1 / 32

Approfondimenti sui Microsoft Security Bulletin gennaio 2005

Approfondimenti sui Microsoft Security Bulletin gennaio 2005. Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services Italia. Agenda. Bollettini sulla Sicurezza di gennaio 2005:

reed
Download Presentation

Approfondimenti sui Microsoft Security Bulletin gennaio 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Approfondimenti sui Microsoft Security Bulletin gennaio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft ServicesItalia

  2. Agenda • Bollettini sulla Sicurezza di gennaio 2005: • MS05-001 – Vulnerability in HTML Help Could Allow Code Execution (890175) • MS05-002 – Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711) • MS05-003 – Vulnerability in the Indexing Service Could Allow Remote Code Execution (871250) • Altre informazioni sulla sicurezza: • Security Update Validation Program • Malicious Software Removal Tools • Microsoft Windows AntiSpyware • Prodotti fuori supporto a partire dal 01/01/2005 • Risorse ed Eventi

  3. Bollettini di SicurezzaGennaio 2005

  4. MS05-001: Introduzione • Vulnerability in HTML Help Could Allow Code Execution (890175) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Pack 3 e Service Pack 4 • Microsoft Windows XP Service Pack 1 e Service Pack 2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 • Microsoft Windows XP 64-Bit Edition Version 2003 • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 64-Bit Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) • Componente interessato: • Internet Explorer 6.0 Service Pack 1 su • Microsoft Windows NT Server 4.0 Service Pack 6a • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 • www.microsoft.com/technet/security/bulletin/ms05-001.mspx

  5. MS05-001: Comprendere la vulnerabilità • HTML Help ActiveX control Cross Domain Vulnerability - CAN-2004-1043 • La vulnerabilità è causata dal processo mediante il quale alcune funzioni, disponibili tramite il controllo ActiveX di HTML Help, vengono convalidate dal modello di protezione tra domini di Internet Explorer • Modalità di attacco • Eseguibile da remoto • Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa • Inviando una e-mail HTML opportuna • Attacco autenticato: No • Privilegi ottenibili: quelli dell’utente loggato

  6. MS05-001: Fattori mitiganti • L'hacker dovrebbe indurre le vittime a visitare il sito: l’attacco non può essere automatizzato • Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi

  7. MS05-001: Fattori mitiganti • L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la superficie di attacco • Outlook Express 6, Outlook 2002, e Outlook 2003 di default • Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018

  8. MS05-001: Fattori mitiganti • Il rischio causato dalle e-mail HTML è significativamente ridotto se: • È installato MS03-040 o un successivo aggiornamento cumulativo per Internet Explorer e • Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di default • Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail Security Update nella configurazione di default • In Windows Server 2003, Internet Explorer viene eseguito nella modalità Protezione avanzata, che riduce i rischi correlati a questa vulnerabilità

  9. MS05-001: Soluzioni alternative • Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta“: è richiesta conferma all'esecuzione di controlli ActiveX e script attivi • Limitare i siti Web ai soli siti attendibili • Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versione precedente • Installare l'aggiornamento descritto nel bollettino MS04-018 se si utilizza Outlook Express 5.5 SP2 • Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi tramite messaggi di posta elettronica HTML • Disabilitare temporaneamente l’esecuzione del controllo ActiveX di HTML Help in Internet Explorer via registry

  10. MS05-001: ulteriori informazioni • L’aggiornamento di sicurezza • Impedisce che il controllo ActiveX HTML Help sia istanziato da contenuti esterni alla Local Machine Zone • La modifica può impedire il corretto funzionamento di applicazioni Web • I permessi possono essere attributi selettivamente • in base al sito • In base alla zona • IMPORTANTE: permettere solo siti o aree ritenuti affidabili • Fare riferimento alle FAQ nel bollettino per maggiori dettagli

  11. MS05-002: Introduzione • Vulnerability in Cursor and Icon Format Handling Could Allow Remote Code Execution (891711) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Microsoft Windows NT Server 4.0 Service Pack 6a • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 • Microsoft Windows 2000 Service Pack 3 e Service Pack 4 • Microsoft Windows XP Service Pack 1 • Microsoft Windows XP 64-Bit Edition Service Pack 1 • Microsoft Windows XP 64-Bit Edition Version 2003 • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 64-Bit Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) • Software non interessato • Microsoft Windows XP Service Pack 2 • www.microsoft.com/technet/security/bulletin/ms05-002.mspx

  12. MS05-002: Comprendere le vulnerabilità • Cursor and Icon Format Handling Vulnerability - CAN-2004-1049 • Windows Kernel Vulnerability - CAN-2004-1305 • Le vulnerabilità sono causate da una convalida dei formati insufficiente prima della riproduzione di cursori, cursori animati e icone • Modalità di attacco • Creando un cursore o un’icona opportunamente malformati • Ospitati su un’opportuna pagina Web e inducendo l'utente a visitare la pagina • Inseriti in un messaggio di posta elettronica dannoso e inviando il messaggio a un sistema interessato. • Attacco autenticato: No • Impatti di un attacco riuscito • Esecuzione di codice con i privilegi dell’utente loggato • Negazione del servizio

  13. MS05-002: Fattori mitiganti • Nell’attacco via web l'hacker dovrebbe indurre le vittime a visitare il sito: l’attacco non può essere automatizzato • Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi • L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la superficie di attacco • Outlook Express 6, Outlook 2002, e Outlook 2003 di default • Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018 • Il rischio causato dalle e-mail HTML è significativamente ridotto se: • È installato MS03-040 o un successivo aggiornamento cumulativo per IE E • Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di default • Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail Security Update nella configurazione di default • Windows XP SP2 non è vulnerabile

  14. MS05-002: Soluzioni alternative • Installare l'aggiornamento descritto nel bollettino Microsoft sulla sicurezza MS04-018 se si utilizza Outlook Express 5.5 SP2 • Installare E-mail Security Update di Microsoft Outlook se si utilizza Outlook 2000 SP1 o versione precedente • Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi tramite messaggi di posta elettronica HTML

  15. MS05-003: Introduzione • Vulnerability in the Indexing Service Could Allow Remote Code Execution (871250) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft Windows XP Service Pack 1 • Microsoft Windows XP 64-Bit Edition Service Pack 1 • Microsoft Windows XP 64-Bit Edition Version 2003 • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 64-Bit Edition • Software non interessato • Microsoft Windows NT Server 4.0 Service Pack • Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 • Microsoft Windows 2000 Service Pack 3 e Service Pack 4 • Microsoft Windows XP Service Pack 2 • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) • Componente interessato • Indexing Service • www.microsoft.com/technet/security/bulletin/ms05-003.mspx

  16. MS05-003: Comprendere la vulnerabilità • Indexing Service Vulnerability - CAN-2004-0897 • La vulnerabilità è causata da come il servizio di indicizzazione gestisce la validazione delle query • Modalità di attacco • Inviando una query opportunamente malformata • Impatti di un attacco riuscito • Esecuzione di codice con i privilegi di Local System • NOTA: Windows 2000 non è interessato dalla vulnerabilità, ma il bollettino include un aggiornamento che introduce una modifica di funzionalità anche per Windows 2000 • La modifica di funzionalità aumenta il livello di sicurezza del controllo ActiveX Microsoft.ISAdm.1

  17. MS05-003: Fattori mitiganti • Il servizio di indicizzazione non è abilitato di default sui sistemi interessati • Anche quando è installato, di default il servizio di indicizzazione non è accessibile dai servizi IIS • Se nessuno dei metodi di query basati su pagine Web è stato abilitato manualmente, solo gli utenti autenticati potranno tentare di sfruttare questa vulnerabilità per eseguire query al file system in remoto • Sono necessarie procedure manuali per abilitare l'utilizzo dei servizi IIS come interfaccia Web per il servizio di indicizzazione • Se le pagine Web di query richiedono l'accesso autenticato, gli utenti anonimi non avranno la possibilità di sfruttare questa vulnerabilità tramite IIS

  18. MS05-003: Fattori mitiganti • Windows 2000 non è interessato da questa vulnerabilità (ma è raccomandata l'installazione di questo aggiornamento) • Le configurazioni predefinite standard dei firewall e le best practices per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale

  19. MS05-003: Soluzioni alternative • Bloccare i seguenti elementi a livello del firewall: • Porte UDP 137 e 138 e porte TCP 139 e 445 • Utilizzare un firewall personale come Internet Connection Firewall, incluso in Windows XP e Windows Server 2003 • Attivare il filtro TCP/IP avanzato sui sistemi che lo supportano (si veda l’articolo 309798) • Bloccare le porte interessate utilizzando IPSec sui sistemi interessati • Rimuovere il servizio di indicizzazione se non lo si utilizza • Modificare le pagine web in modo da bloccare le query con più di 60 caratteri (si veda l’articolo 890621)

  20. Strumenti per il rilevamento • MBSA • Può essere utilizzato per individuare su quali sistemi Windows sono richiesti i 3 aggiornamenti • SUS • Può essere utilizzato per controllare su quali sistemi Windows sono richiesti i 3 aggiornamenti • SMS 2.0 / 2003 • Può essere utilizzato per controllare su quali sistemi Windows sono richiesti i 3 aggiornamenti

  21. Strumenti per il deployment • SUS • É possibile utilizzare SUS Client (Automatic Update) per distribuire tutti gli aggiornamenti di Windows • SMS • É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire tutti gli aggiornamenti

  22. Installazione degli Aggiornamenti • Aggiornamenti di sicurezza sostituiti • MS05-001: nessuno • MS05-002: MS03-045 (che non si applicava a Win98) • MS05-003: nessuno • Riavvio • MS05-001: può richiedere il riavvio • MS05-002: necessario • MS05-003: può richiedere il riavvio • Disinstallazione • Tutti e tre gli aggiornamenti possono essere rimossi • Problemi noti • MS05-001: l’articolo 890175 della Microsoft Knowledge Base descrive i problemi noti che potrebbero verificarsi in seguito all’installazione

  23. Security Update Validation Program • Programma a numero chiuso per il testing degli aggiornamenti di sicurezza prima della emissione pubblica • Scopo: assicurare la qualità delle security patch • I partecipanti sono clienti Microsoft appartenenti a diversi segmenti di mercato • I clienti coinvolti hanno approntato degli appositi laboratori che permettono di applicare gli aggiornamenti in ambienti che simulano la produzione • l’aggiornamento è consentito solo in ambiente di test • l’aggiornamento in produzione avviene solo utilizzando la patch pubblica • Il programma è chiuso e sussiste la copertura adeguata sia per gli attuali partecipanti che per quelli in stand-by

  24. Malicious Software Removal Tool • Strumento che consolida ed estende i singoli tool di rimozione malware prodotti nel 2004 • Da non confondere con un tipico prodotto Antivirus • rimuove solo l’insieme dei malware più diffusi • rimuove solo i malware attivi (presenti in memoria) • non impedisce la reinfezione • Nuove versioni del tool verranno rilasciate: • su base mensile in corrispondenza del rilascio dei bollettini • più frequentemente se reso necessario dalla diffusione di nuove minacce • Questa prima versione rimuove: • Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (anche noto come Download.Ject), Gaobot e Nachi • Maggiori informazioni sono disponibili nell’articolo KB 890830 (http://support.microsoft.com/kb/890830)

  25. Malicious Software Removal Tool (2) • Disponibilità: (nelle 23 lingue di Windows XP) • Download dal Microsoft Download Center • Per gli utenti con Windows XP, come aggiornamento critico da Windows Update o Automatic Update • Come controllo ActiveX al sito www.microsoft.com/malwareremove • Note: • Il tool non è disponibile su SUS • Il tool non è un aggiornamento di sicurezza e quindi non è supportato da MBSA • Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nell’articolo KB 891716 (http://support.microsoft.com/kb/891716)

  26. Il componente System Explorers mantiene sotto controllo le aree Application, Internet Explorer, Networking, System L’utente viene informato delle modifiche nelle diverse aree • Vengono monitorati più di 50 checkpoint attraverso i quali gli spyware vengono comunemente aggiunti sul PC • Gli spyware noti vengono bloccati; quelli non noti causano una notifica • La community SpyNet™ permette di identificare nuovi spyware • Il componente AutoUpdater permette di scaricare le signature aggiornate Microsoft Windows AntiSpyware www.microsoft.com/spyware

  27. Windows AntiSpyware (2) • Requisiti minimi di sistema: • Internet Explorer 6 • Windows 2000, Windows XP, o Windows Server™ 2003 • Leggere le Release Notes per l’utilizzo in ambito Enterprise • Supporto fornito solo tramite Newsgroup • Note: • Criteri utilizzati per includere un programma nella lista degli spyware:http://www.spynet.com/info_spywarecriteria.aspx • Modulo per rettificare la modalità di rilevazione dei prodottihttp://www.spynet.com/vendors.aspx

  28. Prodotti fuori supporto a partire dal 01/01/2005 • Prodotti scaduti il 31/12/2004 • Windows NT 4.0 (Server/Terminal Server) • Internet Information Server 4.0 • Proxy Server 2.0 Standard Edition • Microsoft Transaction Services 2.0 • Microsoft Visio 2000 • http://support.microsoft.com/default.aspx?scid=fh;IT;lifecycle

  29. Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza • Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx • Invio delle notifiche sui bollettinihttp://www.microsoft.com/technet/security/bulletin/notify.mspx • Microsoft Security Notification Service • MS Security Notification Service: Comprehensive Version • Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato • Ricezione news via RSS • RSS Security Bulletin Feedhttp://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx • Ricerca di un bollettinowww.microsoft.com/technet/security/current.aspx • Webcast di approfondimentohttp://www.microsoft.com/italy/technet/community/webcast/default.mspx

  30. Risorse utili • Sito Sicurezza • Inglesehttp://www.microsoft.com/security/default.mspx • Italianohttp://www.microsoft.com/italy/security/default.mspx • Security Guidance Center • Inglesewww.microsoft.com/security/guidance • Italianowww.microsoft.com/italy/security/guidance • Security Newsletter www.microsoft.com/technet/security/secnews/default.mspx • Windows XP Service Pack 2 www.microsoft.com/technet/winxpsp2

  31. Prossimi Eventi • Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin • Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11 febbraio 2005) • http://www.microsoft.com/italy/technet/community/webcast/default.mspx • Webcast già erogati: • http://www.microsoft.com/italy/technet/community/webcast/passati.mspx • www.microsoft.com/security360 • 18 gennaio • Spyware

More Related