Approfondimenti sui Microsoft Security Bulletin febbraio 2005
by user
Comments
Transcript
Approfondimenti sui Microsoft Security Bulletin febbraio 2005
Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services Italia Agenda Bollettini sulla Sicurezza di febbraio 2005: Altre informazioni sulla sicurezza: Nuovi: da MS05-004 a MS05-015 Riemessi: MS04-035 su SMTP Enterprise Scanning Tool Guide a supporto del patch deployment Malicious Software Removal Tools di febbraio Annuncio di accordo per l’acquisizione di Sybari Software Risorse ed Eventi Bollettini di Sicurezza Febbraio 2005 MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT Important MS05-004 Microsoft .NET Framework Information Disclosure, possible Elevation of Privilege Critical MS05-005 Microsoft Office XP Remote Code Execution Moderate MS05-006 Microsoft Windows SharePoint Services, SharePoint Team Services Remote Code Execution Important MS05-007 Microsoft Windows Information Disclosure Important MS05-008 Microsoft Windows Remote Code Execution MS05-009 Microsoft Windows, Microsoft Windows Media Player, Microsoft MSN Messenger Remote Code Execution Critical Bollettini di Sicurezza Febbraio 2005 (2) MAXIMUM SEVERITY BULLETIN NUMBER PRODUCTS AFFECTED IMPACT Critical MS05-010 Microsoft Windows Remote Code Execution Critical MS05-011 Microsoft Windows Remote Code Execution Critical MS05-012 Microsoft Windows Remote Code Execution Critical MS05-013 Microsoft Windows Remote Code Execution Critical MS05-014 Microsoft Windows Remote Code Execution Critical MS05-015 Microsoft Windows Remote Code Execution MS05-004: Introduzione ASP.NET Path Validation Vulnerability (887219) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Microsoft .NET Framework 1.0 Service Packs 2 & 3 Microsoft .NET Framework 1.1 (All Versions) Componente interessato: ASP.NET www.microsoft.com/technet/security/bulletin/ms05-004.mspx MS05-004: Comprendere la vulnerabilità Path Validation Vulnerability - CAN-2004-0847 Vulnerabilità nel processo di Canonicalizzazione degli URL Può consentire di bypassare la sicurezza di un sito web ASP.NET e acquisire accesso non autorizzato Modalità di attacco Utilizzando e inviando uno specifico URL verso un sistema affetto tramite un’utenza anonima Possibilità di attacco via Internet Impatto della Vulnerabilità: Information Disclosure, possibile Elevation of Privilege Impatto di un attacco riuscito Diversi tipi di azioni, a seconda dello specifico contenuto del sito web Pubblica Exploit reso noto MS05-004: Fattori mitiganti La vulnerabilità impatta solo i siti che richiedono accesso autenticato MS05-004: Soluzioni alternative Applicare il modulo HTTP discusso nell’articolo di Knowledge Base 887289 Installa il modulo Microsoft.Web.ValidatePathModule.dll Aggiorna i machine.config per richiamare questo modulo Accertarsi che le applicazioni usino i moduli HTTP definiti a livello di Machine.config e non di applicazione (Web.config) Modificare il file global.asax secondo l’esempio discusso nell’articolo di Knowledge Base 887459 Il file si trova nella application root directory di ogni applicazione ASP.NET Aggiunge un event handler Application_BeginRequest che evita l’utilizzo di caratteri non validi o di URL malformati MS05-005: Introduzione Vulnerability in Microsoft Office XP could allow Remote Code Execution (873352) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Microsoft Office XP Software Service Packs 2 & 3 Microsoft Project 2002 Microsoft Visio 2002 Microsoft Works Suite 2002, 2003 & 2004 Software non interessato: Microsoft Office 2000 & 2003 www.microsoft.com/technet/security/bulletin/ms05-005.mspx MS05-005: Comprendere la vulnerabilità Office XP Vulnerability - CAN-2004-0848 La vulnerabilità è dovuta a un Buffer overrun nel processo di gestione degli URL da parte di Office Modalità di attacco Creando un documento contenente dati OLE malformati Possibilità di attacco via Internet Impatto della vulnerabilità: Esecuzione di codice da remotocon i privilegi dell’utente loggato Non pubblica Proof of concept reso noto Inviandolo via mail o pubblicandolo su un sito web MS05-005: Fattori mitiganti Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi È richiesta l’interazione dell’utente Deve aprire il documento in Internet Explorer o cliccare su un link contenuto in una mail: l’attacco non può essere automatizzato Microsoft ISA 2004 blocca di default l’URL malformato quando funge da proxy delle richieste dei client MS05-005: Soluzioni alternative Abilitare la conferma per l’apertura di documenti Office Abilitato di default MS05-006: Introduzione Vulnerability in Windows SharePoint Services and SharePoint Team Services Could Allow Cross-Site Scripting and Spoofing Attacks (887981) Livello di gravità massimo: Moderato Software Interessato: SharePoint Team Services from Microsoft www.microsoft.com/technet/security/bulletin/ms05-006.mspx Windows SharePoint Services MS05-006: Comprendere la vulnerabilità Cross-site Scripting e Spoofing Vulnerability - CAN-2005-0049 La non completa validazione delll’input delle query HTML di redirection provoca una vulnerabilità del tipo cross-site scripting Modalità di attacco Link opportunamente malformato su una pagina HTML Ospitata su un sito Web Inviata tramite e-mail Possibilità di attacco via Internet Impatto della vulnerabilità: Esecuzione di codice da remoto Impatti di un attacco riuscito Esecuzione di codice sul sistema dell’utente che visualizza il sito SharePoint nel contesto di sicurezza dell’utente Modifica della cache dei browser e/o dei server proxy intermedi Non pubblica Exploit non ancora noti MS05-006: Fattori mitiganti L’hacker deve possedere delle credenziali valide per effettuare il logon sul server SharePoint server Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi L’opzione “Do not save encrypted pages to disk” evita che nella cache del client sia inserito contenuto spoofed Le connessioni SSL sono protette dal vettore di attacco dei proxy intermedi Per l’hacker è estremamente complesso predire a quale utente verrà servito il contenuto spoofed dalla cache del proxy intermedio MS05-006: Soluzioni alternative Nessuna MS05-007: Introduzione Vulnerability in Windows Could Allow Information Disclosure (888302) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Software non interessato Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) www.microsoft.com/technet/security/bulletin/ms05-007.mspx MS05-007: Comprendere le vulnerabilità Named Pipe Vulnerability - CAN-2005-0051 Modalità di attacco Invio di un pacchetto di rete opportunamente malformato verso un sistema vulnerabile da parte di un utente anonimo Possibilità di attacco via Internet Impatti di un attacco riuscito Può consentire di leggere da remoto lo username degli utenti che hanno connessioni aperte verso risorse condivise Information Disclosure Non pubblica Exploit non ancora noti MS05-007: Fattori mitiganti Le best practices relative ai firewall che indicano di minimizzare il numero di porte esposte può mitigare la vulnerabilità Disabilitare il servizio Computer Browser Fermare o disabilitare il Computer Browser e restartare il sistema affetto mitiga la vulnerabilità MS05-007: Soluzioni alternative Disabilitare il servizio Computer Browser Usare un personal firewall, come Internet Connection Firewall Bloccare il traffico usando IPSec sui sistemi vulnerabili Per informazioni dettagliate su IPSec e come applicare i relativi filtri fare riferimento a Microsoft Knowledge Base Article 313190 e Microsoft Knowledge Base Article 813878 Bloccare le porte TCP 139 e 445 a livello di firewall Abilitare advanced TCP/IP filtering Fare riferimento a Microsoft Knowledge Base Article 309798 MS05-008: Introduzione Vulnerability in Windows Shell Could Allow Remote Code Execution (890047) Livello di gravità massimo: Importante Software Interessato dalla vulnerabilità: Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) www.microsoft.com/technet/security/bulletin/ms05-008.mspx MS05-008: Comprendere le vulnerabilità Drag-and-Drop Vulnerability - CAN-2005-0053 La tecnologia Drag-and-Drop valida in modo non corretto alcuni eventi DHTML che possono permettere il download di un file dopo aver cliccato su un link Modalità di attacco Creando un’opportuna pagina HTML che viene poi Ospitata su un sito Web Inviata tramite e-mail Possibilità di attacco via Internet Impatto della vulnerabilità: Esecuzione di codice da remoto Impatti di un attacco riuscito Download di codice potenzialmente dannoso sul sistema dell’utente Pubblica Exploit reso noto MS05-008: Fattori mitiganti L’hacker non è in grado di eseguire direttamente del codice Nello scenario di attacco via web, l’utente dev’essere convinto a visitare il sito dell’hacker: l’attacco non può essere automatizzato Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la superficie di attacco Outlook Express 6, Outlook 2002, e Outlook 2003 di default Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security Update (OESU) Outlook Express 5.5 con MS04-018 Il rischio causato dalle e-mail HTML è significativamente ridotto se: È installato MS03-040 o un successivo aggiornamento cumulativo per IE e contemporaneamente Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di default Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail Security Update nella configurazione di default MS05-008: Soluzioni alternative Disabilitare “Drag and Drop or copy and paste files” in Internet Explorer Impostare la security delle zone Internet e Local intranet ad “High” Leggere le mail in formato solo testo Limitare la navigazione sui siti web ai soli siti ritenuti affidabili MS05-009: Introduzione Vulnerability in PNG Processing Could Lead to Buffer Overrun (890261) Livello di gravità massimo: Critico Software interessato: Microsoft Windows Media Player 9 Series (su piattaforma Windows 2000, Windows XP e Windows Server 2003) Microsoft MSN Messenger 6.1 & 6.2 Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) Software non interessato: MSN Messenger for Mac Windows Media Player 6.4 & 7.1 Windows Media Player for Windows XP (8.0) Windows Media Player 9 Series for Windows XP Service Pack2 Windows Media Player 10 MS05-009: Introduzione (2) Componenti interessati: Microsoft Windows Messenger versione 4.7.2009 (su piattaforma Windows XP e Windows XP Service Pack 1) Microsoft Windows Messenger version 4.7.3000 (su piattaforma Windows XP Service Pack 2) Microsoft Windows Messenger version 5.0 (versione standalone che può essere installata su tutti i sistemi operativi supportati) Impatto della vulnerabilità: Esecuzione di codice da remoto www.microsoft.com/technet/security/bulletin/ms05003.mspx MS05-009: Comprendere le vulnerabilità PNG Processing Vulnerability- CAN-2004-1244 Buffer overrun in come Windows Media Player gestisce il formato di immagini PNG aventi altezza eccessiva Modalità di attacco Creando un immagine PNG che viene poi Impatti di un attacco riuscito Ospitata su un Web site Ospitata su una share di rete Inviata tramite e-mail Esecuzione di codice con i privilegi di Local System Pubblica Exploit reso noto per MSN Messenger MS05-009: Comprendere la vulnerabilità PNG Processing Vulnerability in Windows Messenger and MSN Messenger - CAN-2004-0597 Buffer overrun in come Windows Messenger e MSN Messenger implementano la libreria pubblica lipng versione 1.2.5 Modalità di attacco L’hacker dovrebbe simulare il servizio .NET Messenger, o intercettare e riscrivere la comunicazione tra client e server Possibilità di attacco via Internet: No Impatti di un attacco riuscito Inviare un PNG malformato a Windows Messenger o MSN Messenger non sfrutta la vulnerabilità Esecuzione di codice con i privilegi di Local System Publica Exploit reso noto MS05-009: Fattori mitiganti Per la prima vulnerabilità È richiesta l’interazione dell’utente, che deve visitare il sito dell’hacker, la share di rete o cliccare su un link in una email: l’attacco non può essere automatizzato Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi Per la seconda vulnerabilità Sfruttare la vulnerabilità richiede un grosso sforzo e la conoscenza della infrastruttura di rete dell’organizzazione Gli utenti di Windows Messenger dovrebbero essere configurati per ricevere gli Alerts .NET MSN Messenger non consente ad utenti anonimi di inviare messaggi di default. L’hacker dovrebbe in primo luogo indurre l’utente ad aggiungerlo alla lista dei contatti MS05-009: Soluzioni alternative Disassociare le estensioni dei metafile (.ASX, .WAX, .WVX, .WPL, .WMX, .WMS, .WMZ) Disabilitare il controllo ActiveX di Windows Media Player Rimuovere dal registry tutte le entry MIME type che associano a Windows Media Player il MIME type elencato nell’header ContentType Disabilitare .NET Alerts in Windows Messenger Disabilitare la visualizzazione delle immagini in MSN Messenger Disabilitare gli Emoticons Non accettare file da contatti sconosciuti o di cui non ci si fida Non aggiungere indirizzi non conosciuti all’elenco dei contatti Controllare tutti i contatti presenti nel proprio elenco e rimuovere o bloccare quelli non noti, non necessari o di cui non ci si fida Strumenti per il rilevamento MBSA: MS05-005 – tramite ODT localmente NOTE: MBSA does successfully detect systems running Microsoft Works Suite 2002, 2003 or 2004 that require this update MS05-006 – Only SharePoint Team Services through Office Detection Tool (ODT) localmente MS05-009 – Windows Media Player 9 MS05-007, MS05-008 KB 306460 for information on products that MBSA detects (http://support.microsoft.com/kb/306460) See http://office.microsoft.com/enus/FX010402221033.aspx for information on products that the Office Detection Tool supports Strumenti per il rilevamento Enterprise Scanning Tool (EST): MS05-004 MS05-006 – solo Windows Sharepoint Services MS05-009 Strumenti per il rilevamento SUS: MS05-004 MS05-006 – solo Windows Sharepoint Services MS05-007 MS05-008 MS05-009 – Windows Media Player 9 Strumenti per il rilevamento SMS 2.0 / 2003: Tramite SMS 2.0 con SUS Feature Pack e SMS 2003 è possibile identificare i sistemi che richiedono: MS05-007 MS05-008 MS05-009 – Windows Media Player 9, Windows Messenger Strumenti per il rilevamento SMS 2.0 / 2003: Usando SMS 2.0 con SUS Feature Pack e SMS 2003 insieme a Office Detection Tool (ODT) è possibile identificare i sistemi che richiedono: Usare la software inventory per i sistemi che richiedono: MS05-005 – tramite ODT localmente Solo i prodotti supportati da Office Detection Tool Fare riferimento a http://go.microsoft.com/fwlink/?LinkId=19025 MS05-006 –SharePoint Team Services tramite ODT localmente MS05-004 MS05-006 – solo Windows Sharepoint Services MS05-009 – solo MSN Messenger Nota: EST può essete usato con SMS per il deployment Fare riferimento a KB 867832 per dettagli sulla software inventory Strumenti per il deployment SUS: Usare il SUS Client (Automatic Updates Client) per deployare tutti gli update eccetto: MS05-005 (tutti gli aggiornamenti) – consigliare Office Update http://go.microsoft.com/fwlink/?LinkId=21135 MS05-006 (SharePoint Team Services) – consigliare Office Update http://go.microsoft.com/fwlink/?LinkId=21135 MS05-009 (MSN Messenger) – scaricare l’aggiornamento da http://messenger.msn.com SUS consoliderà gli aggiornamenti in modo da richiedere un unico reboot Strumenti per il deployment SMS: Usare SMS 2.0/SMS 2003 per installare tutti gli aggiornamenti eccetto: MS05-009 (MSN Messenger) – scaricare l’aggiornamento da http://messenger.msn.com Per maggiori informazioni sulla Software Distribution: www.microsoft.com/technet/prodtechnol/sms/sms2003/patc hupdate.mspx Strumenti per il deployment MS05-005 e MS05-006 (SharePoint Team Services) Prerequisiti: Microsoft Windows Installer 2.0 Office XP Service Pack 3 Accesso all’ install point o al media originale Possono essere applicati all’Administrative Install Point per poi aggiornare i client Possono essere applicati direttamente ai client Fare riferimento a “Strategies for Updating Office XP Installations” http://office.microsoft.com/enus/assistance/HA011525751033.aspx Installazione degli aggiornamenti Bollettino Restart Uninstall MS05-004 SI SI MS05-005 No No MS05-006 Può essere necessario No MS05-007 Può essere necessario Si MS05-008 SI Si MS05-009 Può essere necessario SI Installazione degli aggiornamenti Security Update sostituiti Da MS05-004, MS05-006, MS05-007, MS05-008 – Nessuno Da MS05-005 : MS04-028 per Microsoft Office XP Da MS05-009 : MS03-021 per Windows Media Player 9 MS05-010: Introduzione Vulnerability in the License Logging Service Could Allow Code Execution (885834) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Microsoft Windows NT Server 4.0 SP6a Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 Microsoft Windows 2000 Server SP3 & SP4 Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Nota importante: la disponibilità dell’aggiornamento per i sistemi Windows NT 4.0 (non più supportati) rappresenta un rilascio straordinario Valutazioni del rischio a cui sarebbe sottoposto un numero elevato di clienti non ancora aggiornati a versioni successive MS05-010: Analisi di rischio License Logging Service Vulnerability - CAN2005-0050 Effetti della vulnerabilità: Unchecked buffer del servizio License Logging Esecuzione di codice da remoto Modalità di attacco Eseguibile da remoto Attacco autenticato: Inviando pacchetti di rete malformati NO: Windows NT 4, Windows 2000 Server SP3 ed SBS 2000 installato su Windows 2000 Server SP3 SI: Windows 2000 Server SP4, Windows Server 2003, SBS 2003, ed SBS 2000 installato su Windows 2000 Server SP4 Privilegi ottenibili: LocalSystem MS05-010: Fattori mitiganti Su Windows Server 2003: Su SBS 2000/2003 il servizio License Logging è attivo ma raggiungibile solo dalla rete locale Windows 2000 SP4 il servizio License Logging è disabilitato by default l’effetto di un attacco sarebbe più probabilmente un DoS solo connessioni autenticate il servizio è raggiungibile solo da connessioni autenticate Le “best practice” di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet MS05-010: Soluzioni alternative Disabilitare il servizio License Logging Non su SBS 2000 o SBS 2003, dove è necessario Disabilitare le connessioni anonime rimuovendo il servizio License Logging dalla chiave di registry NullSessionPipes Su Windows NT 4.0 e Windows 2000 Server SP3 Bloccare le porte TCP 139 e 445 sul firewall perimetrale Utilizzare un personal firewall (es. ICF su Windows Server 2003) Utilizzare IPSEC o TCP/IP filtering Utilizzare il wizard “Configure E-mail & Internet Connection” su SBS 2000/2003 MS05-011: Introduzione Vulnerability in Server Message Block Could Allow Remote Code Execution (885250) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems MS05-011: Analisi di rischio Server Message Block Vulnerability - CAN-20050045 Effetti della vulnerabilità: Problema nella validazione di alcuni pacchetti di rete SMB Esecuzione di codice da remoto Modalità di attacco Eseguibile da remoto Inviando pacchetti di rete malformati Pagina HTML artefatta ospitata su un sito Web o inviata come e-mail Attacco autenticato: No Privilegi ottenibili: LocalSystem MS05-011: Fattori mitiganti Gli attacchi tramite pagine HTML non sono automatici: E’ necessario convincere la vittima a visitare il sito dell’attacker E’ necessario cliccare su un link nella e-mail HTML Il blocco dei pacchetti broadcast mitiga lo sfruttamento della vulnerabilità Le “best practice” di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet MS05-011: Soluzioni alternative Bloccare le porte TCP 139 e 445 sul firewall perimetrale Utilizzare un personal firewall (es. ICF su Windows Server 2003) Utilizzare IPSEC o TCP/IP filtering Nota: altri protocolli come IPX/SPX potrebbero essere vulnerabili si raccomanda di bloccare adeguatamente anche le porte di tali protocolli MS05-012: Introduzione Vulnerability in OLE and COM Could Allow Remote Code Execution (873333) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Software che utilizza il componente Windows OLE Microsoft Windows 2000 Service Packs 3 & 4 Microsoft Windows XP Service Packs 1 & 2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Exchange Server 2003 Gold & SP1 Exchange 2000 Server SP3 Exchange Server 5.5 SP4 & Exchange 5.0 SP2 Office 2003 Gold & SP1 Office XP SP2 & SP3 Windows 98, 98SE ed ME non sono interessati in modo critico MS05-012: Analisi di rischio COM Structured Storage Vulnerability - CAN2005-0047 Effetti della vulnerabilità: Problema nella gestione dei COM Structured Storage Privilege Elevation Modalità di attacco Eseguibile da remoto: No necessario il logon locale per lanciare un programma artefatto Attacco autenticato: Sì Privilegi ottenibili: Non applicabile MS05-012: Analisi di rischio (2) Input Validation Vulnerability - CAN-2005-0044 Effetti della vulnerabilità: “Unchecked buffer” nel processo che valida i dati OLE Esecuzione di codice da remoto Modalità di attacco Eseguibile da remoto: Sì Documenti con dati OLE malformati messaggi malformati diretti ad Exchange Attacco autenticato: No Privilegi ottenibili: quelli dell’applicazione sotto attacco MS05-012: Fattori mitiganti COM Structured Storage Vulnerability CAN-2005-0047: Non è possibile l’attacco da remoto e in modo anonimo Input Validation Vulnerability - CAN-20050044 l’utilizzo di credenziali non amministrative minimizza l’impatto per le applicazioni eseguite nel contesto dell’utente E’ necessaria l’interazione dell’utente per gli attacchi web-based L’utente deve aprire volontariamente l’allegato pericoloso MS05-012: Soluzioni alternative Nessuna per la prima vulnerabilità (COM structured storage) Non aprire o salvare documenti ricevuti da fonti non sicure Per difendersi da attacchi diretti verso Exchange bloccare i contenuti allegati con un MIME Type di tipo application/ms-tnef forzare l’autenticazione per tutte le connessioni non accettare newsfeed pubblici in ingresso sul protocollo NNTP MS05-013: Introduzione Vulnerability in the DHTML Editing Component ActiveX Control Could Allow Code Execution (891781) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition MS05-013: Analisi di rischio DHTML Editing Component ActiveX Control Cross Domain Vulnerability - CAN-2004-1319 Effetti della vulnerabilità: Problemi nella validazione di funzioni presenti nel controllo ActiveX DHTML Editing Esecuzione di codice da remoto (nella zona Local Machine) Modalità di attacco Eseguibile da remoto: Sì pagina HTML ospitata su un sito web o inviata tramite e-mail Attacco autenticato: No Privilegi ottenibili: quelli dell’utente loggato MS05-013: Fattori mitiganti l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato la lettura di HTML e-mail nella zona Restricted sites aiuta a ridurre gli attacchi Outlook Express 6, Outlook 2002, e Outlook 2003 by default Outlook 98 e Outlook 2000 con Outlook E-mail Security Update (OESU) Outlook Express 5.5 con MS04-018 Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se: È installato l’ultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default In Windows XP SP2, il rafforzamento delle impostazioni della Local Machine Zone mitiga la vulnerabilità MS05-013: Soluzioni alternative Disabilitare temporaneamente il componente DHTML Editing Impostare la configurazione delle zone Internet e Intranet ad “High” utilizzando l’Add-on manager di Windows XP SP2 per forzare il prompt nell’esecuzione di ActiveX e active scripting Leggere le e-mail in formato solo testo Abilitare i client di posta alla lettura di email HTML nella Restricted Sites zone MS05-014: Introduzione Cumulative Security Update for Internet Explorer (867282) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition MS05-014: Analisi di rischio Drag and Drop Vulnerability - CAN-2005-0053 Effetti dell’attacco: permettere il salvataggio di codice sul sistema della vittima URL Decoding Zone Spoofing Vulnerability CAN-2005-0054 Problemi nella validazione di alcuni eventi DHTML da parte della tecnologia Drag-and-Drop Problemi nel parsing di alcune encoded URL che causano una diversa interpretazione delle zone di appartenenza Effetti dell’attacco: esecuzione di codice nel contesto di sicurezza dell’utente loggato MS05-014: Analisi di rischio (2) DHTML Method Heap Memory Corruption Vulnerability - CAN-2005-0055 Effetti dell’attacco: esecuzione di codice nel contesto di sicurezza dell’utente loggato Channel Definition Format (CDF) Cross Domain Vulnerability - CAN-2005-0056 Problemi nella validazione del buffer di memoria da parte di alcuni metodi DHTML Problemi nel parsing di alcune URL nei file CDF da parte del modello di sicurezza cross-domain Effetti dell’attacco: esecuzione di codice nella Local Machine Zone nel contesto di sicurezza dell’utente loggato MS05-014: Fattori mitiganti l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato la lettura di HTML e-mail nella zona Restricted sites aiuta a ridurre gli attacchi Outlook Express 6, Outlook 2002, e Outlook 2003 by default Outlook 98 e Outlook 2000 con Outlook E-mail Security Update (OESU) Outlook Express 5.5 con MS04-018 Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se: È installato l’ultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default MS05-014: Fattori mitiganti In Windows XP SP2, il rafforzamento delle impostazioni della Local Machine Zone mitiga 2 vulnerabilità correlate il nuovo contesto di sicurezza presente sugli oggetti “scriptabili” blocca l’accesso agli oggetti in cache per la vulnerabilità relativa ai CDF MS05-014: Soluzioni alternative Disabilitare l’impostazione “Drag-and-Drop or copy and paste files” Impostare la configurazione delle zone Internet e Intranet ad “High” per forzare il prompt nell’esecuzione di ActiveX e active scripting Leggere le e-mail in formato solo testo Abilitare i client di posta alla lettura di email HTML nella Restricted Sites zone MS05-015: Introduzione Vulnerability in Hyperlink Object Library Could Allow Remote Code Execution (888113) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Microsoft Windows 2000 SP3 & SP4 Microsoft Windows XP SP1 & SP2 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based Systems Microsoft Windows 98, Microsoft Windows 98 Second Edition MS05-015: Analisi di rischio Hyperlink Object Library Vulnerability CAN-2005-0057 Effetti della vulnerabilità: Buffer overrun nella libreria Hyperlink Object Esecuzione di codice da remoto Modalità di attacco Eseguibile da remoto: Sì pagina HTML ospitata su un sito web o inviata tramite e-mail Attacco autenticato: No Privilegi ottenibili: quelli dell’utente loggato MS05-015: Fattori mitiganti l’attacco web-based non può essere automatizzato l’utente deve essere indotto a visitare il sito pericoloso deve cliccare su un link nella e-mail l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato Microsoft ISA Server 2004 rifiuta l’URL in grado di causare l’attacco quando deve servire il client in una richiesta proxy Non vi sono soluzione alternative Strumenti per il rilevamento MBSA SUS Valido per tutti: da MS05-010 a MS05-015 Valido per tutti: da MS05-010 a MS05-015 SMS 2.0 / 2003 Valido per tutti: da MS05-010 a MS05-015 Strumenti per il deployment SUS Valido per tutti: da MS05-010 a MS05-015 SMS É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire tutti gli aggiornamenti: da MS05-010 a MS05-015 Installazione degli Aggiornamenti Aggiornamenti di sicurezza sostituiti MS05-012: MS05-014: MS04-040 per Internet Explorer 6 SP1 MS04-038 per Internet Explorer 5.01 SP3, SP4 Internet Explorer 5.5 SP2 su Windows ME Internet Explorer 6 SP1 Internet Explorer 6 per Windows Server 2003 Internet Explorer 6 su Windows XP Service Pack 2 Riavvio necessario per: MS03-010 per Windows 2000, Windows XP MS03-026 e MS03-039 per Windows 2000, Windows XP, e Windows Server 2003 MS05-011, MS05-012, MS05-014 Disinstallazione Tutti i 6 aggiornamenti possono essere rimossi Altre informazioni sugli aggiornamenti MS04-014 Cambiamento rispetto al bollettino MS04-040: solo un aggiornamento (no update rollup) l’aggiornamento per Internet Explorer 6 Service Pack 1 su Windows 2000 SP3, SP4 o Windows XP SP1 verifica la presenza di hotfix emesse dopo il bollettino MS04-038 e l’update rollup 873377 o 889669 Per ulteriori informazioni consultare l’articolo della Microsoft Knowledge Base 867282 Altre informazioni sugli aggiornamenti (2) MS05-008 & MS05-014: Sono necessari entrambi per risolvere la vulnerabilità “Dragand-Drop Vulnerability” (CAN-2005-0053) L’ordine di installazione non è importante MS05-012: L’aggiornamento include delle modifiche conseguenti alla security review operata MS05-014: Imposta il “kill bit” per il controllo ActiveX Image Control 1.0 Modifica al registry per supportare l’aggiornamento relativo al bollettino MS05-008 per la vulnerabilità “Drag-and Drop” Include una chiave di registry per elencare i file type validi per gli eventi drag and drop MS04-035: Riemissione Vulnerability in SMTP Could Allow Remote Code Execution (885881) La riemissione si è resa necessaria per segnalare un nuovo software interessato: Microsoft Exchange 2000 Server SP3 e un nuovo componente interessato: Microsoft Exchange 2000 Server Routing Engine Enterprise Scanning Tool Un tool supplementare che verrà fornito laddove MBSA non sia in grado di rilevare la necessità di aggiornamento per tutti i bollettini. Progettato per gli amministratori in ambito enterprise Il tool può essere lanciato da linea di comando Il formato di output è in XML Disponibile anche una versione per gli amministratori SMS Ulteriori informazioni nell’articolo KB 894193 (http://support.microsoft.com/kb/894193) Guide a supporto del patch deployment KB 894192 – Deployment & Detection Guidance for the February Security Bulletins (http://support.microsoft.com/kb/894192) Giovedì 6 febbraio 2005, 11AM PT Webcast supplementale in inglese sulle modaliltà di rilevamento e deployment dei bollettini di sicurezza di febbraio. E’ possibile inviare le domande in anticipo: [email protected] Malicious Software Removal Tool (Aggiornamento) La seconda emissione del tool aggiunge la capacità di rimozione di altri malware: Korgo, Randex, Netsky, Zafi e 12 varianti dei virus già presenti nella versione di gennaio Come sempre è disponibile: Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP Download dal Microsoft Download Center (www.microsoft.com/downloads) Come controllo ActiveX su www.microsoft.com/malwareremove Accordo per l’acquisizione di Sybari Software, Inc. Lo scorso 8 febbraio 2005 Microsoft ha annunciato la sua intenzione di acquisire la società Sybari Software, Inc. I prodotti di sicurezza di Sybari supportano circa 10.000 realtà aziendali nel proteggere i sistemi di messaging e collaboration dagli attacchi di codice malware Il prodotto di Sybari, Antigen, è dotato di una strategia di difesa multilivello: Minimizza la finestra di esposizione alle vulnerabilità Fornisce ai clienti la possibilità di monitorare, controllare e gestire le modalità di scansione antivirus su tutta la propria rete interna Implementa la massima protezione garantendo il minimo impatto nelle prestazioni dei sistemi di messaging e collaboration Per ulteriori informazioni www.microsoft.com/presspass/press/2005/feb05/0208SybariPR.asp Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettini http://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS RSS Security Bulletin Feed http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Ricerca di un bollettino www.microsoft.com/technet/security/current.aspx Webcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspx Risorse utili Sito Sicurezza Inglese http://www.microsoft.com/security/default.mspx Italiano http://www.microsoft.com/italy/security/default.mspx Security Guidance Center Inglese Italiano www.microsoft.com/security/guidance www.microsoft.com/italy/security/guidance Security Newsletter Windows XP Service Pack 2 www.microsoft.com/technet/security/secnews/d efault.mspx www.microsoft.com/technet/winxpsp2 Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11 marzo 2005) http://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspx www.microsoft.com/security360 ospitato all’interno dell’RSA Conference di San Francisco – 14/18 febbraio Keynote di Bill Gates