520 likes | 654 Vues
Approfondimenti sui Microsoft Security Bulletin ottobre 2005. Andrea Piazza - Mauro Cornelli Premier Center for Security Microsoft Services Italia. Agenda. Bollettini sulla Sicurezza di ottobre 2005 Informazioni sul rilevamento e il deployment Malicious Software Removal Tools
E N D
Approfondimenti sui Microsoft Security Bulletin ottobre 2005 Andrea Piazza - Mauro Cornelli Premier Center for Security Microsoft ServicesItalia
Agenda • Bollettini sulla Sicurezza di ottobre 2005 • Informazioni sul rilevamento e il deployment • Malicious Software Removal Tools • Security News
MS05-044: Introduzione • Vulnerability in the Windows FTP Client Could Allow File Transfer Location Tampering (905495) • Livello di gravità massimo: Moderata • Software interessato dalla vulnerabilità: • Microsoft Windows XP Service Pack 1 • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Componente interessato: • Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4 • www.microsoft.com/technet/security/bulletin/ms05-044.mspx
MS05-044: vulnerabilità • FTP Client Vulnerability - CAN-2005-2126 • Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP. • Modalità di attacco • Non Eseguibile da remoto • File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file. • Attacco autenticato: No • Tipologia: Tampering • Impatti di un attacco riuscito • Tampering • Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. • Le vulnerabilità era pubblica • L’exploit è pubblico
MS05-044: Fattori mitiganti • È necessaria l'interazione dell'utente prima che i file possano essere trasferiti al sistema interessato. • Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso. • Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema operativo interessato.
MS05-044: Soluzioni alternative • Non scaricare file da server FTP non attendibili • È possibile ridurre il rischio di attacco scaricando i file solo da server FTP attendibili.
MS05-045: Introduzione • Vulnerability in Network Connection Manager Could Allow Denial of Service (905414) • Livello di gravità massimo: Moderato • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Pack 4 • Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 • Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 • Software non interessato • Microsoft Windows XP Professional x64 Edition • Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems • Microsoft Windows Server 2003 x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) • www.microsoft.com/technet/security/bulletin/ms05-045.mspx
MS05-045: vulnerabilità • Network Connection Manager Vulnerability - CAN-2005-2307 • Un buffer non controllato in Network Connection Manager è causa di vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le connessioni di rete. • Modalità di attacco • Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una richiesta appositamente predisposta e inviandola al componente interessato. • Attacco autenticato: Si • Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) • Impatti di un attacco riuscito • Negazione del servizio (Denial of Service) • Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere. • Le vulnerabilità era pubblica • L’exploit è pubblico
MS05-045: Fattori mitiganti • In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto. • Necessario disporre di credenziali di accesso valide, ed essere in grado di accedere localmente al sistema. • Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni.
MS05-045: Soluzioni alternative • Bloccare le seguenti porte a livello di firewall della rete perimetrale aziendale: • Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593 • Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024 • Qualsiasi altra porta RPC specificamente configurata • Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e 443
MS05-046: Introduzione • Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution (899589) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Pack 4 • Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 • Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1 • Software non interessato • Microsoft Windows XP Professional x64 Edition • Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems • Microsoft Windows Server 2003 x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) • Windows Services for Netware • www.microsoft.com/technet/security/bulletin/ms05-046.mspx
MS05-046: vulnerabilità • Client Service for NetWare Vulnerability - CAN-2005-1985 • Il Servizio client per NetWare (CSNW) consente a un client di accedere ai servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code Execution • Modalità di attacco • Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice. • Attacco autenticato: NO (tranne che per Win2003 sp1) • Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) • Impatti di un attacco riuscito • Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. • Una serie di messaggi di rete appositamente predisposti e inviati al sistema interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice. • Privilegi ottenibili: Utente autenticato
MS05-046: Fattori mitiganti • Windows XP Home Edition non presenta il componente vulnerabile. • Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessati • Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi. • Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale
MS05-046: Soluzioni alternative • Rimuovere il Servizio client per NetWare se non lo si utilizza. • Bloccare le porte TCP 139 e 445 a livello del firewall • CSNW è generalmente associato ai protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX).
MS05-047: Introduzione • Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows 2000 SP4 (Server e Professional) • Windows XP SP1 e SP2 • Componente interessato: • Plug&Play • www.microsoft.com/technet/security/bulletin/ms05-047.mspx
MS05-047: Vulnerabilità • Plug and Play Vulnerability - CAN-2005-2120 • causata dalla errata validazione dei dati forniti dall’utente • Modalità di attacco • Su 2000 e XP SP1 • Eseguibile da remoto inviando pacchetti malformati • Attacco autenticato • Su XP SP2 • Eseguibile solo localmente, tramite applicazione malformata • Local Elevation of Privilege • Privilegi ottenibili: Local System • La vulnerabilità non era pubblica • Non vi sono exploit noti al momento
MS05-047: Fattori mitiganti • Su XP XP2: necessaria l’autenticazione e il logon locale • Su 2000 (se è già installato MS05-039) e XP SP1: necessaria l’autenticazione • I firewall perimetrali normalmente sono configurati per bloccare le porte usate da plug&play (139, 445)
MS05-047: Soluzioni alternative • Bloccare le porte 139 e 445 sul firewall perimetrale • Abilitare Internet Connection Firewall su XP SP1 • Abilitare advanced TCP/IP filtering • Abilitare IPSec
MS05-047: ulteriori informazioni • L’aggiornamento di sicurezza • Rimpiazza MS05-039 (Zotob) • Richiede il riavvio del sistema
MS05-048: Introduzione • Vulnerability in the Microsoft Collaboration Data Objects Could Allow Remote Code Execution (907245) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004 • Componente interessato: • Collaboration Data Objects • www.microsoft.com/technet/security/bulletin/ms05-048.mspx
MS05-048: vulnerabilità • Collaboration Data Objects Vulnerability - CAN-2005-1987 • causata da un unchecked buffer in CDO • Modalità di attacco • Eseguibile da remoto • Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) • Il trasporto più comune è SMTP • Attacco autenticato: No • Privilegi ottenibili: Local System • La vulnerabilità non era pubblica • L’exploit è disponibile
MS05-048: Fattori mitiganti • SMTP di IIS 5.0 e SMTP di Exchange 2000 Server di default non usano event sinks, che fanno uso di Cdosys.dll e Cdoex.dll; • IIS 6.0 è disabilitato di default su Windows Server 2003; • SMTP è disabilitato di default, se IIS 6.0 è abilitato.
MS05-048: Soluzioni alternative • Disabilitare tutti gli event sinks • tramite smtpreg.vbs (reperibile nell’SDK di Exchange o da http://msdn.microsoft.com//library/en-us/smtpevt/html/6b7a017e-981e-45a1-8690-17ff26682bc7.asp • cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati; • cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink Impatto • malfunzionamento di applicazioni che fanno uso dell’event sink sino alla riabilitazione. • Deregistrare le dll vulnerabili • Cdoex.dll e Cdosys.dll su Exchange 2000 Server • Cdosys.dll su IIS: • Regsvr32.exe “C:\Program Files\Common Files\Microsoft Shared\CDO\cdoex.dll” /u • Regsvr32.exe %windir%\system32\cdosys.dll /u Impatto • malfunzionamento di programmi che dipendono da Cdosys.dll o Cdoex.dll.
MS05-048: ulteriori informazioni • Riavvio • Normalmente non necessario • Potrebbe essere richiesto se i file in questione sono in uso • L’aggiornamento per Exchange riavvia: • IIS • SMTP • Exchange Server Information Store Service • File Transfer Protocol (FTP) • Network News Transfer Protocol (NNTP) • Su Exchange Server 2000 è necessario applicare sia l’aggiornamento per Windows che per Exchange • Su Exchange Server 2003 è necessario applicare l’aggiornamento per Windows
MS05-049: Introduzione • Vulnerabilities in Windows Shell Could Allow Remote Code Execution (900725) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Componente interessato: • Windows Shell • www.microsoft.com/technet/security/bulletin/ms05-049.mspx
MS05-049: vulnerabilità • Shell Vulnerability - CAN-2005-2122 • Causata da un problema nella gestione dei file .lnk • Shell Vulnerability - CAN-2005-2118 • Causata da un problema nella gestione delle proprietà dei file .lnk • Web View Script Injection Vulnerability - CAN-2005-2117 • Causata da un problema di validazione dei caratteri HTML nei documenti • Modalità di attacco • Da remoto (non autenticato) • Inducendo un utente ad aprire un file .lnk o a visualizzarne le proprietà • Inviando una mail con attachment .lnk • Locale (autenticato): aprendo un file .lnk o visualizzandone le proprietà • Inducendo l’utente a visualizzare la preview di un file malformato • Privilegi ottenibili: • Local System per le prime due vulnerabilità • Utente loggato per la terza vulnerabilità • Le vulnerabilità non erano pubbliche • Non vi sono exploit noti al momento
MS05-049: Fattori mitiganti • È richiesta l’interazione dell’utente: l’attacco non è automatizzabile • Aprire o visualizzare proprietà di file .lnk • Aprire attachment • Per l’exploit locale è richiesta l’autenticazione • L’exploit della terza vulnerabilità fornisce solo i privilegi dell’utente loggato
MS05-049: Soluzioni alternative • Non aprire file con estensione .lnk provenienti da sconosciuti • Non visualizzare le proprietà di file .lnk provenienti da sconosciuti • Disabilitare Web View • Usare Windows classic folders • Impostabile tramite GPO Impatto • Non viene visualizzata la barra delle attività • Bloccare le porte 139 e 445 sul firewall perimetrale
MS05-049: ulteriori informazioni • L’aggiornamento di sicurezza • Rimpiazza MS05-016 e MS05-024 • Richiede il riavvio del sistema
MS05-050: Introduzione • Vulnerability in DirectShow Could Allow Remote Code Execution (904706) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) • DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 • DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP • DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003 • Componente interessato: • DirectX (DirectShow) • www.microsoft.com/technet/security/bulletin/ms05-050.mspx
MS05-050: vulnerabilità • DirectShow Vulnerability - CAN-2005-2128 • causata da un unchecked buffer in DirectShow nell’elaborazione dei file AVI • Modalità di attacco • Eseguibile da remoto • Inviando una email in formato HTML che viene visualizzata dal client dell’utente • Inducendo l’utente ad accedere a una pagine web contenente un file AVI • Attacco autenticato: No • Privilegi ottenibili: Utente loggato • La vulnerabilità non era pubblica • Non vi sono exploit noti al momento
MS05-050: Fattori mitiganti • I privilegi ottenibili sono quelli dell’utente loggato
MS05-050: Soluzioni alternative • Se si usano Outlook ed Exchange, bloccare le estensioni .avi tramite Outlook E-mail Security Administrator (837388) • Aggiungere .avi alla lista dei tipi di file bloccati da Outlook (http://office.microsoft.com/en-us/assistance/HA011402971033.aspx) • Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVI • Usare il filtro HTTP di ISA 2004 con ‘deny signature’ per bloccare contenuto HTML contenente riferimenti a file AVI.
MS05-050: ulteriori informazioni • L’aggiornamento di sicurezza • Rimpiazza MS03-030 • Normalmente il riavvio del sistema non è richiesto • Potrebbe essere necessario se i file in questione sono in uso • È necessario usare l’aggiornamento per il sistema operativo (affected software) se si ha la versione di DirectX installata col SO • Va installato l’aggiornamento standalone (affected component)se si ha una versione più recente di DirectX • Usare dxdiag per identificare la versione presente
MS05-51: Introduzione • Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Componente interessato: • MSDTC, COM+ • www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-051: vulnerabilità • MSDTC Vulnerability - CAN-2005-2119 • Causata da un unchecked buffer in MSDTC • COM+ Vulnerability - CAN-2005-1978 • Causata dal processo usato da COM+ per creare e usare strutture in memoria • TIP Vulnerability - CAN-2005-1979 • Causata dal processo usato da DTC per validare le richieste TIP • Distributed TIP Vulnerability - CAN-2005-1980 • Causata dal processo usato da DTC per validare le richieste TIP • Modalità di attacco • Windows 2000: da remoto (non autenticato) • XP SP1, 2003: • localmente (autenticato) se MSDTC non è avviato • Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access • XP SP2, 2003 SP1: localmente (autenticato) • Privilegi ottenibili: • Local System per le prime due vulnerabilità • Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service • Le vulnerabilità non erano pubbliche • Non vi sono exploit noti al momento
MS05-051: Fattori mitiganti • Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 non sono affetti dalla prima vulnerabilità • DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitato • Di default, su Windows XP Service Pack 1, MSDTC non è avviato • Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilità • Il protocollo TIP di default è disabilitato • Le best practices sui firewall perimetrali normalmente bloccano le porte relative a questi attacchi
MS05-051: Soluzioni alternative • Disabilitare il servizio MSDTC (manualmente o tramite GPO) Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing • Disabilitare Network DTC Access Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuing • Bloccare sul firewall: • Tutto il traffico unsolicited inbound su porte superiori alla 1024 • Ogni altra porta specificamente configurata per RPC • Abilitare il Personal Firewall • Abilitare advanced TCP/IP filtering • Abilitare IPSEC • Per la seconda vulnerabilità: • Disabilitare COM+ • Bloccare sul firewall: • Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 • Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443 • Disabilitare DCOM • Per bloccare TIP • Bloccare sul firewall la porta TCP 3372
MS05-051: ulteriori informazioni • L’aggiornamento di sicurezza • rimpiazza MS03-010, MS03-026, MS03-039, MS04-012, MS05-012 • richiede il riavvio del sistema • Introduce delle modifiche di funzionalità: • Disabilita il protocollo TIP su Windows 2000 • Introduce 4 chiavi di registry per controllare il funzionamento di TIP
MS05-052: Introduzione • Cumulative Security Update for Internet Explorer (896688) • Livello di gravità massimo: Critica • Software interessato dalla vulnerabilità: • Windows Server 2003 SP1 • Windows Server 2003 • Windows Server 2003 x64 Edition • Windows Server 2003 SP1 per Itanium • Windows Server 2003 per Itanium • Windows 2000 SP4 • Windows XP SP2 • Windows XP SP1 • Windows XP Pro x64 Edition • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me) • Componente interessato: • Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 • Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 • Internet Explorer 6 for Microsoft Windows XP Service Pack 2 • Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 • Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium • Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition • Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition • Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition • Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition • www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-052: vulnerabilità • COM Object Instantiation Memory Corruption Vulnerability - CAN-2005-2127 • causata dalla possibilità che oggetti COM istanziati da IE come controlli ActiveX possano corrompere la memoria di sistema permettendo l’esecuzione di codice arbitrario • Modalità di attacco • Eseguibile da remoto • Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitario • Inviando una e-mail HTML opportuna • Attacco autenticato: No • Privilegi ottenibili: quelli dell’utente loggato • La vulnerabilità era pubblica • L’exploit è pubblico
MS05-052: Fattori mitiganti • Nello scenario web è richiesta l’interazione dell’utente • I privilegi ottenibili sono quelli dell’utente loggato • L’apertura delle mail nella zona Restricted sites (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mail • Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilità
MS05-052: Soluzioni alternative • Impostare il livello di protezione delle aree Internet e Intranet locale su "Alta“ o richiedere conferma all'esecuzione di controlli ActiveX e plugins • Limitare i siti Web ai soli siti attendibili • Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versione precedente • Installare l'aggiornamento descritto nel bollettino MS04-018 se si utilizza Outlook Express 5.5 SP2 • Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive
MS05-052: ulteriori informazioni • L’aggiornamento di sicurezza • Richiede il riavvio • Sostituisce MS05-037 e ms05-038 • Introduce controlli addizionali prima di eseguire oggetti COM in IE • Migliora la funzionalità di Internet Explorer Pop-up Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1) • Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1 • Imposta il kill bit per l’oggetto ADODB.Stream
Strumenti per il rilevamento • http://support.microsoft.com/kb/908921 è l’articolo di KB a cui far riferimento • MBSA 2.0 • Rileva tutti i sistemi che richiedono gli aggiornamenti • MBSA 1.2.1 • Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Tool • MS05-044 su Windows2000 • MS05-050 su Windows 2000, XP SP1, 2003
Strumenti per il deployment • WSUS • consente il deploy di tutti gli update e di MSRT • Tramite i report consente di verificare la compliance di tutti i sistemi • SUS • Consente di deployare tutti gli update ad eccezione di MS05-048 per Exchange che va installato manualmente • Utilizzare MBSA per verificare la compliance (vedi slide precedente) • SMS 2003 SP1 • Usare ITMU per verificare gli update richiesti • SMS 2003 o 2.0 • Usare Security Update Inventory Tool per gli update rilevabili da MBSA 1.2.1 • Usare Extended Security Update Inventory Tool per gli update rilevabili da EST
Malicious Software Removal Tool • Versione (1.9) aggiunge la rimozione di: • Win32/Antinny - Moderate • Win32/Gibe - Moderate • Win32/Mywife - Moderate • Win32/Wukill - Moderate • Maggiori informazioni sono disponibili nell’articolo KB 890830 (http://support.microsoft.com/kb/890830)
Malicious Software Removal Tool (2) • Disponibilità: • Download dal Microsoft Download Center http://go.microsoft.com/fwlink/?linkid=40587 • Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows Update o Automatic Update • Come controllo ActiveX al sito www.microsoft.com/malwareremove/default.aspx • Offerto da WSUS (non da SUS 1.0) • Note: • Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nell’articolo KB 891716 (http://support.microsoft.com/kb/891716)