1 / 52

Approfondimenti sui Microsoft Security Bulletin ottobre 2005

Approfondimenti sui Microsoft Security Bulletin ottobre 2005. Andrea Piazza - Mauro Cornelli Premier Center for Security Microsoft Services Italia. Agenda. Bollettini sulla Sicurezza di ottobre 2005 Informazioni sul rilevamento e il deployment Malicious Software Removal Tools

kolina
Download Presentation

Approfondimenti sui Microsoft Security Bulletin ottobre 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza - Mauro Cornelli Premier Center for Security Microsoft ServicesItalia

  2. Agenda • Bollettini sulla Sicurezza di ottobre 2005 • Informazioni sul rilevamento e il deployment • Malicious Software Removal Tools • Security News

  3. Bollettini di SicurezzaOttobre 2005

  4. Dettaglio per prodotto

  5. MS05-044: Introduzione • Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495) • Livello di gravità massimo: Moderata • Software interessato dalla vulnerabilità: • Microsoft Windows XP Service Pack 1 • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Componente interessato: • Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4 • www.microsoft.com/technet/security/bulletin/ms05-044.mspx

  6. MS05-044: vulnerabilità • FTP Client Vulnerability - CAN-2005-2126 • Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP. • Modalità di attacco • Non Eseguibile da remoto • File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file. • Attacco autenticato: No • Tipologia: Tampering • Impatti di un attacco riuscito • Tampering • Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. • Le vulnerabilità era pubblica • L’exploit è pubblico

  7. MS05-044: Fattori mitiganti • È necessaria l'interazione dell'utente prima che i file possano essere trasferiti al sistema interessato. • Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso. • Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema operativo interessato.

  8. MS05-044: Soluzioni alternative • Non scaricare file da server FTP non attendibili • È possibile ridurre il rischio di attacco scaricando i file solo da server FTP attendibili.

  9. MS05-045: Introduzione • Vulnerability in Network Connection Manager Could Allow Denial of Service (905414) • Livello di gravità massimo: Moderato • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Pack 4 • Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 • Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 • Software non interessato • Microsoft Windows XP Professional x64 Edition • Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems • Microsoft Windows Server 2003 x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) • www.microsoft.com/technet/security/bulletin/ms05-045.mspx

  10. MS05-045: vulnerabilità • Network Connection Manager Vulnerability - CAN-2005-2307 • Un buffer non controllato in Network Connection Manager è causa di vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le connessioni di rete. • Modalità di attacco • Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una richiesta appositamente predisposta e inviandola al componente interessato. • Attacco autenticato: Si • Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) • Impatti di un attacco riuscito • Negazione del servizio (Denial of Service) • Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere. • Le vulnerabilità era pubblica • L’exploit è pubblico

  11. MS05-045: Fattori mitiganti • In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto. • Necessario disporre di credenziali di accesso valide, ed essere in grado di accedere localmente al sistema. • Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni.

  12. MS05-045: Soluzioni alternative • Bloccare le seguenti porte a livello di firewall della rete perimetrale aziendale: • Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593 • Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 • Qualsiasi altra porta RPC specificamente configurata • Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e 443

  13. MS05-046: Introduzione • Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Pack 4 • Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 • Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 • Software non interessato • Microsoft Windows XP Professional x64 Edition • Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems • Microsoft Windows Server 2003 x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) • Windows Services for Netware • www.microsoft.com/technet/security/bulletin/ms05-046.mspx

  14. MS05-046: vulnerabilità • Client Service for NetWare Vulnerability - CAN-2005-1985 • Il Servizio client per NetWare (CSNW) consente a un client di accedere ai servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code Execution • Modalità di attacco • Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice. • Attacco autenticato: NO (tranne che per Win2003 sp1) • Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) • Impatti di un attacco riuscito • Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. • Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice. • Privilegi ottenibili: Utente autenticato

  15. MS05-046: Fattori mitiganti • Windows XP Home Edition non presenta il componente vulnerabile. • Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessati • Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi. • Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale

  16. MS05-046: Soluzioni alternative • Rimuovere il Servizio client per NetWare se non lo si utilizza. • Bloccare le porte TCP 139 e 445 a livello del firewall • CSNW è generalmente associato ai protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX).

  17. MS05-047: Introduzione • Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows 2000 SP4 (Server e Professional) • Windows XP SP1 e SP2 • Componente interessato: • Plug&Play • www.microsoft.com/technet/security/bulletin/ms05-047.mspx

  18. MS05-047: Vulnerabilità • Plug and Play Vulnerability - CAN-2005-2120 • causata dalla errata validazione dei dati forniti dall’utente • Modalità di attacco • Su 2000 e XP SP1 • Eseguibile da remoto inviando pacchetti malformati • Attacco autenticato • Su XP SP2 • Eseguibile solo localmente, tramite applicazione malformata • Local Elevation of Privilege • Privilegi ottenibili: Local System • La vulnerabilità non era pubblica • Non vi sono exploit noti al momento

  19. MS05-047: Fattori mitiganti • Su XP XP2: necessaria l’autenticazione e il logon locale • Su 2000 (se è già installato MS05-039) e XP SP1: necessaria l’autenticazione • I firewall perimetrali normalmente sono configurati per bloccare le porte usate da plug&play (139, 445)

  20. MS05-047: Soluzioni alternative • Bloccare le porte 139 e 445 sul firewall perimetrale • Abilitare Internet Connection Firewall su XP SP1 • Abilitare advanced TCP/IP filtering • Abilitare IPSec

  21. MS05-047: ulteriori informazioni • L’aggiornamento di sicurezza • Rimpiazza MS05-039 (Zotob) • Richiede il riavvio del sistema

  22. MS05-048: Introduzione • Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004 • Componente interessato: • Collaboration Data Objects • www.microsoft.com/technet/security/bulletin/ms05-048.mspx

  23. MS05-048: vulnerabilità • Collaboration Data Objects Vulnerability - CAN-2005-1987 • causata da un unchecked buffer in CDO • Modalità di attacco • Eseguibile da remoto • Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) • Il trasporto più comune è SMTP • Attacco autenticato: No • Privilegi ottenibili: Local System • La vulnerabilità non era pubblica • L’exploit è disponibile

  24. MS05-048: Fattori mitiganti • SMTP di IIS 5.0 e SMTP di Exchange 2000 Server di default non usano event sinks, che fanno uso di Cdosys.dll e Cdoex.dll; • IIS 6.0 è disabilitato di default su Windows Server 2003; • SMTP è disabilitato di default, se IIS 6.0 è abilitato.

  25. MS05-048: Soluzioni alternative • Disabilitare tutti gli event sinks • tramite smtpreg.vbs (reperibile nell’SDK di Exchange o da http://msdn.microsoft.com//library/en-us/smtpevt/html/6b7a017e-981e-45a1-8690-17ff26682bc7.asp • cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati; • cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink Impatto • malfunzionamento di applicazioni che fanno uso dell’event sink sino alla riabilitazione. • Deregistrare le dll vulnerabili • Cdoex.dll e Cdosys.dll su Exchange 2000 Server • Cdosys.dll su IIS: • Regsvr32.exe “C:\Program Files\Common Files\Microsoft Shared\CDO\cdoex.dll” /u • Regsvr32.exe %windir%\system32\cdosys.dll /u Impatto • malfunzionamento di programmi che dipendono da Cdosys.dll o Cdoex.dll.

  26. MS05-048: ulteriori informazioni • Riavvio • Normalmente non necessario • Potrebbe essere richiesto se i file in questione sono in uso • L’aggiornamento per Exchange riavvia: • IIS • SMTP • Exchange Server Information Store Service • File Transfer Protocol (FTP) • Network News Transfer Protocol (NNTP) • Su Exchange Server 2000 è necessario applicare sia l’aggiornamento per Windows che per Exchange • Su Exchange Server 2003 è necessario applicare l’aggiornamento per Windows

  27. MS05-049: Introduzione • Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Componente interessato: • Windows Shell • www.microsoft.com/technet/security/bulletin/ms05-049.mspx

  28. MS05-049: vulnerabilità • Shell Vulnerability - CAN-2005-2122 • Causata da un problema nella gestione dei file .lnk • Shell Vulnerability - CAN-2005-2118 • Causata da un problema nella gestione delle proprietà dei file .lnk • Web View Script Injection Vulnerability - CAN-2005-2117 • Causata da un problema di validazione dei caratteri HTML nei documenti • Modalità di attacco • Da remoto (non autenticato) • Inducendo un utente ad aprire un file .lnk o a visualizzarne le proprietà • Inviando una mail con attachment .lnk • Locale (autenticato): aprendo un file .lnk o visualizzandone le proprietà • Inducendo l’utente a visualizzare la preview di un file malformato • Privilegi ottenibili: • Local System per le prime due vulnerabilità • Utente loggato per la terza vulnerabilità • Le vulnerabilità non erano pubbliche • Non vi sono exploit noti al momento

  29. MS05-049: Fattori mitiganti • È richiesta l’interazione dell’utente: l’attacco non è automatizzabile • Aprire o visualizzare proprietà di file .lnk • Aprire attachment • Per l’exploit locale è richiesta l’autenticazione • L’exploit della terza vulnerabilità fornisce solo i privilegi dell’utente loggato

  30. MS05-049: Soluzioni alternative • Non aprire file con estensione .lnk provenienti da sconosciuti • Non visualizzare le proprietà di file .lnk provenienti da sconosciuti • Disabilitare Web View • Usare Windows classic folders • Impostabile tramite GPO Impatto • Non viene visualizzata la barra delle attività • Bloccare le porte 139 e 445 sul firewall perimetrale

  31. MS05-049: ulteriori informazioni • L’aggiornamento di sicurezza • Rimpiazza MS05-016 e MS05-024 • Richiede il riavvio del sistema

  32. MS05-050: Introduzione • Vulnerability in DirectShow Could Allow Remote Code Execution (904706) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) • DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 • DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP • DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003 • Componente interessato: • DirectX (DirectShow) • www.microsoft.com/technet/security/bulletin/ms05-050.mspx

  33. MS05-050: vulnerabilità • DirectShow Vulnerability - CAN-2005-2128 • causata da un unchecked buffer in DirectShow nell’elaborazione dei file AVI • Modalità di attacco • Eseguibile da remoto • Inviando una email in formato HTML che viene visualizzata dal client dell’utente • Inducendo l’utente ad accedere a una pagine web contenente un file AVI • Attacco autenticato: No • Privilegi ottenibili: Utente loggato • La vulnerabilità non era pubblica • Non vi sono exploit noti al momento

  34. MS05-050: Fattori mitiganti • I privilegi ottenibili sono quelli dell’utente loggato

  35. MS05-050: Soluzioni alternative • Se si usano Outlook ed Exchange, bloccare le estensioni .avi tramite Outlook E-mail Security Administrator (837388) • Aggiungere .avi alla lista dei tipi di file bloccati da Outlook (http://office.microsoft.com/en-us/assistance/HA011402971033.aspx) • Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVI • Usare il filtro HTTP di ISA 2004 con ‘deny signature’ per bloccare contenuto HTML contenente riferimenti a file AVI.

  36. MS05-050: ulteriori informazioni • L’aggiornamento di sicurezza • Rimpiazza MS03-030 • Normalmente il riavvio del sistema non è richiesto • Potrebbe essere necessario se i file in questione sono in uso • È necessario usare l’aggiornamento per il sistema operativo (affected software) se si ha la versione di DirectX installata col SO • Va installato l’aggiornamento standalone (affected component)se si ha una versione più recente di DirectX • Usare dxdiag per identificare la versione presente

  37. MS05-51: Introduzione • Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Componente interessato: • MSDTC, COM+ • www.microsoft.com/technet/security/bulletin/ms05-001.mspx

  38. MS05-051: vulnerabilità • MSDTC Vulnerability - CAN-2005-2119 • Causata da un unchecked buffer in MSDTC • COM+ Vulnerability - CAN-2005-1978 • Causata dal processo usato da COM+ per creare e usare strutture in memoria • TIP Vulnerability - CAN-2005-1979 • Causata dal processo usato da DTC per validare le richieste TIP • Distributed TIP Vulnerability - CAN-2005-1980 • Causata dal processo usato da DTC per validare le richieste TIP • Modalità di attacco • Windows 2000: da remoto (non autenticato) • XP SP1, 2003: • localmente (autenticato) se MSDTC non è avviato • Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access • XP SP2, 2003 SP1: localmente (autenticato) • Privilegi ottenibili: • Local System per le prime due vulnerabilità • Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service • Le vulnerabilità non erano pubbliche • Non vi sono exploit noti al momento

  39. MS05-051: Fattori mitiganti • Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 non sono affetti dalla prima vulnerabilità • DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitato • Di default, su Windows XP Service Pack 1, MSDTC non è avviato • Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilità • Il protocollo TIP di default è disabilitato • Le best practices sui firewall perimetrali normalmente bloccano le porte relative a questi attacchi

  40. MS05-051: Soluzioni alternative • Disabilitare il servizio MSDTC (manualmente o tramite GPO) Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing • Disabilitare Network DTC Access Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing • Bloccare sul firewall: • Tutto il traffico unsolicited inbound su porte superiori alla 1024 • Ogni altra porta specificamente configurata per RPC • Abilitare il Personal Firewall • Abilitare advanced TCP/IP filtering • Abilitare IPSEC • Per la seconda vulnerabilità: • Disabilitare COM+ • Bloccare sul firewall: • Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 • Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443 • Disabilitare DCOM • Per bloccare TIP • Bloccare sul firewall la porta TCP 3372

  41. MS05-051: ulteriori informazioni • L’aggiornamento di sicurezza • rimpiazza MS03-010, MS03-026, MS03-039, MS04-012, MS05-012 • richiede il riavvio del sistema • Introduce delle modifiche di funzionalità: • Disabilita il protocollo TIP su Windows 2000 • Introduce 4 chiavi di registry per controllare il funzionamento di TIP

  42. MS05-052: Introduzione • Cumulative Security Update for Internet Explorer (896688) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) • Componente interessato: • Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 • Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 • Internet Explorer 6 for Microsoft Windows XP Service Pack 2 • Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 • Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium • Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition • Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition • Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition • Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition • www.microsoft.com/technet/security/bulletin/ms05-001.mspx

  43. MS05-052: vulnerabilità • COM Object Instantiation Memory Corruption Vulnerability - CAN-2005-2127 • causata dalla possibilità che oggetti COM istanziati da IE come controlli ActiveX possano corrompere la memoria di sistema permettendo l’esecuzione di codice arbitrario • Modalità di attacco • Eseguibile da remoto • Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitario • Inviando una e-mail HTML opportuna • Attacco autenticato: No • Privilegi ottenibili: quelli dell’utente loggato • La vulnerabilità era pubblica • L’exploit è pubblico

  44. MS05-052: Fattori mitiganti • Nello scenario web è richiesta l’interazione dell’utente • I privilegi ottenibili sono quelli dell’utente loggato • L’apertura delle mail nella zona Restricted sites (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mail • Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilità

  45. MS05-052: Soluzioni alternative • Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta“ o richiedere conferma all'esecuzione di controlli ActiveX e plugins • Limitare i siti Web ai soli siti attendibili • Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versione precedente • Installare l'aggiornamento descritto nel bollettino MS04-018 se si utilizza Outlook Express 5.5 SP2 • Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive

  46. MS05-052: ulteriori informazioni • L’aggiornamento di sicurezza • Richiede il riavvio • Sostituisce MS05-037 e ms05-038 • Introduce controlli addizionali prima di eseguire oggetti COM in IE • Migliora la funzionalità di Internet Explorer Pop-up Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1) • Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 • Imposta il kill bit per l’oggetto ADODB.Stream

  47. Strumenti per il rilevamento • http://support.microsoft.com/kb/908921 è l’articolo di KB a cui far riferimento • MBSA 2.0 • Rileva tutti i sistemi che richiedono gli aggiornamenti • MBSA 1.2.1 • Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Tool • MS05-044 su Windows2000 • MS05-050 su Windows 2000, XP SP1, 2003

  48. Strumenti per il deployment • WSUS • consente il deploy di tutti gli update e di MSRT • Tramite i report consente di verificare la compliance di tutti i sistemi • SUS • Consente di deployare tutti gli update ad eccezione di MS05-048 per Exchange che va installato manualmente • Utilizzare MBSA per verificare la compliance (vedi slide precedente) • SMS 2003 SP1 • Usare ITMU per verificare gli update richiesti • SMS 2003 o 2.0 • Usare Security Update Inventory Tool per gli update rilevabili da MBSA 1.2.1 • Usare Extended Security Update Inventory Tool per gli update rilevabili da EST

  49. Malicious Software Removal Tool • Versione (1.9) aggiunge la rimozione di: • Win32/Antinny - Moderate • Win32/Gibe - Moderate • Win32/Mywife - Moderate • Win32/Wukill - Moderate • Maggiori informazioni sono disponibili nell’articolo KB 890830 (http://support.microsoft.com/kb/890830)

  50. Malicious Software Removal Tool (2) • Disponibilità: • Download dal Microsoft Download Center http://go.microsoft.com/fwlink/?linkid=40587 • Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows Update o Automatic Update • Come controllo ActiveX al sito www.microsoft.com/malwareremove/default.aspx • Offerto da WSUS (non da SUS 1.0) • Note: • Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nell’articolo KB 891716 (http://support.microsoft.com/kb/891716)

More Related