590 likes | 759 Vues
Approfondimenti sui Microsoft Security Bulletin di ottobre 2004. 15 ottobre 2004 Feliciano Intini, CISSP Luca Lorenzini, CISSP Andrea Piazza, CISSP Security Advisor Premier Center for Security Microsoft Services – Italia. Agenda.
E N D
Approfondimenti sui MicrosoftSecurity Bulletin di ottobre 2004 15 ottobre 2004 Feliciano Intini, CISSPLuca Lorenzini, CISSP Andrea Piazza, CISSP Security Advisor Premier Center for Security Microsoft Services – Italia
Agenda • Bollettini sulla Sicurezza di ottobre 2004:dal bollettino MS04-029 al MS04-038 • Introduzione e dettagli sulle vulnerabilità • Fattori attenuanti e soluzioni alternative • Note di deployment • MS04-028 • Tool di scanning e deployment • Riemissione del bollettino • Vulnerabilità su ASP.NET • Risorse ed Eventi
MS04-029: Introduzione • Vulnerability in RPC Runtime Library Could Allow Information Disclosure and Denial of Service (873350) • Effetti della vulnerabilità: intercettazione di informazioni personali e negazione del servizio • Livello di gravità massimo: Importante • Sofware interessato: • Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition
MS04-029: Comprendere la Vulnerabilità • RPC Runtime Library Vulnerability - CAN-2004-0569 • Vulnerabilità di tipo “Buffer overrun” • Modalità d’attacco • serie di messaggi RPC opportunamente predisposti • Effetti di un attacco con successo • negazione del servizio • intercettazione di informazioni personali • Fattori attenuanti • Firewall best practices – • Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 • Tutto il traffico in ingresso non richiesto su porte TCP oltre la 1024 • qualsiasi altra porta RPC configurata
MS04-030: Introduzione • Vulnerability in WebDAV XML Message Handler Could Lead to a Denial of Service (824151) • Effetto: negazione del servizio • Livello di gravità massimo: Importante • Software interessato: • Windows 2000, Windows XP, Windows Server 2003 • Componente interessato: • Internet Information Server 5.0,5.1, 6.0
MS04-030: Comprendere la vulnerabilità • WebDAV Vulnerability - CAN-2003-0718 • Problema con il limite degli attributi specificati in richieste XML-element • Modalità d’attacco • serie di messaggi HTTP opportunamente predisposti • Effetti di un attacco con successo • negazione del servizio
MS04-030: Fattori attenuanti e soluzioni alternative • Fattori attenuati • Firewall best practices - bloccare porta 80 • È necessaria un sessione web per un attacco remoto • IIS non è installato per impostazione predefinita su Windows Server 2003 e Windows XP • Soluzioni alternative • disattivare WebDAV sui sistemi IIS 5.0
MS04-031: Introduzione • Vulnerability in NetDDE Could Allow Remote Code Execution (841533) • Effetto: esecuzione di codice in modalità remota • Livello di gravità massimo: Importante • Software interessato: • Microsoft Windows NT 4.0 Server Service, Microsoft Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP, Windows Server 2003 • Non è Critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition
MS04-031: Comprendere la vulnerabilità • NetDDE Vulnerability - CAN-2004-0206 • Vulnerabilità di tipo “Buffer overrun” in NetDDE • Modalità d’attacco • serie di pacchetti NetDDE opportunamente predisposti • Effetti di un attacco con successo • Chi effettua l’attacco avrà il controllo completo della macchina • Esecuzione nel contesto SYSTEM
MS04-031: Fattori attenuanti e soluzioni alternative • Fattori attenuanti • Firewall best practices – • Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 • Tutto il traffico in ingresso non richiesto su porte TCP oltre la 1024 • qualsiasi altra porta RPC configurata • NetDDE è disattivato per impostazione predefinita in Windows Server 2003 • Soluzioni alternative • Disattivare il servizio NetDDE
MS04-032: Introduzione • Security Update for Microsoft Windows (840987) • Effetti della vulnerabilità: esecuzione di codice da remoto • Livello di gravità massimo : Critico • Software interessato : • Windows NT 4.0 Server, e Terminal Server Edition, • Windows 2000, • Windows XP, • Windows Server 2003 • Non critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition
MS04-032: Comprendere le Vulnerabilità • Window Management Vulnerability - CAN-2004-0207 • vulnerabilità relativa alle Window Management API che permettono di modificare le proprietà di altri programmi in esecuzione con privilegi più elevati • Virtual DOS Machine Vulnerability - CAN-2004-0208 • vulnerabilità relativa al sottosistema Virtual DOS Machine (VDM) che può ottenere accesso alla memoria protetta del kernel. • Tipo di vulnerabilità: Privilege elevation • Modalità di attacco: - eseguibile da remoto: No (logon interattivo)- richiede autenticazione: Si- privilegi ottenibili: LocalSystem
MS04-032: Comprendere le Vulnerabilità • Windows Kernel Vulnerability - CAN-2004-0211 • vulnerabilità relativa al Windows Kernel che permetterebbe ad un attacker loggato interattivamente di bloccare il corretto funzionamento del sistema • Tipo di vulnerabilità: “Denial of Service” • Modalità di attacco: - eseguibile da remoto: No (logon interattivo)- richiede autenticazione: Sì- privilegi ottenibili: N/A (DoS)
MS04-032: Comprendere le Vulnerabilità • Graphics Rendering Engine Vulnerability - CAN-2004-0209 • vulnerabilità di tipo “Remote Code Execution” relativa al rendering delle immagini WMF ed EMF che permetterebbe ad un attacker di acquisire il pieno controllo del sistema • Modalità di attacco: - eseguibile da remoto: Sì (ogni possibile azione che preveda la visualizzazione di immagini WMF/EMF)- richiede autenticazione: No- privilegi ottenibili: LocalSystem
MS04-032: Fattori attenuanti • è necessario disporre di un account valido ed operare un logon interattivo per • Window Management Vulnerability • Virtual DOS Machine Vulnerability • Windows Kernel Vulnerability • Graphics Rendering Engine Vulnerability • nelle diverse modalità di attacco (a parte la preview delle e-mail HTML) lo sfruttamento non è automatico, ma richiede la volontarietà dell’utente alla visualizzazione di immagini
MS04-032: Soluzioni alternative • Solo per “Graphics Rendering Engine Vulnerability” • Leggere le e-mail in formato solo testo. • Attenti alle immagini comunque fornite in allegato!
MS04-033: Introduzione • Vulnerability in Microsoft Excel Could Allow Remote Code Execution (886836) • Effetto: esecuzione di codice • Livello di gravità massimo: Critico • Software interessato: • Excel 2000 • Excel 2002 • Microsoft Excel 2001 per Mac • Microsoft Excel v. X per Mac
MS04-033: Comprendere la vulnerabilità • Vulnerability in Microsoft Excel - CAN-2004-0846 • Vulnerabilità da codice eseguito all’apertura di file Excel • Modalità d’attacco • File Excel appositamente modificati • Disponibili via sito web • Spediti come allegati in un messaggio di posta elettronica • Effetto di un attacco con successo • Chi effettua l’attacco avrà il controllo completo della macchina • Fattori attenuanti • È richiesta l’interazione con l’utente • Il codice viene eseguito nel contesto dell’utente
MS04-034: Introduzione • Vulnerability in Compressed (zipped) Folders Could Allow Remote Code Execution (873376) • Effetto: esecuzione di codice in modalità remota • Livello di gravità massimo: Critico • Software interessato: • Windows XP, Windows Server 2003
MS04-034: Comprendere la vulnerabilità • Compressed (zipped) Folders Vulnerability - CAN-2004-0575 • Vulnerabiltà di tipo “Buffer overrun” • Modalità d’attacco • File compressi appositamente modificati • Disponibili via sito web • Spediti come allegati in un messaggio di posta elettronica • Effetto di un attacco con successo • Chi effettua l’attacco avrà il controllo completo della macchina
MS04-034: Fattori attenuanti e soluzioni alternative • Fattori attenuanti • È richiesta l’interazione con l’utente • Il codice viene eseguito nel contesto dell’utente • Posta elettronica in formato HTML è aperta con restrizioni • Outlook Express 6, Outlook 2002, e Outlook 2003 per impostazione predefinita • Outlook 98 e Outlook 2000 con Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018 • Utilizzo di IE aggiornato (6.0 o più recente) • Soluzioni alternative • Rimuovere la registrazione di Cartelle compresse • Leggere la posta elettronica in formato solo testo • Installare Outlook E-mail Security Update
MS04-035: Introduzione • Vulnerability in SMTP Could Allow Remote Code Execution (885881) • Effetti della vulnerabilità: esecuzione di codice da remoto • Livello di gravità massimo : Critico • Software interessato: • Windows XP (solo 64-bit edition) • Windows Server 2003 • Exchange Server 2003
MS04-035: Comprendere le Vulnerabilità • SMTP Vulnerability - CAN-2004-0840 • una vulnerabilità di tipo “Remote Code Execution” relativa alla modalità di gestione delle DNS response che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza di LocalSystem • Modalità di attacco: • eseguibile da remoto: Sì (pacchetti DNS malformati) • richiede autenticazione: No • privilegi ottenibili: LocalSystem
MS04-035: Fattori attenuanti • Il componente SMTP non è installato by-default sui sistemi Windows Server 2003 (Gold e 64-Bit Edition) e Windows XP 64-Bit Edition V. 2003. • L’installazione di IIS 6.0 su Windows Server 2003 non installa di default il componente SMTP.
MS04-035: Soluzioni alternative • Windows Server 2003 con SMTP attivo (con o senza Exchange): • Bloccare la porta TCP 53 sul firewall (solo TCP!) per forzare l’uso di UDP • articolo 820284 per forzare l’uso di UDP solo per SMTP • Exchange Server 2003 Gold su Windows 2000 SP3/SP4: • In Exch. System Manager: bloccare l’uso della porta TCP 53 tra Exchange e i DNS esterni per forzare l’uso di UDP • Possibile impatto se la risposta contiene molti IP (più di 30 circa)
MS04-036: Introduzione • Vulnerability in NNTP Could Allow Code Execution (883935) • Effetti della vulnerabilità: esecuzione di codice da remoto • Livello di gravità massimo : Critico • Software interessato: • Windows NT 4.0 Server • Windows 2000 • Windows Server 2003 • Exchange 2000 Server • Exchange Server 2003
MS04-036: Comprendere le Vulnerabilità • NNTP Vulnerability - CAN-2004-0574 • vulnerabilità di tipo “Remote Code Execution” relativa al componente NNTP che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza di LocalSystem • Modalità di attacco: • eseguibile da remoto: Sì (pacchetti NNTP malformati) • richiede autenticazione: No • privilegi ottenibili: LocalSystem
MS04-036: Fattori attenuanti • Il blocco sui firewall delle porte NNTP (119 e 563) permette di difendersi da attacchi esterni. • Windows NT Server 4.0, Windows 2000 Server, e Windows Server 2003 non hanno installato il componente NNTP by default. • Inoltre l’installazione di IIS su tali sistemi non installa il componente NNTP by default. • Anche se Exchange Server 2003 utilizza il componente NNTP del sistema operativo, l’installazione di Exchange Server 2003 opera la disabilitazione di tale componente. • Il sistema risulta vulnerabile solo se l’amministratore ha esplicitamente riabilitato il componente NNTP
MS04-036: Soluzioni alternative • Bloccare sul firewall le porte TCP/UDP 119 e TCP/UDP 563 • Bloccare sui sistemi la ricezione di traffico sulle stesse porte (TCP/IP Filtering, IPSEC) • Disabilitare/rimuovere il componente NNTP
MS04-037: Introduzione • Vulnerability in Windows Shell Could Allow Remote Code Execution (841356) • Effetti della vulnerabilità: esecuzione di codice da remoto • Livello di gravità massimo : Critico • Software interessato : • Windows NT 4.0 Server, e Terminal Server Edition, • Windows 2000, • Windows XP, • Windows Server 2003 • Non critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition
MS04-037: Comprendere le Vulnerabilità • Shell Vulnerability - CAN-2004-0214 • una vulnerabilità di tipo “Remote code execution” relativa alla modalità con cui il componente Windows Shell lancia le applicazioni, che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dell’utente loggato. • Modalità di attacco: • eseguibile da remoto: Sì (navigazione su un sito Web, e-mail HTML) • richiede autenticazione: No • privilegi ottenibili: quelli dell’utente loggato
MS04-037: Comprendere le Vulnerabilità • Program Group Converter Vulnerability - CAN-2004-0572 • una vulnerabilità di tipo “Remote Code Execution” relativa al componente Program Group Converter che permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza dell’utente loggato. • Modalità di attacco: • eseguibile da remoto: Sì (navigazione su un sito Web, e-mail HTML, apertura di file .grp) • richiede autenticazione: No • privilegi ottenibili: quelli dell’utente loggato
MS04-037: Fattori attenuanti • Nell’attacco Web-based è necessario convincere l’utente a visitare la pagina del sito pericoloso. • least privilege: l’eventuale attacco ha le credenziali dell’utente loggato. • l’apertura di e-mail HTML nella Restricted Site security zone riduce il rischio, ma non difende dal rischio risultante dall’esplicita volontà dell’utente di cliccare su un link malizioso • Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; • Outlook 98/2000 se hanno installato l’Outlook E-mail Security Update; • Outlook Express 5.5 SP2 se è stato installato il bollettino MS04-018).
MS04-037: Soluzioni alternative • Per entrambe le vulnerabilità: • adoperarsi per abilitare i client all’apertura di e-mail HTML nella Restricted Sites zone (vedi fattori mitiganti) • Leggere le mail in formato solo testo. • Per la vulnerabilità Program Group Converter: • Non aprire file con estensione .grp di fonte non sicura • Rimuovere l’associazione dei file .grp all’applicazione grpconv.exe
MS04-037: Modifiche di funzionalità • due modifiche di funzionalità per Windows XP e Windows Server 2003, entrambe in linea con impostazioni incluse by default dal Service Pack 2 di Windows XP: • viene impedito al protocollo “shell:” di lanciare automaticamente applicazioni associate a particolari estensioni di file • viene impedito alla Shell di utilizzare il protocollo “shell:” per referenziare i file (il protocollo era nato per referenziare cartelle e system objects)
MS04-038: Introduzione • Cumulative Security Update for Internet Explorer (834707) • Effetti della vulnerabilità: esecuzione di codice da remoto • Livello di gravità massimo : Critico • Software interessato : • Windows NT Server 4.0 (SP6a) • Windows NT Server 4.0 Terminal Server (SP6) • Windows 2000 (SP3, SP4) • Windows XP (Gold, SP1, SP2, 64-Bit SP1, 64-bit v.2003) • Windows Server 2003 (Gold, 64-Bit) • Componenti interessati: • Internet Explorer 5.01, Internet Explorer 5.5, Internet Explorer 6.0 • Critico per Windows 98, Windows 98 Second Edition, Windows Millennium Edition
MS04-038: Comprendere le Vulnerabilità • Cascading Style Sheets (CSS) Heap Memory Corruption Vulnerability - CAN-2004-0842 • Buffer overrun nella gestione Cascading Style Sheets • Effetti: esecuzione di codice da remoto • Similar Method Name Redirection Cross Domain Vulnerability - CAN-2004-0727 • Problema nella validazione dei Navigation Methods con nomi simili da parte del modello di sicurezza cross-domain • Effetti: esecuzione di codice da remoto • Install Engine Vulnerability - CAN-2004-0216 • Buffer overrun nella Inseng.dll (Install Engine) • Effetti: esecuzione di codice da remoto
MS04-038: Comprendere le Vulnerabilità (2) • Drag and Drop Vulnerability - CAN-2004-0839 • La tecnologia “Drag and Drop” non gestisce correttamente alcuni eventi Dynamic HTML (DHTML) • Effetti: esecuzione di codice da remoto • Address Bar Spoofing on Double Byte Character Set Systems Vulnerability - CAN-2004-0844 • Errore di normalizzazione di URL che presentano caratteri speciali sui sistemi dotati di Double Byte Character Set • Effetti: Information Disclosure
MS04-038: Comprendere le Vulnerabilità (3) • Plug-in Navigation Address Bar Spoofing Vulnerability - CAN-2004-0843 • Vulnerabilità nella gestione dei Plug-in • Effetti: Information Disclosure • Script in Image Tag File Download Vulnerability - CAN-2004-0841 • Vulnerabilità nella validazione degli script negli Image tags. • Effetti: esecuzione di codice da remoto • SSL Caching Vulnerability - CAN-2004-0845 • Vulnerabilità nella gestione dei contenuti scaricati da siti protetti in cache locale • Effetti: Information Disclosure
MS04-038: Fattori attenuanti • Nell’attacco Web-based è necessario convincere l’utente a visitare la pagina del sito pericoloso. • least privilege: l’eventuale attacco ha le credenziali dell’utente loggato. • l’apertura di e-mail HTML nella Restricted Site security zone riduce il rischio, ma non difende dal rischio risultante dall’esplicita volontà dell’utente di cliccare su un link malizioso • Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; • Outlook 98/2000 se hanno installato l’Outlook E-mail Security Update; • Outlook Express 5.5 SP2 se è stato installato il bollettino MS04-018).
MS04-038: Soluzioni alternative • Modificare le impostazioni relative alle zone Internet ed Intranet per forzare il prompt prima dell’esecuzione di ActiveX e Active Scripting • Adoperarsi per abilitare i client all’apertura di e-mail HTML nella Restricted Sites zone (vedi fattori mitiganti) • Leggere le mail in formato solo testo • Rafforzare le impostazioni di sicurezza della Local Machine Zone (833633). • Modificare l’impostazione avanzata di IE che permette di non salvare in cache locale il contenuto di siti protetti
MS04-038: Modifiche di funzionalità • Imposta il kill bit per l’ActiveX heartbeat.ocx (usato per il gaming online di MSN) • Migliora ulteriormente i controlli di sicurezza quando vengono aperti i file HTML Help nella zona Internet utilizzando il metodo showHelp • Corregge il comportamento dell’impostazione di sicurezza “Drag and Drop or copy and paste files” di Internet Explorer su Windows XP, per renderlo consistente con quanto documentato.
MS04-038: Aggiornamenti disponibili • 834707 contiene solo le security patch e gli aggiornamenti pubblici (questi emessi dopo il bollettino MS04-004) • Reperibile su Windows Update, Software Update Services, Download Center • 873377 (update rollup) contiene le security patch, gli aggiornamenti pubblici ed anche le hotfixes emesse dopo il bollettino MS04-004 • Reperibile solo sul Download Center • Maggiori informazioni nell’articolo 873377 • Per ridurre il rischio di problemi di compatibilità orientarsi verso l’installazione della patch 834707
Rilevamento dei sistemi da aggiornare • MBSA: • utile per individuare i sistemi che richiedono l’aggiornamento, per TUTTI i bollettini • Note: • MS04-038: MBSA non è in grado di rilevare le hotfix e quindi non può determinare i sistemi che hanno bisogno della patch 873377 (update rollup) • MS04-033: detection solo locale • MBSA non supporta i sistemi Mac
Rilevamento dei sistemi da aggiornare (2) • SUS: • utile per individuare i sistemi che richiedono l’aggiornamento, per TUTTI i bollettini con le seguenti eccezioni • sistemi Exchange 2003 su Windows 2000 che richiedono la MS04-035 • Il SUS Client (Automatic Updates Client) è in grado di identificare i sistemi che richiedono la MS04-038 ma non sono in grado di rilevare i sistemi che hanno bisogno della patch 873377 (update rollup)
Rilevamento dei sistemi da aggiornare (3) • SMS 2.0 / 2003: • utile per individuare i sistemi che richiedono l’aggiornamento, per TUTTI i bollettini con le seguenti eccezioni • l’engine MBSA di SMS è in grado di identificare i sistemi che richiedono la MS04-038 ma non quelli che hanno bisogno della patch 873377 (update rollup) • Per rilevare i sistemi che hanno bisogno dell’update rollup utilizzare la software inventory • MS04-038: per IE 6.0 SP1, MBSA non è in grado di indicare ad SMS quale dei due aggiornamenti usare • é disponibile un SMS package che le include entrambe e installa la patch corretta
Tool di Deployment • SUS: • idem come per il rilevamento • SMS: • idem come per il rilevamento • L’uso della caratteristica di import permette di operare il deployment anche della patch 873377 (update rollup) • MS04-033 (Office): usare la tecnologia Windows Installer che aggiorna i client per mezzo dell’aggiornamento del server di Installazione Amministrativa
Note di deployment • Necessità di Restart • MS04-033 – Non richiesto • MS04-035 – Required • Per le altre può essere richiesto • Disinstallazione • Possibile per tutte tranne la MS04-033