1 / 24

Approfondimenti sui Microsoft Security Bulletin maggio 2005

Approfondimenti sui Microsoft Security Bulletin maggio 2005. Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia. Agenda. Emissione di Sicurezza di maggio 2005 Bollettini di Sicurezza Nuovi: MS05-024

fadhila
Download Presentation

Approfondimenti sui Microsoft Security Bulletin maggio 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Approfondimenti sui Microsoft Security Bulletin maggio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft ServicesItalia

  2. Agenda • Emissione di Sicurezza di maggio 2005 • Bollettini di Sicurezza • Nuovi: MS05-024 • Problemi noti relativi all’installazione di MS05-019 • Security Advisory • Introduzione alle nuove comunicazioni di sicurezza • Security Advisory 892313 su Windows Media Player • Security Advisory 842851 su Microsoft Exchange • Malicious Software Removal Tools di maggio • Risorse ed Eventi

  3. Emissione di Sicurezzamaggio 2005 Bollettini di Sicurezza: nuovi Security Advisory:

  4. MS05-024: Introduzione • Vulnerability in Web View Could Allow Remote Code Execution (894320) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Le versioni attualmente supportate di Windows 2000: • Microsoft Windows 2000 Service Pack 3 & 4 • Windows 98, 98SE ed ME non sono interessati in modo critico

  5. MS05-024: Analisi di rischio • Web View Script Injection Vulnerability - CAN-2005-1191 • Errori nella validazione di alcuni caratteri HTML da parte della visualizzazione Web in Windows Explorer • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • File opportunamente malformati • Visualizzazione in preview, su file locali, file su dischi di rete o file scaricati come allegati • Attacco autenticato: NO • Privilegi ottenibili: Utente loggato

  6. MS05-024: Fattori mitiganti • Web View Script Injection Vulnerability - CAN-2005-1191 • l’utilizzo di utenze con privilegi non amministrativi minimizza l’impatto • E’ necessaria l’interazione dell’utente

  7. MS05-024: Soluzioni alternative • Disabilitare la visualizzazione Web in Windows Explorer • In modo manuale (indicazioni dettagliate nel bollettino) • Tramite l’uso di Group Policy (Criteri di Gruppo) • Verificare la disabilitazione delle porte TCP 139 e 445 outbound sui dispositivi di difesa perimetrale

  8. Strumenti per il rilevamento • MBSA • MS05-024: Ok • SUS • MS05-024: Ok • SMS 2.0 / 2003 • Security Update Inventory Tool: • MS05-024: Ok

  9. Strumenti per il deployment • SUS • MS05-024: Ok • SMS • É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire la MS05-024

  10. Note di Deployment • Informazioni sul restart e la disinstallazione: • Aggiornamenti sostituiti • nessuno

  11. MS05-019: Problemi noti • L’applicazione della patch richiesta dal bollettino può causare problemi di connettività di rete • Può avvenire in scenari di reti WAN/LAN dove i router e i protocolli di livello data-link hanno diversi MTU (Maximum Transmission Units) • Risoluzione: è disponibile una Private hotfix • Maggiori informazioni: • Hotfix: http://support.microsoft.com/kb/898060 • Articolo KB Master: http://support.microsoft.com/kb/893066

  12. Microsoft Security Advisory • Nuova serie di comunicazioni di sicurezza, ora nella sua fase pilota: • Supplemento ai Microsoft Security Bulletin • Linee guida e informazioni su modifiche di configurazione e aggiornamenti correlati con gli aspetti di sicurezza • Indirizza modifiche di sicurezza che: • non sono classificabili come vulnerabilità • potrebbero non richiedere un bollettino di sicurezza • I Security Advisory includeranno: • una sintesi che descrive la ragione alla base dell’emissione dell’advisory • Una sezione di domande frequenti (FAQ) • Azioni raccomandate • Può essere aggiornato in qualsiasi momento in presenza di nuove informazioni

  13. Microsoft Security Advisory (2) • Alcuni esempi di argomenti futuri:   • Miglioramenti di sicurezza di tipo "Defense in Depth" o modifiche non correlate a vulnerabilità • Linee guida e mitigazioni da applicare rispetto a vulnerabilità rese pubbliche • Ulteriori informazioni: • Ogni Advisory punta ad un preciso articolo di Knowledge Base per gli approfondimenti di dettaglio • Sito principale: www.microsoft.com/technet/security/advisory • Si riceve la notifica se si è iscritti al servizio di “Security Notification Service Comprehenisve Version” www.microsoft.com/technet/security/bulletin/notify.mspx • E’ possibile fornire feedback utilizzando la caratteristica ‘Contact Us’ (nella versione inglese)

  14. Microsoft Security Advisory (892313): introduzione • Default Setting in Windows Media Player Digital Rights Management Could Allow a User to Open a Web Page Without Requesting Permission • Scopo dell'advisory: notificare la disponibilità di un aggiornamento che protegge da questo rischio potenziale • Stato dell'advisory: l'articolo della Knowledge Base e il relativo aggiornamento sono già stati pubblicati • Raccomandazione: leggere attentamente l'articolo della Knowledge Base indicato e applicare l'aggiornamento per aumentare la protezione del computer • Software correlato: Windows Media Player 9 e 10

  15. Microsoft Security Advisory (892313): Altre informazioni • L’aggiornamento modifica la modalità di acquisizione automatica delle licenze • Permette agli utenti di specificare se vogliono essere avvisati quando è richiesta una licenza • L’articolo di KB è disponibile al link: • http://support.microsoft.com/kb/892313/

  16. Microsoft Security Advisory (842851): Introduzione • Clarification of the SMTP tar pit feature that is provided for Exchange Server 2003 in Windows Server 2003 Service Pack 1 • Scopo dell'advisory: chiarire lo scopo della funzionalità tar pit. • Stato dell'advisory: sono disponibili un articolo della Knowledge Base e la funzionalità tar pit. • Raccomandazione: esaminare gli interventi consigliati e configurare il sistema in base alle necessità. • Software correlato: Windows Server 2003 ed Exchange Server 2003

  17. Microsoft Security Advisory (842851): Altre informazioni • L’aggiornamento aiuta a prevenire l’enumerazione degli indirizzi e-mail della vostra organizzazione Exchange • Aggiunge la possibilità di ritardare le risposte di verifica dell’indirizzo SMTP per ogni indirizzo invalido • L’articolo di KB è disponibile al link: • http://support.microsoft.com/kb/842851/

  18. Malicious Software Removal Tool (Aggiornamento) • La quinta emissione del tool aggiunge la capacità di rimozione di altri malware: • Varianti di Sdbot, e Ispro/Delprot • Come sempre è disponibile: • Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP • Nota: non distribuibile tramite SUS 1.0 • Download dal Microsoft Download Center (www.microsoft.com/downloads) • Come controllo ActiveX su www.microsoft.com/malwareremove

  19. Malicious Software Removal Tool (2) • Nuovi miglioramenti inclusi nella versione di maggio: • Si viene avvisati solo se la scansione rileva un’infezione (nel caso di scansione lanciata tramite interazione con Windows Update o Automatic Update) • Viene operato uno scan veloce iniziale, e se viene rilevata la presenza di malware si opera una scansione completa • Aggiunta la capacità di rimuovere il malware da file legittimi • Chiede conferma se inviare a Microsoft le informazioni raccolte sulle infezioni

  20. Nuove risorse informative • MSN Security Alerts: • Aggiunta una nuova categoria “security” all’ MSN Alerts Service: • Security bulletin release notifications • Security incident updates • L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione • www.microsoft.com/security/bulletins/alerts.mspx • RSS feed per bollettini di sicurezza a livello consumer: • www.microsoft.com/updates • MSRC Blog su TechNet: • Introdotto a febbraio in occasione dell’ RSA Conference • Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet • http://blogs.technet.com/msrc

  21. Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza • Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx • Invio delle notifiche sui bollettini e advisory http://www.microsoft.com/technet/security/bulletin/notify.mspx • Microsoft Security Notification Service • MS Security Notification Service: Comprehensive Version • Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato • Ricezione news via RSS • RSS Security Bulletin Feedhttp://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx • Ricerca di un bollettinowww.microsoft.com/technet/security/current.aspx • Ricerca di un advisorywww.microsoft.com/technet/security/advisory • Webcast di approfondimentohttp://www.microsoft.com/italy/technet/community/webcast/default.mspx

  22. Risorse utili • Sito Sicurezza • Inglesehttp://www.microsoft.com/security/default.mspx • Italianohttp://www.microsoft.com/italy/security/default.mspx • Security Guidance Center • Inglesewww.microsoft.com/security/guidance • Italianowww.microsoft.com/italy/security/guidance • Security Newsletter www.microsoft.com/technet/security/secnews/default.mspx • Windows XP Service Pack 2 www.microsoft.com/technet/winxpsp2 • Windows Server 2003 Service Pack 1http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx

  23. Prossimi Eventi • Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin • Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 giugno 2005) • http://www.microsoft.com/italy/technet/community/webcast/default.mspx • Webcast già erogati: • http://www.microsoft.com/italy/technet/community/webcast/passati.mspx • www.microsoft.com/security360 • Managing Access in the Extended Enterprise • 17 maggio

More Related