1 / 28

Approfondimenti sui Microsoft Security Bulletin di aprile 2004

Approfondimenti sui Microsoft Security Bulletin di aprile 2004. 16 aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services – Italia. Agenda. Security Bulletin di aprile 2004: MS04-011 : Windows - Critico MS04-012 : RPC/DCOM - Critico

zuzela
Télécharger la présentation

Approfondimenti sui Microsoft Security Bulletin di aprile 2004

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Approfondimenti sui MicrosoftSecurity Bulletin di aprile 2004 16 aprile 2004 Feliciano Intini, CISSP Security Support Consultant Microsoft Services – Italia

  2. Agenda • Security Bulletin di aprile 2004: • MS04-011 : Windows - Critico • MS04-012 : RPC/DCOM - Critico • MS04-013 : Outlook Express – Critico • MS04-014 : JET Database Engine - Importante • Risorse utili ed Eventi • Domande e risposte

  3. MS04-011: Introduzione • Aggiornamento per la protezione di Microsoft Windows (835732) • Effetti delle vulnerabilità più gravi: esecuzione di codice in modalità remota • Software interessato • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003, Netmeeting • (Windows 98, Windows 98 SE, Windows ME)* • Livello di gravità massimo: Critico • Non critico per Windows 98, Windows 98 SE, Windows ME • (*) Supporto solo per security patch critiche

  4. MS04-011: Comprendere le Vulnerabilità • 14 vulnerabilità di cui 8 con effetto “Remote Code Execution”, 4 con “Privilege Elevation”, 2 con “Denial of Service”: LSASS Vulnerability - CAN-2003-0533LDAP Vulnerability – CAN-2003-0663PCT Vulnerability - CAN-2003-0719Winlogon Vulnerability - CAN-2003-0806Metafile Vulnerability - CAN-2003-0906Help and Support Center Vulnerability - CAN-2003-0907Utility Manager Vulnerability - CAN-2003-0908Windows Management Vulnerability - CAN-2003-0909Local Descriptor Table Vulnerability - CAN-2003-0910H.323 Vulnerability* - CAN-2004-0117Virtual DOS Machine Vulnerability - CAN-2004-0118Negotiate SSP Vulnerability - CAN-2004-0119SSL Vulnerability - CAN-2004-0120ASN.1 “Double Free” Vulnerability - CAN-2004-0123

  5. MS04-011: Comprendere le Vulnerabilità • Modalità di attacco: nel caso peggiore • eseguibile da remoto • non richiede autenticazione • privilegi ottenibili: quelli di SYSTEM • comunque: • Non tutte le vulnerabilità si possono sfruttare da remoto • Non tutte le vulnerabilità si possono sfruttare senza credenziali valide • Non tutte le vulnerabilità permettono di ottenere i massimi privilegi sui sistemi sotto attacco

  6. MS04-011: Fattori attenuanti • Fattori attenuanti • le vulnerabilità non sono presenti su tutte le piattaforme e la loro criticità varia a seconda della piattaforma: • in ordine decrescente di impatto:Windows 2000, Windows XP, Windows NT, Windows Server 2003 • L’opportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dall’esterno diretto verso specifiche vulnerabilità

  7. MS04-011: Soluzioni alternative • Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate • Blocco delle porte LDAP: TCP 389, 636, 3268, 3269 • Disabilitare il supporto PCT da registry • Limitare gli utenti con credenziali in grado di modificare le proprietà degli User Account in AD • Leggere mail in formato solo testo • Deregistrare il protocollo HCP da registry • Disabilitare Utility Manager • Cancellare il provider WMI vulnerabile • Blocco delle porte Netmeeting: TCP 1720 e 1503 • Disabilitare la Windows Integrated Authentication o il Negotiate SSP • Blocco delle porte SSL: TCP 443 e 636

  8. MS04-011: Modifiche di funzionalità • I file con estensione .folder non sono più associati alle cartelle e visualizzati come tali • L’aggiornamento disabilita il protocollo PCT • Trigger di tipo event-based: • Non è più possibile creare trigger event-based con il tool Eventtriggers.exe senza fornire delle credenziali valide. • Per creare tali tipi di trigger ora è necessario che il servizio di Task Scheduler sia attivo • Non si possono creare più di 1000 trigger di questo tipo • Sono stati rafforzati i permessi su tali trigger

  9. MS04-011: Note sulla patch • Rilevamento • MBSA 1.2 (tranne per Windows NT 4.0, la versione stand-alone di Netmeeting e quelle incluse in Windows 2000, Windows XP e Windows Server 2003) • Netmeeting (versione stand-alone): la versione aggiornata è la 3.01 (4.4.3399) • Deployment: • SUS: Sì • SMS: Sì (Windows NT 4.0 non rilevato) • Reboot: Sì • Possibilità di disinstallare: Sì

  10. MS04-012: Introduzione • Aggiornamento cumulativo per Microsoft RPC/DCOM (828741) • Effetti della vulnerabilità più grave: esecuzione di codice in modalità remota • Software interessato • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 • (Windows 98, Windows 98 SE, Windows ME)* • Livello di gravità massimo: Critico • Bassa criticità per Windows NT 4.0 • Non critico per Windows 98, Windows 98 SE, Windows ME • (*) Supporto solo per security patch critiche

  11. MS04-012: Comprendere le Vulnerabilità • 4 vulnerabilità di cui 1 con effetto “Remote Code Execution” 1 con “Information Disclosure”2 con “Denial of Service” • RPC Runtime Library Vulnerability - CAN-2003-0813RPCSS Service Vulnerability - CAN-2004-0116COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN-2003-0807Object Identity Vulnerability - CAN-2004-0124

  12. MS04-012: Comprendere le Vulnerabilità • Modalità di attacco: nel caso peggiore • eseguibile da remoto • non richiede autenticazione • privilegi ottenibili: quelli di SYSTEM

  13. MS04-012: Soluzioni alternative • Blocco delle porte NetBIOS/RPC/SMB: • UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurate • Blocco delle porte HTTP (TCP 80 e 443) se presente il componente CIS o “RPC over HTTP” • Disabilitare DCOM • Disabilitare il componente CIS o “RPC over HTTP” se presenti e non utilizzati

  14. MS04-012: Fattori attenuanti • Fattori attenuanti • L’opportuna segregazione della rete aziendale da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il rischio di attacco dall’esterno diretto verso specifiche vulnerabilità • Solo una vulnerabilità permetterebbe la compromissione del sistema • Windows NT 4.0 non è interessato dalla vulnerabilità più grave.

  15. MS04-012: Note sulla patch • Rilevamento • MBSA 1.2: Sì • Deployment: • SUS: Sì • SMS: Sì • Reboot: Sì • Possibilità di disinstallare: Sì

  16. MS04-013: Introduzione • Aggiornamento cumulativo per la protezione di Outlook Express (837009) • Effetti della vulnerabilità: esecuzione di codice in modalità remota • Software interessato • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 • (Windows 98, Windows 98 SE, Windows ME)* • Componenti interessati • Outlook Express 5.5 SP2, 6.0, 6.0 SP1 • Livello di gravità: Critico • (*) Supporto solo per security patch critiche

  17. MS04-013: Comprendere le Vulnerabilità • Vulnerabilità: MHTML URL Processing Vulnerability - CAN-2004-0380 • Consiste in un difetto della gestione di URL MHTML in grado di far eseguire codice non autorizzato nel contesto di sicurezza dell’utente loggato • Modalità di attacco: • eseguibile da remoto (mail HTML o navigazione su siti non sicuri) • non richiede autenticazione • privilegi ottenibili: quelli dell’utente loggato

  18. MS04-013: Fattori attenuanti • Fattori attenuanti • l’attacker deve ospitare un sito Web sotto il suo controllo e convincere l’utente a visitarlo per poter sfruttare queste vulnerabilità • Per l’attack vector via-email: l’apertura di e-mail HTML nella Restricted Site security zone riduce il rischio (Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato l’Outlook E-mail Security Update), ma non difende dal rischio risultante dall’esplicita volontà dell’utente di cliccare su un link malizioso • l’eventuale attacco ha le credenziali dell’utente che lo ha subito.

  19. MS04-013: Soluzioni alternative • Rafforzare le impostazioni di sicurezza della Local Machine zone (impatto sulle funzionalità di sistema) • Installazione di Outlook E-mail Security Update per le versioni non protette by-default • Leggere le mail in formato solo testo per le versioni di Outlook che supportano questa funzionalità

  20. MS04-013: Note sulla patch • Rilevamento • MBSA 1.2: NO • Windows Update: Sì • Deployment: • SUS: Sì • SMS: Sì (ma non rileva l’assenza della patch) • Reboot: Può essere richiesto • Possibilità di disinstallare: Sì

  21. MS04-014: Introduzione • Una vulnerabilità nel motore di database Microsoft Jet può consentire l'esecuzione di codice (837001) • Effetti della vulnerabilità: esecuzione di codice in modalità remota • Software interessato • Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 • (Windows 98, Windows 98 SE, Windows ME)* • Componenti interessati • Microsoft Jet Database Engine 4.0 • Livello di gravità massima: Importante • Windows NT 4.0: Moderata • (*) Supporto solo per security patch critiche

  22. MS04-014: Comprendere le Vulnerabilità • Vulnerabilità: Jet Vulnerability - CAN-2004-0197 • Consiste in un buffer overrun del componente Jet Database Engine e permetterebbe ad un attacker in grado di inviare una query malformata al database di far eseguire codice non autorizzato nel contesto di sicurezza dell’applicazione che utilizza JET • Modalità di attacco: • eseguibile da remoto • non richiede autenticazione • privilegi ottenibili: quelli dell’applicazione che utilizza JET

  23. MS04-014: Fattori attenuanti • Fattori attenuanti • Per i sistemi Windows NT 4.0 la criticità è Moderata poiché Jet non è installato di default, anche se può essere aggiunto da diversi applicativi (Office 2000, Visual Studio, MDAC, Visio, Sharepoint Portal Server...) • L’uso di applicazioni che realizzano una forte validazione dei dati in ingresso limita il rischio • L’eventuale attacco ha le credenziali dell’applicazione che interagisce con JET • Soluzioni alternative: nessuna

  24. MS04-014: Note sulla patch • Rilevamento • MBSA 1.2: Sì • Verifica della presenza del file MsJet40.dll: la versione aggiornata è la 4.0.8618.0 • Deployment: • SUS: Sì • SMS: Sì • Reboot: Può essere richiesto. • Possibilità di disinstallare: Sì (tranne per Windows NT 4.0)

  25. Security Bulletin riemessi • MS00-82, MS01-041, MS03-046 • Motivo della riemissione • Le vulnerabilità in questione interessano anche Exchange Server 5.0e viene fornita una patch unica valida per correggere le 3 vulnerabilità • MS02-011 • Motivo della riemissione • annunciare la disponibilità di un aggiornamento per Windows NT Server 4.0 e fornire agli utenti di Exchange Server 5.0 suggerimenti su come aumentare la protezione dei sistemi in uso

  26. Risorse Utili • Area Sicurezza sul sito Technet Italia • http://www.microsoft.com/italy/technet/sicurezza.asp • Security Bulletin in italiano • http://www.microsoft.com/italy/technet/solutions/security/bulletin.asp • Registratevi alla nuova Security Newsletter • Business: http://www.microsoft.com/technet/security/secnews/default.asp • Home User: http://www.microsoft.com/security/home/secnews/default.asp • Security Guidance Center • http://www.microsoft.com/security/guidance

  27. Eventi • TechNet Security Roadshow 2004 (aprile 2004) • http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezza_Aprile2004.mspx • Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin • Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 14/05) • http://www.microsoft.com/italy/technet/solutions/security/bulletin.asp

More Related