Approfondimenti sui Microsoft Security Bulletin di settembre 2004
by user
Comments
Transcript
Approfondimenti sui Microsoft Security Bulletin di settembre 2004
Approfondimenti sui Microsoft Security Bulletin di settembre 2004 17 settembre 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Premier Center for Security Microsoft Services – Italia Agenda Bollettini sulla Sicurezza di settembre 2004: MS04-027 e MS04-028 Introduzione e dettagli sulle vulnerabilità Fattori attenuanti e soluzioni alternative Note di deployment Informazioni e risorse utili in ambito sicurezza Riferimenti ed Eventi MS04-027: Introduzione Vulnerability in WordPerfect Converter Could Allow Code Execution (884933) Effetti della vulnerabilità: esecuzione di codice da remoto Software interessato Componente interessato dall’aggiornamento Microsoft Office 2000 Service Pack 3 (Word 2000, FrontPage 2000, Publisher 2000) Microsoft Office XP Service Pack 3 e Service Pack 2 (Word 2002, FrontPage 2002, Publisher 2002) Microsoft Office 2003 (Word 2003, FrontPage 2003, Publisher 2003) Microsoft Works Suites 2001, 2002, 2003 & 2004 Microsoft WordPerfect 5.x converter Livello di gravità massimo: Importante MS04-027: Comprendere la Vulnerabilità Consiste in una vulnerabilità di tipo “Buffer overrun” relativa al componente Wordperfect 5.x converter che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dell’utente loggato Modalità di attacco eseguibile da remoto navigazione su un sito Web, apertura di un allegato di e-mail non richiede autenticazione privilegi ottenibili: quelli dell’utente loggato MS04-027: Fattori attenuanti e soluzioni alternative Fattori attenuanti L’attacco via Web richiede una serie di interazioni con l’utente L’attacco via e-mail richiede l’apertura volontaria dell’allegato Least privilege: l’eventuale attacco ha le credenziali dell’utente loggato I documenti in formato WordPerfect 6.x non sono interessati dalla vulnerabilità perchè gestiti da un convertitore diverso Office 2003 Service Pack 1 non è vulnerabile Soluzioni alternative Non aprire documenti WordPerfect 5.x Operare la conversione da WordPerfect 5.x a Word, tramite convertitori diversi da quelli interessati dalla vulnerabilità Far salvare il documento WordPerfect 5.x in un formato diverso MS04-027: Strumenti per il rilevamento e il deployment MBSA 1.2 SUS non può essere utilizzato SMS 2.0 / 2003: Rileva gli aggiornamenti per i prodotti Office (solo scan locale) SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare e aggiornare i prodotti della famiglia Office Windows Installer Per i prodotti Office si può aggiornare l’Administrative Install Point per poi aggiornare i client 301348 - Install a Public Update to Administrative Installations of Office XP MS04-027: Altre note per il deployment Office XP: l’aggiornamento client (binary patch) è disponibile solo per Office XP SP3 l’aggiornamento amministrativo (full-file patch) è disponibile sia per Office XP SP3 che per Office XP SP2 Restart: non necessario Patch non disinstallabile MS04-028: Introduzione Buffer Overrun in JPEG Processing Could Allow Code Execution (833987) Effetti della vulnerabilità: esecuzione di codice da remoto Livello di gravità massimo: Critico Software interessato : Microsoft Windows: Windows XP, Windows XP SP1 e Windows XP 64-Bit SP1 Windows Server 2003 e Windows Server 2003 64-Bit Microsoft Office: Office XP SP3/SP2, Office 2003 e prodotti inclusi Project 2002 SP1, Project 2003 Visio 2002 SP2, Visio 2003 MS04-028: Introduzione (2) Software interessato (continua): Microsoft Development Environments and Tools: Microsoft Home: Visual Studio .NET 2002 e 2003 (e relativi prodotti inclusi) Microsoft Platform SDK Redistributable: GDI+, Microsoft .NET Framework, Version 1.0 SDK Microsoft Picture It! versione 2002, 9 e 7.0 Nota: Può essere installato come opzione durante l’installazione di MSN 9 Microsoft Greetings 2002 Microsoft Digital Image Pro versioni 7.0 e 9 Microsoft Digital Image Suite versione 9 Microsoft Producer for Microsoft Office PowerPoint Componenti interessati : Internet Explorer 6 Service Pack 1 Microsoft .NET Framework, Versione 1.0 Service Pack 2 Microsoft .NET Framework, Versione 1.1 MS04-028: Introduzione (3) Perché tanti prodotti interessati? GDI + è incluso nel sistema operativo di Windows XP e Windows Server 2003 I prodotti Office (inclusi Project e Visio) utilizzano una propria copia di GDI+ Le applicazioni possono utilizzare una propria copia di GDI+ GDI+ è inclusa negli strumenti di sviluppo Microsoft GDI+ può rappresentare un componente distribuito in applicazioni realizzate tramite gli strumenti di sviluppo Microsoft MS04-028: Comprendere la Vulnerabilità Consiste in una vulnerabilità di tipo “Buffer overrun” relativa alla visualizzazione di immagini JPEG che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dell’utente loggato. Modalità di attacco eseguibile da remoto navigazione su un sito Web, ogni possibile azione che preveda la visualizzazione di immagini JPEG non richiede autenticazione privilegi ottenibili: quelli dell’utente loggato MS04-028: Fattori attenuanti e soluzioni alternative Fattori attenuanti Least privilege: l’eventuale attacco ha le credenziali dell’utente loggato. Windows XP SP2 e Office 2003 SP1 non sono interessati dalla vulnerabilità. Soluzioni alternative Leggere le e-mail in formato solo testo per mitigare il rischio nei confronti di e-mail HTML con immagini JPEG (attenzione all’allegato) Outlook 2003: funzionalità nativa Outlook 2002: a partire dal SP1 (articolo 307594) Outlook Express 6: con SP1 (articolo 291387) MS04-028: Scenari di aggiornamento Windows XP SP1/Gold e Windows Server 2003 Necessario l’aggiornamento per il SO Se presenti Se presenti Office, Project e Visio (nelle versioni vulnerabili) Allora bisogna installare anche la patch relativa ad ogni prodotto vulnerabile VS .NET 2002/2003, .NET FW 1.0 SDK e Platform SDK per creare apps che redistribuiscono la GDI+ Allora bisogna installare anche la patch relativa ad ogni prodotto vulnerabile Per gli altri prodotti vulnerabili: usano la GDI+ del Sistema Operativo NON necessitano di essere aggiornati MS04-028: Scenari di aggiornamento (2) Windows XP SP2 differisce dallo scenario precedente solo per il fatto che NON è necessario l’aggiornamento per il Sistema Oerativo Windows 2000 / Windows NT 4.0 / Windows 98 / 98SE / ME Non hanno la propria GDI+ E’ necessario installare la patch relativa ad ogni prodotto vulnerabile presente sul sistema MS04-028: Strumenti per il rilevamento MBSA 1.2 Rileva gli aggiornamenti per: NON rileva gli aggiornamenti per: Windows XP e Windows Server 2003 (*) Office (solo scan locale) Project (solo scan locale) Visio (solo scan locale) Microsoft Visual Studio .NET 2002/2003 .Net Framework 1.0/1.1 PictureIT, Greetings, Digital Image Microsoft Producer for Office Powerpoint Platform SDK Redistributable:GDI+ Internet Explorer 6.0 SP1 NOTA (*): MBSA non rileva la necessità dell’aggiornamento: viene solo prodotto un messaggio di warning. MS04-028: Strumenti per il rilevamento (2) WindowsUpdate offre gli aggiornamenti per: Windows XP, Windows Server 2003 Internet Explorer 6.0 SP1 .Net Framework 1.0 SP2 (offre la SP3) .Net Framework 1.1 (offre la SP1) OfficeUpdate offre gli aggiornamenti per: Office 2003, Office XP SP3 Project 2002 SP1, Project 2003 Visio 2002 SP2, Visio 2003 MS04-028: Strumenti per il rilevamento (4) SUS: Il SUS Client (l’ Automatic Updates Client) può solo rilevare automaticamente la necessità di aggiornare: Windows XP, Windows Server 2003 e IE 6 SP1 SMS 2.0 / 2003: SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare i prodotti della famiglia Office Office XP/2003, Project 2002/2003, Visio 2002/2003 Utilizzare la Software Inventory per rilevare la necessità di aggiornare gli altri prodotti Maggiori informazioni nell’articolo 867832 MS04-028: Strumenti per il rilevamento (5) GDI+ Detection Tool: Rivolto ai clienti consumer E’ disponibile sia su Windows Update che sul Microsoft Download Center Offerto ai clienti che hanno abilitato l’Automatic Update Descritto nell’articolo 873374 Come opera il tool: Scansione per rilevare i prodotti potenzialmente vulnerabili diversi dal SO Fa puntare i clienti ad una pagina web che indica i passi necessari per ottenere gli aggiornamenti richiesti: Windows Update per gli aggiornamenti Windows Office Update per gli aggiornamenti Office Esegue un ActiveX per rilevare la presenza di altri prodotti potenzialmente vulnerabili MS04-028: Strumenti per il deployment SUS SMS 2.0 / 2003 Permette di aggiornare i sistemi che è in grado di rilevare Permettono di aggiornare tutti i sistemi Windows Installer Per i prodotti Office si può aggiornare l’Administrative Install Point per poi aggiornare i client 301348 - Install a Public Update to Administrative Installations of Office XP I restart dipendono dalle situazioni e la possibilità di disinstallare dai prodotti Security Tools: MBSA v1.2.1 Versione 1.2.1 rilasciata in agosto Nuove caratteristiche rispetto alla v. 1.2: Supporto per le nuove caratteristiche di sicurezza di Windows XP Service Pack 2 Guida più chiara per localizzare gli aggiornamenti necessari e le azioni di rafforzamento La scansione effettuata su MBSA 1.2 su un sistema connesso ad Internet segnalerà la possibilità di operare l’aggiornamento Nota: gli utilizzatori di SMS non hanno bisogno di aggiornare l’engine a MBSA 1.2.1 www.microsoft.com/mbsa Windows XP SP2 Update Automatic Update Blocking Mechanism E’ stata prorogata la data dopo la quale verrebbe forzata l’installazione del Service Pack 2 di Windows XP da parte di Automatic Updates (AU) e Windows Update (WU) anche in presenza dell’impostazione di registry che permette di bloccarla In seguito al feedback dei clienti Permette una finestra temporale più ampia per operare il testing AU e WU terranno conto dell’impostazione di blocco dell’aggiornamento fino a martedì 12 Aprile 2005 Note: rappresenta anche il giorno dell’emissione di aprile dei bollettini di sicurezza Windows XP SP2 Update Blocking Mechanism Resources Strumenti a disposizione: File ADM per controllare la chiave di registry tramite Group Policy Eseguibile firmato da Microsoft che imposta localmente la chiave di registry Script file per impostare la chiave di registry da remoto Messaggio E-mail per far puntare gli utenti ad uno script presente su Microsoft.com Script e documentazione disponibili su TechNet www.microsoft.com/technet/winxpsp2 Documenti sulla sicurezza: aggiornamenti Windows XP Security Guide v2.0 (1° settembre 2004) Aggiunta l’Appendice A relativa a Windows XP SP2, per descrivere le sue caratteristiche e le impostazioni raccomandate www.microsoft.com/technet/security/prodtech/winclnt/secwinxp /xpsgapa.mspx Antivirus Defense-in-Depth Guide (25 August 2004) Aggiornata per descrivere i miglioramenti di sicurezza inclusi nel SP2 di Windows XP www.microsoft.com/technet/security/guidance/avdind_0.mspx Altra documentazione: www.microsoft.com/technet/security/default.mspx Risorse Utili ed Eventi Sito Sicurezza italiano Registratevi alla Security Newsletter http://www.microsoft.com/italy/security/default.mspx http://www.microsoft.com/technet/security/secnews/default.asp Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 15 ottobre) http://www.microsoft.com/italy/security/default.mspx Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspx