1 / 47

Approfondimenti sui Microsoft Security Bulletin giugno 2005

Approfondimenti sui Microsoft Security Bulletin giugno 2005. Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia. Agenda. Emissione di Sicurezza di giugno 2005 Bollettini di Sicurezza Nuovi: MS05-025/MS05-034

yelena
Download Presentation

Approfondimenti sui Microsoft Security Bulletin giugno 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Approfondimenti sui Microsoft Security Bulletin giugno 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft ServicesItalia

  2. Agenda • Emissione di Sicurezza di giugno 2005 • Bollettini di Sicurezza • Nuovi: MS05-025/MS05-034 • Riemessi: MS02-035, MS05-004, MS05-019 • Malicious Software Removal Tools di giugno • Nuovi strumenti per il Security Update Management: • Windows Server Update Services (WSUS) e Microsoft Update (MU) • Risorse ed Eventi

  3. Emissione di Sicurezzagiugno 2005

  4. MS05-025: Introduzione • Cumulative Security Update for Internet Explorer (883939) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Le versioni attualmente supportate di Internet Explorer • IE 5.01 SP3 su Windows 2000 SP3 • IE 5.01 SP4 su Windows 2000 SP4 • IE 5.5 SP2 su Windows ME • IE 6.0 SP1 su Windows 2000 SP3/SP4 e Windows XP SP1 • IE 6.0 su Windows XP SP2 • IE 6.0 su Windows Server 2003 Gold/SP1

  5. MS05-025: Analisi di rischio • PNG Image Rendering Memory Corruption Vulnerability - CAN-2005-1211 • Unchecked buffer nella libreria di gestione delle immagini PNG • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Pagina HTML su web o via e-mail • Attacco autenticato: NO • Privilegi ottenibili: Utente loggato

  6. MS05-025: Fattori mitiganti • PNG Image Rendering Memory Corruption Vulnerability - CAN-2005-1211 • l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso • l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato • i rischi tramite un vettore e-mail HTML sono ridotti se: • È installato l’ultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) e congiuntamente: • si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default

  7. MS05-025: Soluzioni alternative • PNG Image Rendering Memory Corruption Vulnerability - CAN-2005-1211 • Leggere le e-mail in formato solo testo • Disabilitare il rendering delle immagini PNG • deregistrando la dll pngfilt.dll • Bloccare il rendering delle immagini PNG • utilizzando le Software Restriction Policy

  8. MS05-026: Introduzione • Vulnerability in HTML Help Could Allow Remote Code Execution (896358) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Tutte le versioni attualmente supportate di Windows • Per Windows Server 2003 SP1 la gravità massima è Importante

  9. MS05-026: Analisi di rischio • HTML Help Vulnerability - CAN-2005-1208 • Errore di validazione nei dati di ingresso da parte del componente HTML Help • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Pagina HTML su web o via e-mail • Attacco autenticato: NO • Privilegi ottenibili: Utente loggato

  10. MS05-026: Fattori mitiganti • Windows Server 2003 SP1 limita il protocollo InfoTech • l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso • l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato • la lettura di HTML e-mail nella zona Restricted sites aiuta a ridurre gli attacchi • Outlook Express 6, Outlook 2002, e Outlook 2003 by default • Outlook 98 e Outlook 2000 con Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018 • Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se: • È installato l’ultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) e congiuntamente: • si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default

  11. MS05-026: Soluzioni alternative • Disabilitare il protocollo InfoTech • deregistrando la dll itss.dll

  12. MS05-027: Introduzione • Vulnerability in Server Message Block Could Allow Remote Code Execution (896422) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Tutte le versioni attualmente supportate di Windows • Tranne Windows 98, 98SE ed ME

  13. MS05-027: Analisi di rischio • SMB Vulnerability - CAN-2005-1206 • Errori di validazione dei pacchetti SMB da parte del sistema • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Pacchetti SMB malformati • Attacco autenticato: NO • Privilegi ottenibili: LocalSystem

  14. MS05-027: Fattori mitiganti • L’attacco più probabile è un DoS • Le best practice di sicurezza perimetrale dovrebbero difendere da attacchi esterni

  15. MS05-027: Soluzioni alternative • Bloccare le porte TCP 139 e 445 • sul firewall perimetrale • usando un personal firewall • Windows Firewall su Windows XP Sp2 e Windows Server 2003 SP1; ICF su Windows XP SP1 • usando il TCP/IP Filtering • usando i filtri IPSEC

  16. MS05-028: Introduzione • Vulnerability in Web Client Service Could Allow Remote Code Execution (896426) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows XP Sp1: importante • Windows Server 2003: moderata

  17. MS05-028: Analisi di rischio • Web Client Vulnerability - CAN-2005-1207 • Unchecked buffer nel servizio WebClient • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Attacco autenticato: SI • Privilegi ottenibili: LocalSystem

  18. MS05-028: Fattori mitiganti • L’attacco più probabile è un DoS • Le best practice di sicurezza perimetrale dovrebbero difendere da attacchi esterni • L’attacco richiede l’autenticazione • Su Windows Server 2003, il servizio WebClient è disabilitato

  19. MS05-028: Soluzioni alternative • Disabilitare il servizio WebClient • Bloccare le porte TCP 139 e 445 • sul firewall perimetrale • usando un personal firewall • Windows Firewall su Windows XP Sp2 e Windows Server 2003 SP1; ICF su Windows XP SP1 • usando il TCP/IP Filtering • usando i filtri IPSEC

  20. MS05-029: Introduzione • Vulnerability in Outlook Web Access for Exchange Server 5.5 Could Allow Cross-Site Scripting Attacks (895179) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Exchange Server 5.5 SP4

  21. MS05-029: Analisi di rischio • Exchange Server Outlook Web Access Vulnerability - CAN-2005-0563 • vulnerabilità di tipo Cross-site Scripting • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Attacco autenticato: No • Privilegi ottenibili: utente loggato

  22. MS05-029: Fattori mitiganti • L’utente deve essere loggato su OWA • Le versioni più recenti di OWA non sono interessate dalla vulnerabilità: • OWA per Exchange 2000 con l’Update Rollup post-SP3 (agosto 2004) • OWA per Exchange Server 2003 • OWA per Exchange Server 2003 SP1

  23. MS05-029: Soluzioni alternative • Disabilitare/disinstallare OWA se non necessario • Modificare la pagina Read.asp per modificare la gestione delle mail HTML

  24. MS05-030: Introduzione • Vulnerability in Outlook Express Could Allow Remote Code Execution (897715) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Tutte le versioni attualmente supportate di Outlook Express • tranne quelle presenti su Windows XP SP2 e Windows Server 2003 SP1

  25. MS05-030: Analisi di rischio • Outlook Express News Reading Vulnerability - CAN-2005-1213 • Unchecked buffer in una funzione NNTP di OE • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Attacco autenticato: No • Privilegi ottenibili: utente loggato

  26. MS05-030: Fattori mitiganti • L’utente deve essere indotto ad operare diverse interazioni per subire l’attacco • l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato

  27. MS05-030: Soluzioni alternative • Non connettersi a server NNTP non affidabili • Bloccare le porte TCP/UDP 119 o filtrarle solo verso i server NNTP affidabili • sul firewall perimetrale • usando un personal firewall • Windows Firewall su Windows XP Sp2 e Windows Server 2003 SP1 • usando i filtri IPSEC

  28. MS05-031: Introduzione • Vulnerability in Step-by-Step Interactive Training Could Allow Remote Code Execution (898458) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Step-by-Step Interactive Training presente su tutte le versioni attualmente supportate di Windows

  29. MS05-031: Analisi di rischio • Interactive Training Vulnerability - CAN-2005-1212 • Unchecked buffer nel processo usato per la convalida dei file di bookmark link • Effetti della vulnerabilità: • Remote Code Execution • Modalità di attacco • Eseguibile da remoto: SI • Attacco autenticato: No • Privilegi ottenibili: utente loggato

  30. MS05-031: Fattori mitiganti • l’attacco web-based non può essere automatizzato: l’utente deve essere indotto a visitare il sito pericoloso, o ad aprire un allegato • l’eventuale codice è limitato dal contesto di sicurezza dell’utente loggato • utilizzare cautela nell’apertura file anomali come allegati (.cbo, .cbl, .cbm) o provenienti da fonti inaffidabili • la lettura di HTML e-mail nella zona Restricted sites aiuta a ridurre gli attacchi • Outlook Express 6, Outlook 2002, e Outlook 2003 by default • Outlook 98 e Outlook 2000 con Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018 • Inoltre, i rischi tramite un vettore e-mail HTML sono ridotti se: • È installato l’ultimo aggiornamento cumulativo di IE (in particolare a partire dalla MS03-040) e congiuntamente: • si utilizza Outlook Express 6 o successivi, o Microsoft Outlook 2000 Service Pack 2 o successivi, nella configurazione di default

  31. MS05-031: Soluzioni alternative • Disabilitare gli handler utilizzati per aprire i file dei bookmark link, tramte modifica del registry • Non aprire allegati con estensione .cbo/.cbl/.cbm e considerare queste estensioni come “unsafe” nella gestione di allegati e-mail • Rimuovere il componente Step-by-Step Interactive Training • Cancellare o rimuovere il file Orun32.ini

  32. Bollettini MS05-032, 033, 034 Gravità Moderata

  33. Strumenti per il rilevamento • MBSA • MS05-025 – MS05-028, MS05-029 (con Exchange), MS05-032, MS05-033 (Windows) • MS05-019 • EST • MS05-029 (senza Exchange), MS05-030, MS05-031, MS05-033 (Services for UNIX), MS05-034 • MS05-004 (versione di Aprile) • WSUS/SUS • MS05-025 – MS05-028, MS05-030 – MS05-032, MS05-033 (Windows) • MS05-004, MS05-019 • SMS 2.0 / 2003 • Security Update Inventory Tool: • MS05-025 – MS05-028, MS05-029 (con Exchange), MS05-032, MS05-033 (Windows) • MS05-019 • Extended Security Update Scan Tool: • MS05-029 (senza Exchange), MS05-030, MS05-031, MS05-033 (Services for UNIX), MS05-034 • MS05-004

  34. Strumenti per il deployment • WSUS/SUS • MS05-025 – MS05-028, MS05-030 – MS05-032, MS05-033 (Windows) • MS05-004, MS05-019 • SMS • Tutti

  35. Note di Deployment • Informazioni sul restart e la disinstallazione:

  36. Note di Deployment • Aggiornamenti sostituiti • MS05-025: MS05-020 • MS05-026: vedere bollettino • MS05-027: vedere bollettino • MS05-030: MS04-018

  37. Modifiche di funzionalità • MS05-025 • Miglioramenti al pop-up blocker • Miglioramenti al rendering di immagini (e.g. GIF, BMP) • Killbit per il controllo Microsoft DigWebX ActiveX • Killbit per il controllo Microsoft MsnPUpld ActiveX • MS05-026 • Limita il protocollo InfoTech solo alla Local Machine Zone • Altre informazioni nell’articolo di Knowledge Base 896054

  38. Modifiche di funzionalità (2) • MS05-031 • I Bookmark link creati prima dell’aggiornamento di sicurezza non funzionano più correttamente: è necessario ricrearli. • MS05-032 • Killbit per la versione 1.5 del controllo Microsoft Agent ActiveX • MS05-033 • Nuova chiave di registry per permettere la condivisione esplicita delle variabili di ambiente • Altre informazioni nell’articolo di Knowledge Base 900934

  39. Bollettini di giugno 2005Riemissioni

  40. Malicious Software Removal Tool (Aggiornamento) • La 6a emissione del tool aggiunge la capacità di rimozione di altri malware: • Worm ASN.1 e varianti di Spybot, Kelvir, Lovgate, Mytob • Come sempre è disponibile: • Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP • Nota: distribuile tramite WSUS, e NON tramite SUS 1.0 • Download dal Microsoft Download Center (www.microsoft.com/downloads) • Come controllo ActiveX su www.microsoft.com/malwareremove

  41. Nuovi strumenti per il Security Update Management • Windows Server Update Services (WSUS) • Componente di Windows Server 2003 per l’Update management • Permette di operare facilmente l’assessment, il controllo e l’automazione del deployment di aggiornamenti relativi al software Microsoft. • Agevola il rafforzamento della piattaforma Windows minimizzando il downtime dei sistemi. • Microsoft Update (MU) • Nuova generazione dei servizi di aggiornamento rispetto a Windows Update (WU). • Miglioramenti rispetto a WU tramite l’aggiunta di aggiornamenti ad altà priorità per Office ed altre applicazioni Microsoft. • Rilasciati lo scorso 6 giugno 2005

  42. Prodotti supportati da WSUS/MU • La gestione degli aggiornamenti di WSUS/MU attualmente supporta i seguenti prodotti: • Windows XP, Windows 2000 SP3, Windows Server 2003 • Office XP, Office 2003 • SQL Server 2000 SP4 • Exchange Server 2000, Exchange Server 2003 update.microsoft.com/microsoftupdate www.microsoft.com/windowsserversystem/updateservices • Altre risorse: www.microsoft.com/presspass/features/2005/jun05/06-06UpdateManagement.mspx www.microsoft.com/technet/prodtechnol/microsoftupdate http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/wsus/default.mspx • Verso metà luglio 2005 verranno rilasciati: • Microsoft Baseline Security Analyzer 2.0 • SMS 2003 Inventory Tool for Microsoft Updates

  43. Nuove risorse informative • MSN Security Alerts: • Aggiunta una nuova categoria “security” all’ MSN Alerts Service: • Security bulletin release notifications • Security incident updates • L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione • www.microsoft.com/security/bulletins/alerts.mspx • RSS feed per bollettini di sicurezza a livello consumer: • www.microsoft.com/updates • MSRC Blog su TechNet: • Introdotto a febbraio in occasione dell’ RSA Conference • Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet • http://blogs.technet.com/msrc

  44. Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza • Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx • Invio delle notifiche sui bollettini e advisory http://www.microsoft.com/technet/security/bulletin/notify.mspx • Microsoft Security Notification Service • MS Security Notification Service: Comprehensive Version • Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato • Ricezione news via RSS • RSS Security Bulletin Feedhttp://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx • Ricerca di un bollettinowww.microsoft.com/technet/security/current.aspx • Ricerca di un advisorywww.microsoft.com/technet/security/advisory • Webcast di approfondimentohttp://www.microsoft.com/italy/technet/community/webcast/default.mspx

  45. Risorse utili • Sito Sicurezza • Inglesehttp://www.microsoft.com/security/default.mspx • Italianohttp://www.microsoft.com/italy/security/default.mspx • Security Guidance Center • Inglesewww.microsoft.com/security/guidance • Italianowww.microsoft.com/italy/security/guidance • Security Newsletter www.microsoft.com/technet/security/secnews/default.mspx • Windows XP Service Pack 2 www.microsoft.com/technet/winxpsp2 • Windows Server 2003 Service Pack 1http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspx

  46. Prossimi Eventi • Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin • Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 15 luglio 2005) • http://www.microsoft.com/italy/technet/community/webcast/default.mspx • Webcast già erogati: • http://www.microsoft.com/italy/technet/community/webcast/passati.mspx

More Related