...

Approfondimenti sui Microsoft Security Bulletin febbraio 2005

by user

on
Category: Documents
12

views

Report

Comments

Transcript

Approfondimenti sui Microsoft Security Bulletin febbraio 2005
Approfondimenti sui
Microsoft Security Bulletin
febbraio 2005
Feliciano Intini
Andrea Piazza
Mauro Cornelli
Premier Center for Security - Microsoft Services
Italia
Agenda

Bollettini sulla Sicurezza di febbraio 2005:



Altre informazioni sulla sicurezza:





Nuovi: da MS05-004 a MS05-015
Riemessi: MS04-035 su SMTP
Enterprise Scanning Tool
Guide a supporto del patch deployment
Malicious Software Removal Tools di febbraio
Annuncio di accordo per l’acquisizione di Sybari
Software
Risorse ed Eventi
Bollettini di Sicurezza
Febbraio 2005
MAXIMUM
SEVERITY
BULLETIN
NUMBER
PRODUCTS
AFFECTED
IMPACT
Important
MS05-004
Microsoft .NET
Framework
Information Disclosure,
possible Elevation of Privilege
Critical
MS05-005
Microsoft Office XP
Remote Code Execution
Moderate
MS05-006
Microsoft Windows
SharePoint Services,
SharePoint Team
Services
Remote Code Execution
Important
MS05-007
Microsoft Windows
Information Disclosure
Important
MS05-008
Microsoft Windows
Remote Code Execution
MS05-009
Microsoft Windows,
Microsoft Windows
Media Player,
Microsoft MSN
Messenger
Remote Code Execution
Critical
Bollettini di Sicurezza
Febbraio 2005 (2)
MAXIMUM
SEVERITY
BULLETIN
NUMBER
PRODUCTS
AFFECTED
IMPACT
Critical
MS05-010
Microsoft Windows
Remote Code Execution
Critical
MS05-011
Microsoft Windows
Remote Code Execution
Critical
MS05-012
Microsoft Windows
Remote Code Execution
Critical
MS05-013
Microsoft Windows
Remote Code Execution
Critical
MS05-014
Microsoft Windows
Remote Code Execution
Critical
MS05-015
Microsoft Windows
Remote Code Execution
MS05-004: Introduzione



ASP.NET Path Validation Vulnerability (887219)
Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità:


Microsoft .NET Framework 1.0 Service Packs 2 & 3
Microsoft .NET Framework 1.1 (All Versions)

Componente interessato:

ASP.NET
www.microsoft.com/technet/security/bulletin/ms05-004.mspx

MS05-004: Comprendere la
vulnerabilità


Path Validation Vulnerability - CAN-2004-0847

Vulnerabilità nel processo di Canonicalizzazione degli URL

Può consentire di bypassare la sicurezza di un sito web ASP.NET e
acquisire accesso non autorizzato
Modalità di attacco

Utilizzando e inviando uno specifico URL verso un sistema affetto
tramite un’utenza anonima

Possibilità di attacco via Internet

Impatto della Vulnerabilità: Information Disclosure, possibile
Elevation of Privilege

Impatto di un attacco riuscito

Diversi tipi di azioni, a seconda dello specifico contenuto del sito web

Pubblica

Exploit reso noto
MS05-004: Fattori mitiganti

La vulnerabilità impatta solo i siti che
richiedono accesso autenticato
MS05-004: Soluzioni alternative


Applicare il modulo HTTP discusso nell’articolo
di Knowledge Base 887289

Installa il modulo Microsoft.Web.ValidatePathModule.dll

Aggiorna i machine.config per richiamare questo modulo

Accertarsi che le applicazioni usino i moduli HTTP definiti a
livello di Machine.config e non di applicazione (Web.config)
Modificare il file global.asax secondo l’esempio
discusso nell’articolo di Knowledge Base
887459

Il file si trova nella application root directory di ogni
applicazione ASP.NET

Aggiunge un event handler Application_BeginRequest che
evita l’utilizzo di caratteri non validi o di URL malformati
MS05-005: Introduzione



Vulnerability in Microsoft Office XP could allow Remote
Code Execution (873352)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:




Microsoft Office XP Software Service Packs 2 & 3
Microsoft Project 2002
Microsoft Visio 2002
Microsoft Works Suite 2002, 2003 & 2004

Software non interessato:

Microsoft Office 2000 & 2003
www.microsoft.com/technet/security/bulletin/ms05-005.mspx

MS05-005: Comprendere la
vulnerabilità

Office XP Vulnerability - CAN-2004-0848


La vulnerabilità è dovuta a un Buffer overrun nel
processo di gestione degli URL da parte di Office
Modalità di attacco

Creando un documento contenente dati OLE
malformati

Possibilità di attacco via Internet
Impatto della vulnerabilità: Esecuzione di codice da
remotocon i privilegi dell’utente loggato
Non pubblica
Proof of concept reso noto




Inviandolo via mail o pubblicandolo su un sito web
MS05-005: Fattori mitiganti

Gli account configurati con privilegi
limitati sono meno esposti all'attacco
rispetto a quelli che operano con privilegi
amministrativi

È richiesta l’interazione dell’utente


Deve aprire il documento in Internet Explorer o
cliccare su un link contenuto in una mail: l’attacco
non può essere automatizzato
Microsoft ISA 2004 blocca di default l’URL
malformato quando funge da proxy delle
richieste dei client
MS05-005: Soluzioni alternative

Abilitare la conferma per l’apertura di
documenti Office

Abilitato di default
MS05-006: Introduzione

Vulnerability in Windows SharePoint Services and
SharePoint Team Services Could Allow Cross-Site
Scripting and Spoofing Attacks (887981)

Livello di gravità massimo: Moderato

Software Interessato:

SharePoint Team Services from Microsoft
www.microsoft.com/technet/security/bulletin/ms05-006.mspx


Windows SharePoint Services
MS05-006: Comprendere la
vulnerabilità

Cross-site Scripting e Spoofing Vulnerability - CAN-2005-0049


La non completa validazione delll’input delle query HTML di redirection
provoca una vulnerabilità del tipo cross-site scripting
Modalità di attacco


Link opportunamente malformato su una pagina HTML

Ospitata su un sito Web

Inviata tramite e-mail
Possibilità di attacco via Internet

Impatto della vulnerabilità: Esecuzione di codice da remoto

Impatti di un attacco riuscito



Esecuzione di codice sul sistema dell’utente che visualizza il sito
SharePoint nel contesto di sicurezza dell’utente

Modifica della cache dei browser e/o dei server proxy intermedi
Non pubblica
Exploit non ancora noti
MS05-006: Fattori mitiganti





L’hacker deve possedere delle credenziali valide per
effettuare il logon sul server SharePoint server
Gli account configurati con privilegi limitati sono meno
esposti all'attacco rispetto a quelli che operano con
privilegi amministrativi
L’opzione “Do not save encrypted pages to disk” evita
che nella cache del client sia inserito contenuto
spoofed
Le connessioni SSL sono protette dal vettore di attacco
dei proxy intermedi
Per l’hacker è estremamente complesso predire a quale
utente verrà servito il contenuto spoofed dalla cache del
proxy intermedio
MS05-006: Soluzioni alternative

Nessuna
MS05-007: Introduzione



Vulnerability in Windows Could Allow Information
Disclosure (888302)
Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità


Microsoft Windows XP Service Packs 1 & 2
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Software non interessato

Microsoft Windows 2000 Service Packs 3 & 4
 Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
 Microsoft Windows Server 2003
 Microsoft Windows Server 2003 for Itanium-based Systems
 Microsoft Windows 98, Microsoft Windows 98 Second Edition
(SE), e Microsoft Windows Millennium Edition (ME)
www.microsoft.com/technet/security/bulletin/ms05-007.mspx

MS05-007: Comprendere le
vulnerabilità

Named Pipe Vulnerability - CAN-2005-0051


Modalità di attacco




Invio di un pacchetto di rete opportunamente
malformato verso un sistema vulnerabile da parte di
un utente anonimo
Possibilità di attacco via Internet
Impatti di un attacco riuscito


Può consentire di leggere da remoto lo username
degli utenti che hanno connessioni aperte verso
risorse condivise
Information Disclosure
Non pubblica
Exploit non ancora noti
MS05-007: Fattori mitiganti



Le best practices relative ai firewall che
indicano di minimizzare il numero di porte
esposte può mitigare la vulnerabilità
Disabilitare il servizio Computer Browser
Fermare o disabilitare il Computer
Browser e restartare il sistema affetto
mitiga la vulnerabilità
MS05-007: Soluzioni alternative



Disabilitare il servizio Computer Browser
Usare un personal firewall, come Internet
Connection Firewall
Bloccare il traffico usando IPSec sui sistemi
vulnerabili



Per informazioni dettagliate su IPSec e come
applicare i relativi filtri fare riferimento a Microsoft
Knowledge Base Article 313190 e Microsoft
Knowledge Base Article 813878
Bloccare le porte TCP 139 e 445 a livello di
firewall
Abilitare advanced TCP/IP filtering

Fare riferimento a Microsoft Knowledge Base
Article 309798
MS05-008: Introduzione

Vulnerability in Windows Shell Could Allow Remote
Code Execution (890047)
Livello di gravità massimo: Importante
Software Interessato dalla vulnerabilità:

Microsoft Windows 2000 Service Packs 3 & 4
 Microsoft Windows XP Service Packs 1 & 2
 Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
 Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
 Microsoft Windows Server 2003
 Microsoft Windows Server 2003 for Itanium-based Systems
 Microsoft Windows 98, Microsoft Windows 98 Second Edition
(SE), and Microsoft Windows Millennium Edition (ME)
www.microsoft.com/technet/security/bulletin/ms05-008.mspx



MS05-008: Comprendere le
vulnerabilità

Drag-and-Drop Vulnerability - CAN-2005-0053


La tecnologia Drag-and-Drop valida in modo non corretto alcuni eventi
DHTML che possono permettere il download di un file dopo aver
cliccato su un link
Modalità di attacco


Creando un’opportuna pagina HTML che viene poi

Ospitata su un sito Web

Inviata tramite e-mail
Possibilità di attacco via Internet

Impatto della vulnerabilità: Esecuzione di codice da remoto

Impatti di un attacco riuscito



Download di codice potenzialmente dannoso sul sistema dell’utente
Pubblica
Exploit reso noto
MS05-008: Fattori mitiganti




L’hacker non è in grado di eseguire direttamente del codice
Nello scenario di attacco via web, l’utente dev’essere convinto a
visitare il sito dell’hacker: l’attacco non può essere automatizzato
Gli account configurati con privilegi limitati sono meno esposti
all'attacco rispetto a quelli che operano con privilegi amministrativi
L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la
superficie di attacco




Outlook Express 6, Outlook 2002, e Outlook 2003 di default
Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security
Update (OESU)
Outlook Express 5.5 con MS04-018
Il rischio causato dalle e-mail HTML è significativamente ridotto se:


È installato MS03-040 o un successivo aggiornamento cumulativo per
IE e contemporaneamente
Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft
Outlook 2000 Service Pack 2 o successiva nella configurazione di
default

Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail
Security Update nella configurazione di default
MS05-008: Soluzioni alternative




Disabilitare “Drag and Drop or copy and
paste files” in Internet Explorer
Impostare la security delle zone Internet e
Local intranet ad “High”
Leggere le mail in formato solo testo
Limitare la navigazione sui siti web ai soli
siti ritenuti affidabili
MS05-009: Introduzione



Vulnerability in PNG Processing Could Lead to Buffer
Overrun (890261)
Livello di gravità massimo: Critico
Software interessato:




Microsoft Windows Media Player 9 Series (su piattaforma
Windows 2000, Windows XP e Windows Server 2003)
Microsoft MSN Messenger 6.1 & 6.2
Microsoft Windows 98, Microsoft Windows 98 Second Edition
(SE), e Microsoft Windows Millennium Edition (ME)
Software non interessato:





MSN Messenger for Mac
Windows Media Player 6.4 & 7.1
Windows Media Player for Windows XP (8.0)
Windows Media Player 9 Series for Windows XP Service
Pack2
Windows Media Player 10
MS05-009: Introduzione (2)

Componenti interessati:



Microsoft Windows Messenger versione 4.7.2009 (su
piattaforma Windows XP e Windows XP Service Pack
1)
Microsoft Windows Messenger version 4.7.3000 (su
piattaforma Windows XP Service Pack 2)
Microsoft Windows Messenger version 5.0 (versione
standalone che può essere installata su tutti i sistemi
operativi supportati)

Impatto della vulnerabilità: Esecuzione di
codice da remoto

www.microsoft.com/technet/security/bulletin/ms05003.mspx
MS05-009: Comprendere le
vulnerabilità

PNG Processing Vulnerability- CAN-2004-1244


Buffer overrun in come Windows Media Player
gestisce il formato di immagini PNG aventi altezza
eccessiva
Modalità di attacco

Creando un immagine PNG che viene poi




Impatti di un attacco riuscito



Ospitata su un Web site
Ospitata su una share di rete
Inviata tramite e-mail
Esecuzione di codice con i privilegi di Local System
Pubblica
Exploit reso noto per MSN Messenger
MS05-009: Comprendere la
vulnerabilità

PNG Processing Vulnerability in Windows Messenger
and MSN Messenger - CAN-2004-0597


Buffer overrun in come Windows Messenger e MSN Messenger
implementano la libreria pubblica lipng versione 1.2.5
Modalità di attacco

L’hacker dovrebbe simulare il servizio .NET Messenger, o
intercettare e riscrivere la comunicazione tra client e server




Possibilità di attacco via Internet: No
Impatti di un attacco riuscito


Inviare un PNG malformato a Windows Messenger o MSN
Messenger non sfrutta la vulnerabilità
Esecuzione di codice con i privilegi di Local System
Publica
Exploit reso noto
MS05-009: Fattori mitiganti

Per la prima vulnerabilità



È richiesta l’interazione dell’utente, che deve visitare il sito
dell’hacker, la share di rete o cliccare su un link in una email:
l’attacco non può essere automatizzato
Gli account configurati con privilegi limitati sono meno esposti
all'attacco rispetto a quelli che operano con privilegi
amministrativi
Per la seconda vulnerabilità



Sfruttare la vulnerabilità richiede un grosso sforzo e la
conoscenza della infrastruttura di rete dell’organizzazione
Gli utenti di Windows Messenger dovrebbero essere configurati
per ricevere gli Alerts .NET
MSN Messenger non consente ad utenti anonimi di inviare
messaggi di default. L’hacker dovrebbe in primo luogo indurre
l’utente ad aggiungerlo alla lista dei contatti
MS05-009: Soluzioni alternative









Disassociare le estensioni dei metafile
(.ASX, .WAX, .WVX, .WPL, .WMX, .WMS, .WMZ)
Disabilitare il controllo ActiveX di Windows Media Player
Rimuovere dal registry tutte le entry MIME type che associano a
Windows Media Player il MIME type elencato nell’header ContentType
Disabilitare .NET Alerts in Windows Messenger
Disabilitare la visualizzazione delle immagini in MSN Messenger
Disabilitare gli Emoticons
Non accettare file da contatti sconosciuti o di cui non ci si fida
Non aggiungere indirizzi non conosciuti all’elenco dei contatti
Controllare tutti i contatti presenti nel proprio elenco e rimuovere o
bloccare quelli non noti, non necessari o di cui non ci si fida
Strumenti per il rilevamento

MBSA:

MS05-005 – tramite ODT localmente






NOTE: MBSA does successfully detect systems
running Microsoft Works Suite 2002, 2003 or 2004 that
require this update
MS05-006 – Only SharePoint Team Services
through Office Detection Tool (ODT) localmente
MS05-009 – Windows Media Player 9
MS05-007, MS05-008
KB 306460 for information on products that
MBSA detects
(http://support.microsoft.com/kb/306460)
See http://office.microsoft.com/enus/FX010402221033.aspx for information on
products that the Office Detection Tool supports
Strumenti per il rilevamento

Enterprise Scanning Tool (EST):



MS05-004
MS05-006 – solo Windows Sharepoint Services
MS05-009
Strumenti per il rilevamento

SUS:





MS05-004
MS05-006 – solo Windows Sharepoint
Services
MS05-007
MS05-008
MS05-009 – Windows Media Player 9
Strumenti per il rilevamento

SMS 2.0 / 2003:

Tramite SMS 2.0 con SUS Feature Pack e
SMS 2003 è possibile identificare i sistemi
che richiedono:



MS05-007
MS05-008
MS05-009 – Windows Media Player 9, Windows
Messenger
Strumenti per il rilevamento

SMS 2.0 / 2003:

Usando SMS 2.0 con SUS Feature Pack e SMS 2003 insieme a
Office Detection Tool (ODT) è possibile identificare i sistemi che
richiedono:



Usare la software inventory per i sistemi che richiedono:




MS05-005 – tramite ODT localmente

Solo i prodotti supportati da Office Detection Tool

Fare riferimento a
http://go.microsoft.com/fwlink/?LinkId=19025
MS05-006 –SharePoint Team Services tramite ODT localmente
MS05-004
MS05-006 – solo Windows Sharepoint Services
MS05-009 – solo MSN Messenger

Nota: EST può essete usato con SMS per il deployment
Fare riferimento a KB 867832 per dettagli sulla software
inventory
Strumenti per il deployment

SUS:


Usare il SUS Client (Automatic Updates Client) per
deployare tutti gli update eccetto:

MS05-005 (tutti gli aggiornamenti) – consigliare Office
Update http://go.microsoft.com/fwlink/?LinkId=21135

MS05-006 (SharePoint Team Services) – consigliare Office
Update http://go.microsoft.com/fwlink/?LinkId=21135

MS05-009 (MSN Messenger) – scaricare l’aggiornamento da
http://messenger.msn.com
SUS consoliderà gli aggiornamenti in modo da
richiedere un unico reboot
Strumenti per il deployment

SMS:

Usare SMS 2.0/SMS 2003 per installare tutti gli
aggiornamenti eccetto:


MS05-009 (MSN Messenger) – scaricare l’aggiornamento da
http://messenger.msn.com
Per maggiori informazioni sulla Software
Distribution:

www.microsoft.com/technet/prodtechnol/sms/sms2003/patc
hupdate.mspx
Strumenti per il deployment

MS05-005 e MS05-006 (SharePoint Team
Services)

Prerequisiti:





Microsoft Windows Installer 2.0
Office XP Service Pack 3
Accesso all’ install point o al media originale
Possono essere applicati all’Administrative Install
Point per poi aggiornare i client
Possono essere applicati direttamente ai client

Fare riferimento a “Strategies for Updating Office XP
Installations” http://office.microsoft.com/enus/assistance/HA011525751033.aspx
Installazione degli
aggiornamenti
Bollettino
Restart
Uninstall
MS05-004
SI
SI
MS05-005
No
No
MS05-006
Può essere necessario
No
MS05-007
Può essere necessario
Si
MS05-008
SI
Si
MS05-009
Può essere necessario
SI
Installazione degli
aggiornamenti

Security Update sostituiti



Da MS05-004, MS05-006, MS05-007, MS05-008 –
Nessuno
Da MS05-005 : MS04-028 per Microsoft Office XP
Da MS05-009 : MS03-021 per Windows Media Player 9
MS05-010: Introduzione



Vulnerability in the License Logging Service Could
Allow Code Execution (885834)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:






Microsoft Windows NT Server 4.0 SP6a
Microsoft Windows NT Server 4.0 Terminal Server Edition SP6
Microsoft Windows 2000 Server SP3 & SP4
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Nota importante:


la disponibilità dell’aggiornamento per i sistemi Windows NT
4.0 (non più supportati) rappresenta un rilascio straordinario
Valutazioni del rischio a cui sarebbe sottoposto un numero
elevato di clienti non ancora aggiornati a versioni successive
MS05-010: Analisi di rischio

License Logging Service Vulnerability - CAN2005-0050


Effetti della vulnerabilità:


Unchecked buffer del servizio License Logging
Esecuzione di codice da remoto
Modalità di attacco

Eseguibile da remoto


Attacco autenticato:



Inviando pacchetti di rete malformati
NO: Windows NT 4, Windows 2000 Server SP3 ed SBS 2000
installato su Windows 2000 Server SP3
SI: Windows 2000 Server SP4, Windows Server 2003, SBS
2003, ed SBS 2000 installato su Windows 2000 Server SP4
Privilegi ottenibili: LocalSystem
MS05-010: Fattori mitiganti

Su Windows Server 2003:




Su SBS 2000/2003


il servizio License Logging è attivo ma raggiungibile
solo dalla rete locale
Windows 2000 SP4


il servizio License Logging è disabilitato by default
l’effetto di un attacco sarebbe più probabilmente un
DoS
solo connessioni autenticate
il servizio è raggiungibile solo da connessioni
autenticate
Le “best practice” di sicurezza perimetrale
dovrebbero mitigare il rischio di attacco da
internet
MS05-010: Soluzioni alternative

Disabilitare il servizio License Logging


Non su SBS 2000 o SBS 2003, dove è necessario
Disabilitare le connessioni anonime

rimuovendo il servizio License Logging dalla chiave di
registry NullSessionPipes





Su Windows NT 4.0 e Windows 2000 Server SP3
Bloccare le porte TCP 139 e 445 sul firewall
perimetrale
Utilizzare un personal firewall (es. ICF su
Windows Server 2003)
Utilizzare IPSEC o TCP/IP filtering
Utilizzare il wizard “Configure E-mail & Internet
Connection” su SBS 2000/2003
MS05-011: Introduzione



Vulnerability in Server Message Block Could Allow
Remote Code Execution (885250)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:






Microsoft Windows 2000 SP3 & SP4
Microsoft Windows XP SP1 & SP2
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
MS05-011: Analisi di rischio

Server Message Block Vulnerability - CAN-20050045


Effetti della vulnerabilità:


Problema nella validazione di alcuni pacchetti di rete
SMB
Esecuzione di codice da remoto
Modalità di attacco

Eseguibile da remoto


Inviando pacchetti di rete malformati
Pagina HTML artefatta

ospitata su un sito Web o inviata come e-mail

Attacco autenticato: No

Privilegi ottenibili: LocalSystem
MS05-011: Fattori mitiganti

Gli attacchi tramite pagine HTML non sono
automatici:




E’ necessario convincere la vittima a visitare il
sito dell’attacker
E’ necessario cliccare su un link nella e-mail
HTML
Il blocco dei pacchetti broadcast mitiga lo
sfruttamento della vulnerabilità
Le “best practice” di sicurezza perimetrale
dovrebbero mitigare il rischio di attacco da
internet
MS05-011: Soluzioni alternative




Bloccare le porte TCP 139 e 445 sul firewall
perimetrale
Utilizzare un personal firewall (es. ICF su
Windows Server 2003)
Utilizzare IPSEC o TCP/IP filtering
Nota:


altri protocolli come IPX/SPX potrebbero
essere vulnerabili
si raccomanda di bloccare adeguatamente
anche le porte di tali protocolli
MS05-012: Introduzione



Vulnerability in OLE and COM Could Allow Remote
Code Execution (873333)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:







Software che utilizza il componente Windows OLE






Microsoft Windows 2000 Service Packs 3 & 4
Microsoft Windows XP Service Packs 1 & 2
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Exchange Server 2003 Gold & SP1
Exchange 2000 Server SP3
Exchange Server 5.5 SP4 & Exchange 5.0 SP2
Office 2003 Gold & SP1
Office XP SP2 & SP3
Windows 98, 98SE ed ME non sono interessati in modo
critico
MS05-012: Analisi di rischio

COM Structured Storage Vulnerability - CAN2005-0047


Effetti della vulnerabilità:


Problema nella gestione dei COM Structured Storage
Privilege Elevation
Modalità di attacco

Eseguibile da remoto: No

necessario il logon locale per lanciare un programma artefatto

Attacco autenticato: Sì

Privilegi ottenibili: Non applicabile
MS05-012: Analisi di rischio (2)

Input Validation Vulnerability - CAN-2005-0044


Effetti della vulnerabilità:


“Unchecked buffer” nel processo che valida i dati OLE
Esecuzione di codice da remoto
Modalità di attacco

Eseguibile da remoto: Sì


Documenti con dati OLE malformati
messaggi malformati diretti ad Exchange

Attacco autenticato: No

Privilegi ottenibili: quelli dell’applicazione sotto
attacco
MS05-012: Fattori mitiganti

COM Structured Storage Vulnerability CAN-2005-0047:


Non è possibile l’attacco da remoto e in modo
anonimo
Input Validation Vulnerability - CAN-20050044



l’utilizzo di credenziali non amministrative
minimizza l’impatto per le applicazioni
eseguite nel contesto dell’utente
E’ necessaria l’interazione dell’utente per gli
attacchi web-based
L’utente deve aprire volontariamente
l’allegato pericoloso
MS05-012: Soluzioni alternative



Nessuna per la prima vulnerabilità (COM
structured storage)
Non aprire o salvare documenti ricevuti da
fonti non sicure
Per difendersi da attacchi diretti verso
Exchange



bloccare i contenuti allegati con un MIME Type
di tipo application/ms-tnef
forzare l’autenticazione per tutte le
connessioni
non accettare newsfeed pubblici in ingresso
sul protocollo NNTP
MS05-013: Introduzione



Vulnerability in the DHTML Editing Component
ActiveX Control Could Allow Code Execution
(891781)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:







Microsoft Windows 2000 SP3 & SP4
Microsoft Windows XP SP1 & SP2
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows 98, Microsoft Windows 98 Second Edition
MS05-013: Analisi di rischio

DHTML Editing Component ActiveX Control
Cross Domain Vulnerability - CAN-2004-1319


Effetti della vulnerabilità:


Problemi nella validazione di funzioni presenti nel
controllo ActiveX DHTML Editing
Esecuzione di codice da remoto (nella zona Local
Machine)
Modalità di attacco

Eseguibile da remoto: Sì

pagina HTML ospitata su un sito web o inviata tramite e-mail

Attacco autenticato: No

Privilegi ottenibili: quelli dell’utente loggato
MS05-013: Fattori mitiganti



l’attacco web-based non può essere automatizzato:
l’utente deve essere indotto a visitare il sito pericoloso
l’eventuale codice è limitato dal contesto di sicurezza
dell’utente loggato
la lettura di HTML e-mail nella zona Restricted sites aiuta
a ridurre gli attacchi




Outlook Express 6, Outlook 2002, e Outlook 2003 by default
Outlook 98 e Outlook 2000 con Outlook E-mail Security Update
(OESU)
Outlook Express 5.5 con MS04-018
Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se:



È installato l’ultimo aggiornamento cumulativo di IE (in particolare a
partire dalla MS03-040)
si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000
Service Pack 2 o successivi, nella configurazione di default
In Windows XP SP2, il rafforzamento delle impostazioni
della Local Machine Zone mitiga la vulnerabilità
MS05-013: Soluzioni alternative

Disabilitare temporaneamente il
componente DHTML Editing


Impostare la configurazione delle zone
Internet e Intranet ad “High”



utilizzando l’Add-on manager di Windows XP
SP2
per forzare il prompt nell’esecuzione di
ActiveX e active scripting
Leggere le e-mail in formato solo testo
Abilitare i client di posta alla lettura di email HTML nella Restricted Sites zone
MS05-014: Introduzione



Cumulative Security Update for Internet
Explorer (867282)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:







Microsoft Windows 2000 SP3 & SP4
Microsoft Windows XP SP1 & SP2
Microsoft Windows XP 64-Bit Edition Service Pack 1
(Itanium)
Microsoft Windows XP 64-Bit Edition Version 2003
(Itanium)
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based
Systems
Microsoft Windows 98, Microsoft Windows 98
Second Edition
MS05-014: Analisi di rischio

Drag and Drop Vulnerability - CAN-2005-0053


Effetti dell’attacco:


permettere il salvataggio di codice sul sistema della
vittima
URL Decoding Zone Spoofing Vulnerability CAN-2005-0054


Problemi nella validazione di alcuni eventi DHTML
da parte della tecnologia Drag-and-Drop
Problemi nel parsing di alcune encoded URL che
causano una diversa interpretazione delle zone di
appartenenza
Effetti dell’attacco:

esecuzione di codice nel contesto di sicurezza
dell’utente loggato
MS05-014: Analisi di rischio (2)

DHTML Method Heap Memory Corruption
Vulnerability - CAN-2005-0055


Effetti dell’attacco:


esecuzione di codice nel contesto di sicurezza
dell’utente loggato
Channel Definition Format (CDF) Cross
Domain Vulnerability - CAN-2005-0056


Problemi nella validazione del buffer di memoria da
parte di alcuni metodi DHTML
Problemi nel parsing di alcune URL nei file CDF da
parte del modello di sicurezza cross-domain
Effetti dell’attacco:

esecuzione di codice nella Local Machine Zone nel
contesto di sicurezza dell’utente loggato
MS05-014: Fattori mitiganti



l’attacco web-based non può essere automatizzato:
l’utente deve essere indotto a visitare il sito pericoloso
l’eventuale codice è limitato dal contesto di sicurezza
dell’utente loggato
la lettura di HTML e-mail nella zona Restricted sites aiuta
a ridurre gli attacchi




Outlook Express 6, Outlook 2002, e Outlook 2003 by default
Outlook 98 e Outlook 2000 con Outlook E-mail Security Update
(OESU)
Outlook Express 5.5 con MS04-018
Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se:


È installato l’ultimo aggiornamento cumulativo di IE (in particolare a
partire dalla MS03-040)
si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000
Service Pack 2 o successivi, nella configurazione di default
MS05-014: Fattori mitiganti

In Windows XP SP2,


il rafforzamento delle impostazioni della Local
Machine Zone mitiga 2 vulnerabilità correlate
il nuovo contesto di sicurezza presente sugli
oggetti “scriptabili” blocca l’accesso agli
oggetti in cache per la vulnerabilità relativa ai
CDF
MS05-014: Soluzioni alternative


Disabilitare l’impostazione “Drag-and-Drop
or copy and paste files”
Impostare la configurazione delle zone
Internet e Intranet ad “High”



per forzare il prompt nell’esecuzione di
ActiveX e active scripting
Leggere le e-mail in formato solo testo
Abilitare i client di posta alla lettura di email HTML nella Restricted Sites zone
MS05-015: Introduzione



Vulnerability in Hyperlink Object Library Could
Allow Remote Code Execution (888113)
Livello di gravità massimo: Critico
Software interessato dalla vulnerabilità:







Microsoft Windows 2000 SP3 & SP4
Microsoft Windows XP SP1 & SP2
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows 98, Microsoft Windows 98 Second Edition
MS05-015: Analisi di rischio

Hyperlink Object Library Vulnerability CAN-2005-0057


Effetti della vulnerabilità:


Buffer overrun nella libreria Hyperlink Object
Esecuzione di codice da remoto
Modalità di attacco

Eseguibile da remoto: Sì

pagina HTML ospitata su un sito web o inviata
tramite e-mail

Attacco autenticato: No

Privilegi ottenibili: quelli dell’utente loggato
MS05-015: Fattori mitiganti

l’attacco web-based non può essere
automatizzato





l’utente deve essere indotto a visitare il sito
pericoloso
deve cliccare su un link nella e-mail
l’eventuale codice è limitato dal contesto
di sicurezza dell’utente loggato
Microsoft ISA Server 2004 rifiuta l’URL in
grado di causare l’attacco quando deve
servire il client in una richiesta proxy
Non vi sono soluzione alternative
Strumenti per il rilevamento

MBSA


SUS


Valido per tutti: da MS05-010 a MS05-015
Valido per tutti: da MS05-010 a MS05-015
SMS 2.0 / 2003

Valido per tutti: da MS05-010 a MS05-015
Strumenti per il deployment

SUS


Valido per tutti: da MS05-010 a MS05-015
SMS

É possibile utilizzare SMS 2.0 con SMS SUS
Feature Pack o SMS 2003 per distribuire tutti
gli aggiornamenti: da MS05-010 a MS05-015
Installazione degli Aggiornamenti

Aggiornamenti di sicurezza sostituiti

MS05-012:



MS05-014:



MS04-040 per Internet Explorer 6 SP1
MS04-038 per

Internet Explorer 5.01 SP3, SP4

Internet Explorer 5.5 SP2 su Windows ME

Internet Explorer 6 SP1

Internet Explorer 6 per Windows Server 2003

Internet Explorer 6 su Windows XP Service Pack 2
Riavvio necessario per:


MS03-010 per Windows 2000, Windows XP
MS03-026 e MS03-039 per Windows 2000, Windows XP, e
Windows Server 2003
MS05-011, MS05-012, MS05-014
Disinstallazione

Tutti i 6 aggiornamenti possono essere rimossi
Altre informazioni sugli
aggiornamenti

MS04-014

Cambiamento rispetto al bollettino MS04-040:
solo un aggiornamento (no update rollup)



l’aggiornamento per Internet Explorer 6 Service
Pack 1
su Windows 2000 SP3, SP4 o Windows XP SP1
verifica la presenza di hotfix emesse dopo
 il bollettino MS04-038 e l’update rollup 873377
o 889669
 Per ulteriori informazioni consultare l’articolo
della Microsoft Knowledge Base 867282
Altre informazioni sugli
aggiornamenti (2)


MS05-008 & MS05-014:

Sono necessari entrambi per risolvere la vulnerabilità “Dragand-Drop Vulnerability” (CAN-2005-0053)

L’ordine di installazione non è importante
MS05-012:


L’aggiornamento include delle modifiche conseguenti alla
security review operata
MS05-014:



Imposta il “kill bit” per il controllo ActiveX Image Control 1.0
Modifica al registry per supportare l’aggiornamento relativo al
bollettino MS05-008 per la vulnerabilità “Drag-and Drop”
Include una chiave di registry per elencare i file type validi per
gli eventi drag and drop
MS04-035: Riemissione


Vulnerability in SMTP Could Allow
Remote Code Execution (885881)
La riemissione si è resa necessaria per
segnalare un nuovo software interessato:


Microsoft Exchange 2000 Server SP3
e un nuovo componente interessato:

Microsoft Exchange 2000 Server Routing
Engine
Enterprise Scanning Tool


Un tool supplementare che verrà fornito laddove
MBSA non sia in grado di rilevare la necessità di
aggiornamento per tutti i bollettini.
Progettato per gli amministratori in ambito
enterprise




Il tool può essere lanciato da linea di comando
Il formato di output è in XML
Disponibile anche una versione per gli
amministratori SMS
Ulteriori informazioni nell’articolo KB 894193
(http://support.microsoft.com/kb/894193)
Guide a supporto del patch
deployment

KB 894192 – Deployment & Detection
Guidance for the February Security
Bulletins
(http://support.microsoft.com/kb/894192)

Giovedì 6 febbraio 2005, 11AM PT

Webcast supplementale in inglese sulle
modaliltà di rilevamento e deployment dei
bollettini di sicurezza di febbraio. E’ possibile
inviare le domande in anticipo:
[email protected]
Malicious Software Removal
Tool (Aggiornamento)

La seconda emissione del tool aggiunge la capacità di
rimozione di altri malware:

Korgo, Randex, Netsky, Zafi e 12 varianti dei virus già
presenti nella versione di gennaio

Come sempre è disponibile:

Come aggiornamento critico su Windows Update o Automatic
Update per gli utenti Windows XP

Download dal Microsoft Download Center
(www.microsoft.com/downloads)

Come controllo ActiveX su www.microsoft.com/malwareremove
Accordo per l’acquisizione di
Sybari Software, Inc.



Lo scorso 8 febbraio 2005 Microsoft ha annunciato la sua
intenzione di acquisire la società Sybari Software, Inc.
I prodotti di sicurezza di Sybari supportano circa 10.000 realtà
aziendali nel proteggere i sistemi di messaging e collaboration
dagli attacchi di codice malware
Il prodotto di Sybari, Antigen, è dotato di una strategia di
difesa multilivello:




Minimizza la finestra di esposizione alle vulnerabilità
Fornisce ai clienti la possibilità di monitorare, controllare e gestire
le modalità di scansione antivirus su tutta la propria rete interna
Implementa la massima protezione garantendo il minimo impatto
nelle prestazioni dei sistemi di messaging e collaboration
Per ulteriori informazioni
www.microsoft.com/presspass/press/2005/feb05/0208SybariPR.asp
Riepilogo delle risorse per tenersi
informati sui bollettini di sicurezza

Preavviso sul web nell’area Technet/Security
www.microsoft.com/technet/security/bulletin/advance.mspx

Invio delle notifiche sui bollettini
http://www.microsoft.com/technet/security/bulletin/notify.mspx
 Microsoft Security Notification Service
 MS Security Notification Service: Comprehensive Version


Modificate il vostro profilo Passport iscrivendovi alle newsletter
con il titolo indicato
Ricezione news via RSS

RSS Security Bulletin Feed
http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx

Ricerca di un bollettino
www.microsoft.com/technet/security/current.aspx

Webcast di approfondimento
http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Risorse utili

Sito Sicurezza

Inglese
http://www.microsoft.com/security/default.mspx

Italiano
http://www.microsoft.com/italy/security/default.mspx

Security Guidance Center

Inglese

Italiano
www.microsoft.com/security/guidance
www.microsoft.com/italy/security/guidance

Security Newsletter

Windows XP Service Pack 2
www.microsoft.com/technet/security/secnews/d
efault.mspx
www.microsoft.com/technet/winxpsp2
Prossimi Eventi

Registratevi per i prossimi Webcast di
approfondimento sui Security Bulletin

Ogni venerdì successivo al 2° martedì di ogni mese
(prossimo: 11 marzo 2005)

http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Webcast già erogati:
http://www.microsoft.com/italy/technet/community/webcast/passati.mspx



www.microsoft.com/security360

ospitato all’interno dell’RSA Conference di San
Francisco – 14/18 febbraio

Keynote di Bill Gates
Fly UP