1 / 64

Approfondimenti sui Microsoft Security Bulletin aprile 2005

Approfondimenti sui Microsoft Security Bulletin aprile 2005. Feliciano Intini, CISSP-ISSAP, MCSE Mauro Cornelli, MCSE Premier Center for Security - Microsoft Services Italia. Agenda. Bollettini sulla Sicurezza di aprile 2005: Nuovi: da MS05-016 a MS05-023

marsden-harvey
Download Presentation

Approfondimenti sui Microsoft Security Bulletin aprile 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Approfondimenti sui Microsoft Security Bulletin aprile 2005 Feliciano Intini, CISSP-ISSAP, MCSE Mauro Cornelli, MCSE Premier Center for Security - Microsoft ServicesItalia

  2. Agenda • Bollettini sulla Sicurezza di aprile 2005: • Nuovi: da MS05-016 a MS05-023 • Riemessi: MS05-002 ed MS05-009 • Aggiornamenti High-Priority Non-Security • Altre informazioni sulla sicurezza: • Enterprise Scanning Tool • Malicious Software Removal Tools di aprile • Windows Server 2003 Service Pack 1 • Scadenza del meccanismo di blocco del Service Pack 2 di Windows XP • Miglioramenti al programma di Advanced Notification • Risorse ed Eventi

  3. Bollettini di SicurezzaAprile 2005

  4. Bollettini di SicurezzaRiemessi

  5. Altri aggiornamenti su WU/SUS High-Priority Non-Security

  6. MS05-016: Introduzione • Vulnerability in Windows Shell that Could Allow Remote Code Execution (893086) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP Service Packs 1 & 2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Windows 98, 98SE ed ME non sono interessati in modo critico

  7. MS05-016: Analisi di rischio • Windows Shell Vulnerability - CAN-2005-0063 • Problema derivante dal modo in cui la shell gestisce l'associazione delle applicazioni • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • File malformati di tipo • Allegati Email • Apertura file con estensione sconosciuta • Attacco autenticato: NO • Privilegi ottenibili: Utente autenticato

  8. MS05-016: Fattori mitiganti • Windows Shell Vulnerability - CAN-2005-0063 • l’utilizzo di utenze con privilegi non amministrativi minimizza l’impatto • E’ necessaria l’interazione dell’utente • I sistemi che bloccano file con estensione sconosciuta riducono il livello di rischio

  9. MS05-016: Soluzioni alternative • Disabilitazione dell'applicazione HTML Application Host. • Disabilitando l'associazione dei file .hta con tale applicazione • “%windir%\system32\mshta.exe /unregister”

  10. MS05-017: Introduzione • Vulnerability in Message Queuing Could Allow Code Execution (892944) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP Service Packs 1 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Microsoft Windows 98 and Microsoft Windows 98 Second Edition (SE) • Windows 98, 98SE non sono interessati in modo critico

  11. MS05-017: Analisi di rischio • Message Queuing Vulnerability - CAN-2005-0059 • Buffer non controllato nel componente Accodamento messaggi. • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Messaggi malformati • Invio messaggi malformati via RPC • Attacco autenticato: No • Privilegi ottenibili: Local System

  12. MS05-017: Fattori mitiganti • Message Queuing Vulnerability - CAN-2005-0059: • Il componente MSMQ non è installato nelle versioni del sistema operativo interessate • il sotto componente MSMQ HTTP Message Delivery, per il recapito dei messaggi via HTTP, non è interessato dalla vulnerabilità. • Firewall perimetrali riducono la superficie di attacco

  13. MS05-017: Soluzioni alternative • Rimozione del componente Message Queuing • Blocco delle porte RPC: • UDP 135, 137, 138, 445, 1801 e 3527; • TCP 135, 139, 445, 593, 1801, 2101, 2103, 2105 e 2107 • Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 • Qualsiasi altra porta RPC specificamente configurata

  14. MS05-018: Introduzione • Vulnerability in Windows Kernel Could Allow Elevation of Privilege and Denial of Service (890859) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP Service Packs 1 & 2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Windows 98, 98SE ed ME non sono interessati in modo critico

  15. MS05-018: Analisi di rischio • Font Vulnerability - CAN-2005-0060 • Mancato controllo del buffer nell'elaborazione dei font • Effetti della vulnerabilità: • Privilege Elevation, Denial of Service • Modalità di attacco • Eseguibile da remoto: No • necessario il logon locale per lanciare un programma che sfrutti la vulnerabilità • Attacco autenticato: Sì • Privilegi ottenibili: Local System

  16. MS05-018: Analisi di rischio (2) • Windows Kernel Vulnerability - CAN-2005-0061 • Errata convalida di alcune richieste di accesso • Effetti della vulnerabilità: • Privilege Elevation • Modalità di attacco • Eseguibile da remoto: No • necessario il logon locale per lanciare un programma che sfrutti la vulnerabilità • Attacco autenticato: SI • Privilegi ottenibili: Local System

  17. MS05-018: Analisi di rischio (3) • Object Management Vulnerability - CAN-2005-0550 • “Unchecked Buffer” nella gestione degli oggetti • Effetti della vulnerabilità: • Denial of Service • Modalità di attacco • Eseguibile da remoto: No • necessario il logon locale per lanciare un programma che sfrutti la vulnerabilità • Attacco autenticato: SI • Privilegi ottenibili: Non applicabile

  18. MS05-018: Analisi di rischio (4) • CSRSS Vulnerability - CAN-2005-0551 • Convalida messaggi da parte del Client Server Runtime System • Effetti della vulnerabilità: • Elevation of Privilege • Modalità di attacco • Eseguibile da remoto: No • necessario il logon locale per lanciare un programma che sfrutti la vulnerabilità • Attacco autenticato: SI • Privilegi ottenibili: Local System

  19. MS05-018: Fattori mitiganti • Font Vulnerability - CAN-2005-0060: • Non è possibile l’attacco da remoto e in modo anonimo • su Windows XP Service Pack 2 provocherebbero probabilmente una condizione di DoS • Windows Kernel Vulnerability - CAN-2005-0061 • Non è possibile l’attacco da remoto e in modo anonimo

  20. MS05-018: Fattori mitiganti (2) • Object Management Vulnerability - CAN-2005-0550: • Non è possibile l’attacco da remoto e in modo anonimo • Determina Denial of Service • CSRSS Vulnerability - CAN-2005-0551 • Non è possibile l’attacco da remoto e in modo anonimo

  21. MS05-018: Soluzioni alternative • Non sono state individuate soluzione alternative per queste vulnerabilità.

  22. MS05-019: Introduzione • Vulnerabilities in TCP/IP Could Allow Remote Code Execution and Denial of Service (893066) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP Service Packs 1 & 2 • Microsoft Windows Server 2003 • Windows 98, Windows 98 Second Edition, or Windows Millennium Edition

  23. MS05-019: Analisi di rischio • IP Validation Vulnerability - CAN-2005-0048 • Convalida incompleta dei pacchetti IP • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: Si • Tramite invio di pacchetti IP malformati • Attacco autenticato: No • Privilegi ottenibili: Local System, Denial of Service

  24. MS05-019: Analisi di rischio (2) • ICMP Connection Reset Vulnerability - CAN-2004-0790 • Alcuni messaggi ICMP non vengono ignorati, i pacchetti malformati effettuano il reset delle connessioni TCP • Effetti della vulnerabilità: • Denial of Service • Modalità di attacco • Eseguibile da remoto: Sì • Invio un messaggio opportunamente predisposto • Attacco autenticato: No • Privilegi ottenibili: Non applicabile

  25. MS05-019: Analisi di rischio (3) • ICMP Path MTU Vulnerability - CAN-2004-1060 • Il processo ICMP Path MTU consente di specificare un valore MTU che può provocare la diminuzione delle prestazioni di rete. • Effetti della vulnerabilità: • Denial of Service • Modalità di attacco • Eseguibile da remoto: Sì • Invio un messaggio opportunamente predisposto • Attacco autenticato: No • Privilegi ottenibili: Non applicabile

  26. MS05-019: Analisi di rischio (4) • TCP Connection Reset Vulnerability - CAN-2004-0230 • Alcuni messaggi TCP non vengono ignorati provocando il reset delle connessioni TCP • Effetti della vulnerabilità: • Denial of Service • Modalità di attacco • Eseguibile da remoto: Sì • Invio un messaggio opportunamente predisposto • Attacco autenticato: No • Privilegi ottenibili: Non applicabile

  27. MS05-019: Analisi di rischio (5) • Spoofed Connection Request Vulnerability - CAN-2005-0688 • Vulnerabilità dovuta a una incompleta validazione dei pacchetti di rete SYN TCP (Transmission Control Protocol) • Effetti della vulnerabilità: • Denial of Service • Modalità di attacco • Eseguibile da remoto: Sì • Invio un pacchetto SYN TCP opportunamente predisposto • Attacco autenticato: No • Privilegi ottenibili: Non applicabile

  28. MS05-019: Fattori mitiganti • IP Validation Vulnerability - CAN-2005-0048: • La maggior parte dei router non inoltra questo tipo di pacchetti IP malformati. • Best Practice Firewall protection • ICMP Connection Reset Vulnerability - CAN-2004-0790 • Best Practice Firewall protection • Necessaria la conoscenza degli indirizzi IP e porte di origine e di destinazione di una connessione di rete TCP esistente • ICMP Path MTU Vulnerability - CAN-2004-1060 • Best Practice Firewall protection • Necessaria la conoscenza degli indirizzi IP e porte di origine e di destinazione di una connessione di rete TCP esistente

  29. MS05-019: Fattori mitiganti (2) • TCP Connection Reset Vulnerability - CAN-2004-0230: • La maggior parte dei router non inoltra questo tipo di pacchetti IP. • Best Practice Firewall protection • Spoofed Connection Request Vulnerability - CAN-2005-0688 • Best Practice Firewall protection • Necessaria la conoscenza degli indirizzi IP e porte di origine e di destinazione di una connessione di rete TCP esistente

  30. MS05-019: Soluzioni alternative • Personal firewall (ICF per WinXP sp1) • IP Validation Vulnerability - CAN-2005-0048 • ISA Server 2000 - 2004 • IP Validation Vulnerability - CAN-2005-0048 • Spoofed Connection Request Vulnerability - CAN-2005-0688 • Disabilitare il Path MTU Discovery • ICMP Path MTU Vulnerability - CAN-2004-1060 • Utilizzo di filtri IPSec • ICMP Connection Reset Vulnerability - CAN-2004-0790 • ICMP Path MTU Vulnerability - CAN-2004-1060 (Microsoft Knowledge Base Article 313190 e 813878) • Abilitare SynAttackProtect (per Windows Sever 2003) • Spoofed Connection Request Vulnerability - CAN-2005-0688 • ICMP network packets at the firewall or at the router • ICMP Connection Reset Vulnerability - CAN-2004-0790 • ICMP Path MTU Vulnerability - CAN-2004-1060

  31. MS05-019: Modifiche di funzionalità • TCPWindowSize • Modificato su alcuni sistemi • MaxIcmpHostRoutes • Controllo di ICMP Path MTU • Microsoft Knowledge Base Article 890345 • Microsoft Knowledge Base Article 896350

  32. MS05-020: Introduzione • Cumulative Security Update for Internet Explorer (890923) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Tutte le versioni attualmente supportate di IE, tranne quella su • Windows Server 2003 SP1 • Versioni x64 (Windows XP Pro, Windows Server 2003)

  33. MS05-020: Analisi di rischio • Risolve 3 vulnerabilità: • DHTML Object Memory Corruption Vulnerability - CAN-2005-0553 • URL Parsing Memory Corruption Vulnerability - CAN-2005-0554 • Content Advisor Memory Corruption Vulnerability - CAN-2005-0555 • Effetti della vulnerabilità: • Esecuzione di codice da remoto • Modalità di attacco • Eseguibile da remoto: Sì • Pagina HTML su web o via e-mail • Vuln. Content Advisor: file di content ratings (.rat) • Attacco autenticato: No • Privilegi ottenibili: utente loggato

  34. MS05-020: Fattori mitiganti • l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso • l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato • Su Windows Server 2003, la configurazione “Internet Explorer Enhanced Security Configuration” permette di mitigare la vulnerabilità su DHTML Object Memory • la lettura di HTML e-mail nella zona Restricted sites aiuta a ridurre gli attacchi • Outlook Express 6, Outlook 2002, e Outlook 2003 by default • Outlook 98 e Outlook 2000 con Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018 • Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se: • È installato l’ultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) e congiuntamente: • si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default

  35. MS05-020: Soluzioni alternative • Impostare la configurazione delle zone Internet e Intranet ad “High” • per forzare il prompt nell’esecuzione di active scripting • Leggere le e-mail in formato solo testo • Abilitare i client di posta alla lettura di e-mail HTML nella Restricted Sites zone • Per la vulnerabilità Content Advisory • non aprire o salvare file .rat provenienti da fonti non sicure • Bloccare file allegati con estensioni .rat • su Outlook/Outlook Express (articoli 837388 e 291387) • sui mail gateway aziendali

  36. MS05-021: Introduzione • Vulnerability in Exchange Server Could Allow Remote Code Execution (894549) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Exchange Server 2003 SP1/Gold • Exchange 2000 Server SP3

  37. MS05-021: Analisi di rischio • Exchange Server Vulnerability - CAN-2005-0560 • Unchecked buffer nel servizio SMTP • Effetti della vulnerabilità: • Esecuzione di codice da remoto • Modalità di attacco • Eseguibile da remoto: Sì • Pacchetti malformati diretti al servizio SMTP • Attacco autenticato: Dipende dalle versioni • Exchange 2000: anonimo • Exchange 2003: autenticato • Privilegi ottenibili: LocalSystem

  38. MS05-021: Fattori mitiganti • Exchange Server 2003 richiede l’autenticazione per processare questo tipo di comandi • L’utilizzo di meccanismi di SMTP filtering possono prevenire gli attacchi da Internet • Le regole di default di publishing per SMTP su ISA Server 2000/2004 possono ridurre il rischio di attacco

  39. MS05-021: Soluzioni alternative • Configurare Exchange per accettare solo sessioni SMTP autenticate • Utilizzare meccanismi di protocol inspection per filtrare le estensioni SMTP • Bloccare le porte utilizzate da SMTP • Tipicamente è la porta 25

  40. MS05-022: Introduzione • Vulnerability in MSN Messenger Could Lead to Remote Code Execution (896597) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • MSN Messenger 6.2 • Attenzione alla versione Beta di MSN Messenger 7.0 che è vulnerabile

  41. MS05-022: Analisi di rischio • MSN Messenger Vulnerability - CAN-2005-0562 • Unchecked buffer nell’elaborazione di immagini GIF • Effetti della vulnerabilità: • Esecuzione di codice da remoto • Modalità di attacco • Eseguibile da remoto: Sì • immagini o emoticon malformate • Attacco autenticato: Sì (è necessario essere nei contatti) • Privilegi ottenibili: LocalSystem

  42. MS05-022: Fattori mitiganti • MSN Messenger non accetta messaggi da utenti anonimi: chi attacca ha bisogno di convincere la vittima a farsi aggiungere alla lista dei contatti

  43. MS05-022: Soluzioni alternative • Bloccare MSN Messenger • Microsoft Knowledge Base Article 889829 • Non aggiungere indirizzi sconosciuti alla lista dei contatti • Non accettare trasferimenti di file da contatti non fidati • Rivedere la lista dei contatti e rimuovere/bloccare quelli sconosciuti/non fidati/non più necessari

  44. MS05-023: Introduzione • Vulnerabilities in Microsoft Word May Lead to Remote Code Execution (890169) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Tutte le versioni attualmente supportate di Word di Office e Works

  45. MS05-023: Analisi di rischio • Buffer Overrun in Microsoft Word CAN-2004-0963 • Buffer Overrun in Microsoft Word CAN-2005-0558 • Unchecked buffer in Microsoft Word • Effetti della vulnerabilità: • Esecuzione di codice da remoto • Modalità di attacco • Eseguibile da remoto: Sì • documento Word malformato • Attacco autenticato: No • Privilegi ottenibili: quelli dell’utente loggato

  46. MS05-023: Fattori mitiganti • l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato: l’uso di un’utenza non privilegiata limita i danni che si possono subire in caso di attacco

  47. MS05-023: Soluzioni alternative • Non aprire documenti da fonti non attendibili • Verificare che l’impostazione di default che richiede conferma prima di aprire i file di Office sia correttamente impostata • per assicurarsi che non si aprano automaticamente

  48. Strumenti per il rilevamento • MBSA • Valido per tutti tranne che per MS05-022 (MSN Messenger) • MS05-023 solo scan locale • Enterprise Update Scan Tool • per MS05-022 (MSN Messenger) • SUS • Valido per tutti tranne MS05-022 e MS05-023 • SMS 2.0 / 2003 • Security Update Inventory Tool: • MS05-016 – MS05-021 • Security Update Scan Tool: • MS05-022 • Microsoft Office Inventory Tool: • MS05-023

  49. Strumenti per il deployment • SUS • Valido per le patch da MS05-016 a MS05-020 • MS05-021 Exchange: scaricare manualmente dal Download Center • MS05-022 MSN Messenger: http://messenger.msn.com • MS05-023 Word: http://office.microsoft.com • SMS • É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire tutti gli aggiornamenti: da MS05-016 a MS05-023

  50. Note di deployment

More Related