2000, Visual Studio, MDAC, Visio, Sharepoint Portal Server...) Luso di applicazioni che realizzano una forte validazione dei dati in ingresso limita il rischio Luso di applicazioni che realizzano una forte validazione dei dati in ingresso limita il rischio Leventuale attacco ha le credenziali dellapplicazione che interagisce con JET Leventuale attacco ha le credenziali dellapplicazione che interagisce con JET Soluzioni alternative: nessuna Soluzioni alternative: nessuna
24
MS04-014: Note sulla patch Rilevamento Rilevamento MBSA 1.2: Sì MBSA 1.2: Sì Verifica della presenza del file MsJet40.dll: la versione aggiornata è la 4.0.8618.0 Verifica della presenza del file MsJet40.dll: la versione aggiornata è la 4.0.8618.0 Deployment: Deployment: SUS: Sì SUS: Sì SMS: Sì SMS: Sì Reboot: Può essere richiesto. Reboot: Può essere richiesto. Possibilità di disinstallare: Sì (tranne per Windows NT 4.0) Possibilità di disinstallare: Sì (tranne per Windows NT 4.0)
25
Security Bulletin riemessi MS00-82, MS01-041, MS03-046 MS00-82, MS01-041, MS03-046 Motivo della riemissione Motivo della riemissione Le vulnerabilità in questione interessano anche Exchange Server 5.0 e viene fornita una patch unica valida per correggere le 3 vulnerabilità Le vulnerabilità in questione interessano anche Exchange Server 5.0 e viene fornita una patch unica valida per correggere le 3 vulnerabilità MS02-011 MS02-011 Motivo della riemissione Motivo della riemissione annunciare la disponibilità di un aggiornamento per Windows NT Server 4.0 e fornire agli utenti di Exchange Server 5.0 suggerimenti su come aumentare la protezione dei sistemi in uso annunciare la disponibilità di un aggiornamento per Windows NT Server 4.0 e fornire agli utenti di Exchange Server 5.0 suggerimenti su come aumentare la protezione dei sistemi in uso
26
Risorse Utili Area Sicurezza sul sito Technet Italia Area Sicurezza sul sito Technet Italia http://www.microsoft.com/italy/technet/sicurezza.asp http://www.microsoft.com/italy/technet/sicurezza.asp http://www.microsoft.com/italy/technet/sicurezza.asp Security Bulletin in italiano Security Bulletin in italiano http://www.microsoft.com/italy/technet/solutions/security/bull etin.asp http://www.microsoft.com/italy/technet/solutions/security/bull etin.asp http://www.microsoft.com/italy/technet/solutions/security/bull etin.asp http://www.microsoft.com/italy/technet/solutions/security/bull etin.asp Registratevi alla nuova Security Newsletter Registratevi alla nuova Security Newsletter Business: http://www.microsoft.com/technet/security/secnews/defaul t.asp Business: http://www.microsoft.com/technet/security/secnews/defaul t.asp http://www.microsoft.com/technet/security/secnews/defaul t.asp http://www.microsoft.com/technet/security/secnews/defaul t.asp Home User: http://www.microsoft.com/security/home/secnews/default.a sp Home User: http://www.microsoft.com/security/home/secnews/default.a sp http://www.microsoft.com/security/home/secnews/default.a sp http://www.microsoft.com/security/home/secnews/default.a sp Security Guidance Center Security Guidance Center http://www.microsoft.com/security/guidance http://www.microsoft.com/security/guidance http://www.microsoft.com/security/guidance
27
Eventi TechNet Security Roadshow 2004 (aprile 2004) TechNet Security Roadshow 2004 (aprile 2004) http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezz a_Aprile2004.mspx http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezz a_Aprile2004.mspx http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezz a_Aprile2004.mspx http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezz a_Aprile2004.mspx Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 14/05) Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 14/05) http://www.microsoft.com/italy/technet/solutions/security/bulletin.asp http://www.microsoft.com/italy/technet/solutions/security/bulletin.asp http://www.microsoft.com/italy/technet/solutions/security/bulletin.asp http://www.microsoft.com/italy/technet/solutions/security/bulletin.asp
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.