1 / 80

Approfondimenti sui Microsoft Security Bulletin febbraio 2005

Approfondimenti sui Microsoft Security Bulletin febbraio 2005. Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft Services Italia. Agenda. Bollettini sulla Sicurezza di febbraio 2005: Nuovi: da MS05-004 a MS05-015 Riemessi: MS04-035 su SMTP

micol
Télécharger la présentation

Approfondimenti sui Microsoft Security Bulletin febbraio 2005

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Approfondimenti sui Microsoft Security Bulletin febbraio 2005 Feliciano Intini Andrea Piazza Mauro Cornelli Premier Center for Security - Microsoft ServicesItalia

  2. Agenda • Bollettini sulla Sicurezza di febbraio 2005: • Nuovi: da MS05-004 a MS05-015 • Riemessi: MS04-035 su SMTP • Altre informazioni sulla sicurezza: • Enterprise Scanning Tool • Guide a supporto del patch deployment • Malicious Software Removal Tools di febbraio • Annuncio di accordo per l’acquisizione di Sybari Software • Risorse ed Eventi

  3. Bollettini di SicurezzaFebbraio 2005

  4. Bollettini di SicurezzaFebbraio 2005 (2)

  5. MS05-004: Introduzione • ASP.NET Path Validation Vulnerability (887219) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità: • Microsoft .NET Framework 1.0 Service Packs 2 & 3 • Microsoft .NET Framework 1.1 (All Versions) • Componente interessato: • ASP.NET • www.microsoft.com/technet/security/bulletin/ms05-004.mspx

  6. MS05-004: Comprendere la vulnerabilità • Path Validation Vulnerability - CAN-2004-0847 • Vulnerabilità nel processo di Canonicalizzazione degli URL • Può consentire di bypassare la sicurezza di un sito web ASP.NET e acquisire accesso non autorizzato • Modalità di attacco • Utilizzando e inviando uno specifico URL verso un sistema affetto tramite un’utenza anonima • Possibilità di attacco via Internet • Impatto della Vulnerabilità: Information Disclosure, possibile Elevation of Privilege • Impatto di un attacco riuscito • Diversi tipi di azioni, a seconda dello specifico contenuto del sito web • Pubblica • Exploit reso noto

  7. MS05-004: Fattori mitiganti • La vulnerabilità impatta solo i siti che richiedono accesso autenticato

  8. MS05-004: Soluzioni alternative • Applicare il modulo HTTP discusso nell’articolo di Knowledge Base 887289 • Installa il modulo Microsoft.Web.ValidatePathModule.dll • Aggiorna i machine.config per richiamare questo modulo • Accertarsi che le applicazioni usino i moduli HTTP definiti a livello di Machine.config e non di applicazione (Web.config) • Modificare il file global.asax secondo l’esempio discusso nell’articolo di Knowledge Base 887459 • Il file si trova nella application root directory di ogni applicazione ASP.NET • Aggiunge un event handler Application_BeginRequest che evita l’utilizzo di caratteri non validi o di URL malformati

  9. MS05-005: Introduzione • Vulnerability in Microsoft Office XP could allow Remote Code Execution (873352) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Microsoft Office XP Software Service Packs 2 & 3 • Microsoft Project 2002 • Microsoft Visio 2002 • Microsoft Works Suite 2002, 2003 & 2004 • Software non interessato: • Microsoft Office 2000 & 2003 • www.microsoft.com/technet/security/bulletin/ms05-005.mspx

  10. MS05-005: Comprendere la vulnerabilità • Office XP Vulnerability - CAN-2004-0848 • La vulnerabilità è dovuta a un Buffer overrun nel processo di gestione degli URL da parte di Office • Modalità di attacco • Creando un documento contenente dati OLE malformati • Inviandolo via mail o pubblicandolo su un sito web • Possibilità di attacco via Internet • Impatto della vulnerabilità: Esecuzione di codice da remotocon i privilegi dell’utente loggato • Non pubblica • Proof of concept reso noto

  11. MS05-005: Fattori mitiganti • Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi • È richiesta l’interazione dell’utente • Deve aprire il documento in Internet Explorer o cliccare su un link contenuto in una mail: l’attacco non può essere automatizzato • Microsoft ISA 2004 blocca di default l’URL malformato quando funge da proxy delle richieste dei client

  12. MS05-005: Soluzioni alternative • Abilitare la conferma per l’apertura di documenti Office • Abilitato di default

  13. MS05-006: Introduzione • Vulnerability in Windows SharePoint Services and SharePoint Team Services Could Allow Cross-Site Scripting and Spoofing Attacks (887981) • Livello di gravità massimo: Moderato • Software Interessato: • Windows SharePoint Services • SharePoint Team Services from Microsoft • www.microsoft.com/technet/security/bulletin/ms05-006.mspx

  14. MS05-006: Comprendere la vulnerabilità • Cross-site Scripting e Spoofing Vulnerability - CAN-2005-0049 • La non completa validazione delll’input delle query HTML di redirection provoca una vulnerabilità del tipo cross-site scripting • Modalità di attacco • Link opportunamente malformato su una pagina HTML • Ospitata su un sito Web • Inviata tramite e-mail • Possibilità di attacco via Internet • Impatto della vulnerabilità: Esecuzione di codice da remoto • Impatti di un attacco riuscito • Esecuzione di codice sul sistema dell’utente che visualizza il sito SharePoint nel contesto di sicurezza dell’utente • Modifica della cache dei browser e/o dei server proxy intermedi • Non pubblica • Exploit non ancora noti

  15. MS05-006: Fattori mitiganti • L’hacker deve possedere delle credenziali valide per effettuare il logon sul server SharePoint server • Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi • L’opzione “Do not save encrypted pages to disk” evita che nella cache del client sia inserito contenuto spoofed • Le connessioni SSL sono protette dal vettore di attacco dei proxy intermedi • Per l’hacker è estremamente complesso predire a quale utente verrà servito il contenuto spoofed dalla cache del proxy intermedio

  16. MS05-006: Soluzioni alternative • Nessuna

  17. MS05-007: Introduzione • Vulnerability in Windows Could Allow Information Disclosure (888302) • Livello di gravità massimo: Importante • Software interessato dalla vulnerabilità • Microsoft Windows XP Service Packs 1 & 2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Software non interessato • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) • www.microsoft.com/technet/security/bulletin/ms05-007.mspx

  18. MS05-007: Comprendere le vulnerabilità • Named Pipe Vulnerability - CAN-2005-0051 • Può consentire di leggere da remoto lo username degli utenti che hanno connessioni aperte verso risorse condivise • Modalità di attacco • Invio di un pacchetto di rete opportunamente malformato verso un sistema vulnerabile da parte di un utente anonimo • Possibilità di attacco via Internet • Impatti di un attacco riuscito • Information Disclosure • Non pubblica • Exploit non ancora noti

  19. MS05-007: Fattori mitiganti • Le best practices relative ai firewall che indicano di minimizzare il numero di porte esposte può mitigare la vulnerabilità • Disabilitare il servizio Computer Browser • Fermare o disabilitare il Computer Browser e restartare il sistema affetto mitiga la vulnerabilità

  20. MS05-007: Soluzioni alternative • Disabilitare il servizio Computer Browser • Usare un personal firewall, come Internet Connection Firewall • Bloccare il traffico usando IPSec sui sistemi vulnerabili • Per informazioni dettagliate su IPSec e come applicare i relativi filtri fare riferimento a Microsoft Knowledge Base Article 313190 e Microsoft Knowledge Base Article 813878 • Bloccare le porte TCP 139 e 445 a livello di firewall • Abilitare advanced TCP/IP filtering • Fare riferimento a Microsoft Knowledge Base Article 309798

  21. MS05-008: Introduzione • Vulnerability in Windows Shell Could Allow Remote Code Execution (890047) • Livello di gravità massimo: Importante • Software Interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP Service Packs 1 & 2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) • www.microsoft.com/technet/security/bulletin/ms05-008.mspx

  22. MS05-008: Comprendere le vulnerabilità • Drag-and-Drop Vulnerability - CAN-2005-0053 • La tecnologia Drag-and-Drop valida in modo non corretto alcuni eventi DHTML che possono permettere il download di un file dopo aver cliccato su un link • Modalità di attacco • Creando un’opportuna pagina HTML che viene poi • Ospitata su un sito Web • Inviata tramite e-mail • Possibilità di attacco via Internet • Impatto della vulnerabilità: Esecuzione di codice da remoto • Impatti di un attacco riuscito • Download di codice potenzialmente dannoso sul sistema dell’utente • Pubblica • Exploit reso noto

  23. MS05-008: Fattori mitiganti • L’hacker non è in grado di eseguire direttamente del codice • Nello scenario di attacco via web, l’utente dev’essere convinto a visitare il sito dell’hacker: l’attacco non può essere automatizzato • Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi • L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la superficie di attacco • Outlook Express 6, Outlook 2002, e Outlook 2003 di default • Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security Update (OESU) • Outlook Express 5.5 con MS04-018 • Il rischio causato dalle e-mail HTML è significativamente ridotto se: • È installato MS03-040 o un successivo aggiornamento cumulativo per IE e contemporaneamente • Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft Outlook 2000 Service Pack 2 o successiva nella configurazione di default • Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail Security Update nella configurazione di default

  24. MS05-008: Soluzioni alternative • Disabilitare “Drag and Drop or copy and paste files” in Internet Explorer • Impostare la security delle zone Internet e Local intranet ad “High” • Leggere le mail in formato solo testo • Limitare la navigazione sui siti web ai soli siti ritenuti affidabili

  25. MS05-009: Introduzione • Vulnerability in PNG Processing Could Lead to Buffer Overrun (890261) • Livello di gravità massimo: Critico • Software interessato: • Microsoft Windows Media Player 9 Series (su piattaforma Windows 2000, Windows XP e Windows Server 2003) • Microsoft MSN Messenger 6.1 & 6.2 • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (ME) • Software non interessato: • MSN Messenger for Mac • Windows Media Player 6.4 & 7.1 • Windows Media Player for Windows XP (8.0) • Windows Media Player 9 Series for Windows XP Service Pack2 • Windows Media Player 10

  26. MS05-009: Introduzione (2) • Componenti interessati: • Microsoft Windows Messenger versione 4.7.2009 (su piattaforma Windows XP e Windows XP Service Pack 1) • Microsoft Windows Messenger version 4.7.3000 (su piattaforma Windows XP Service Pack 2) • Microsoft Windows Messenger version 5.0 (versione standalone che può essere installata su tutti i sistemi operativi supportati) • Impatto della vulnerabilità: Esecuzione di codice da remoto • www.microsoft.com/technet/security/bulletin/ms05-003.mspx

  27. MS05-009: Comprendere le vulnerabilità • PNG Processing Vulnerability- CAN-2004-1244 • Buffer overrun in come Windows Media Player gestisce il formato di immagini PNG aventi altezza eccessiva • Modalità di attacco • Creando un immagine PNG che viene poi • Ospitata su un Web site • Ospitata su una share di rete • Inviata tramite e-mail • Impatti di un attacco riuscito • Esecuzione di codice con i privilegi di Local System • Pubblica • Exploit reso noto per MSN Messenger

  28. MS05-009: Comprendere la vulnerabilità • PNG Processing Vulnerability in Windows Messenger and MSN Messenger - CAN-2004-0597 • Buffer overrun in come Windows Messenger e MSN Messenger implementano la libreria pubblica lipng versione 1.2.5 • Modalità di attacco • L’hacker dovrebbe simulare il servizio .NET Messenger, o intercettare e riscrivere la comunicazione tra client e server • Inviare un PNG malformato a Windows Messenger o MSN Messenger non sfrutta la vulnerabilità • Possibilità di attacco via Internet: No • Impatti di un attacco riuscito • Esecuzione di codice con i privilegi di Local System • Publica • Exploit reso noto

  29. MS05-009: Fattori mitiganti • Per la prima vulnerabilità • È richiesta l’interazione dell’utente, che deve visitare il sito dell’hacker, la share di rete o cliccare su un link in una email: l’attacco non può essere automatizzato • Gli account configurati con privilegi limitati sono meno esposti all'attacco rispetto a quelli che operano con privilegi amministrativi • Per la seconda vulnerabilità • Sfruttare la vulnerabilità richiede un grosso sforzo e la conoscenza della infrastruttura di rete dell’organizzazione • Gli utenti di Windows Messenger dovrebbero essere configurati per ricevere gli Alerts .NET • MSN Messenger non consente ad utenti anonimi di inviare messaggi di default. L’hacker dovrebbe in primo luogo indurre l’utente ad aggiungerlo alla lista dei contatti

  30. MS05-009: Soluzioni alternative • Disassociare le estensioni dei metafile (.ASX, .WAX, .WVX, .WPL, .WMX, .WMS, .WMZ) • Disabilitare il controllo ActiveX di Windows Media Player • Rimuovere dal registry tutte le entry MIME type che associano a Windows Media Player il MIME type elencato nell’header Content-Type • Disabilitare .NET Alerts in Windows Messenger • Disabilitare la visualizzazione delle immagini in MSN Messenger • Disabilitare gli Emoticons • Non accettare file da contatti sconosciuti o di cui non ci si fida • Non aggiungere indirizzi non conosciuti all’elenco dei contatti • Controllare tutti i contatti presenti nel proprio elenco e rimuovere o bloccare quelli non noti, non necessari o di cui non ci si fida

  31. Strumenti per il rilevamento • MBSA: • MS05-005 – tramite ODT localmente • NOTE: MBSA does successfully detect systems running Microsoft Works Suite 2002, 2003 or 2004 that require this update • MS05-006 – Only SharePoint Team Services through Office Detection Tool (ODT) localmente • MS05-009 – Windows Media Player 9 • MS05-007, MS05-008 • KB 306460 for information on products that MBSA detects (http://support.microsoft.com/kb/306460) • See http://office.microsoft.com/en-us/FX010402221033.aspx for information on products that the Office Detection Tool supports

  32. Strumenti per il rilevamento • Enterprise Scanning Tool (EST): • MS05-004 • MS05-006 – solo Windows Sharepoint Services • MS05-009

  33. Strumenti per il rilevamento • SUS: • MS05-004 • MS05-006 – solo Windows Sharepoint Services • MS05-007 • MS05-008 • MS05-009 – Windows Media Player 9

  34. Strumenti per il rilevamento • SMS 2.0 / 2003: • Tramite SMS 2.0 con SUS Feature Pack e SMS 2003 è possibile identificare i sistemi che richiedono: • MS05-007 • MS05-008 • MS05-009 – Windows Media Player 9, Windows Messenger

  35. Strumenti per il rilevamento • SMS 2.0 / 2003: • Usando SMS 2.0 con SUS Feature Pack e SMS 2003 insieme a Office Detection Tool (ODT) è possibile identificare i sistemi che richiedono: • MS05-005 – tramite ODT localmente • Solo i prodotti supportati da Office Detection Tool • Fare riferimento a http://go.microsoft.com/fwlink/?LinkId=19025 • MS05-006 –SharePoint Team Services tramite ODT localmente • Usare la software inventory per i sistemi che richiedono: • MS05-004 • MS05-006 – solo Windows Sharepoint Services • MS05-009 – solo MSN Messenger • Nota: EST può essete usato con SMS per il deployment • Fare riferimento a KB 867832 per dettagli sulla software inventory

  36. Strumenti per il deployment • SUS: • Usare il SUS Client (Automatic Updates Client) per deployare tutti gli update eccetto: • MS05-005 (tutti gli aggiornamenti) – consigliare Office Update http://go.microsoft.com/fwlink/?LinkId=21135 • MS05-006 (SharePoint Team Services) – consigliare Office Update http://go.microsoft.com/fwlink/?LinkId=21135 • MS05-009 (MSN Messenger) – scaricare l’aggiornamento da http://messenger.msn.com • SUS consoliderà gli aggiornamenti in modo da richiedere un unico reboot

  37. Strumenti per il deployment • SMS: • Usare SMS 2.0/SMS 2003 per installare tutti gli aggiornamenti eccetto: • MS05-009 (MSN Messenger) – scaricare l’aggiornamento da http://messenger.msn.com • Per maggiori informazioni sulla Software Distribution: • www.microsoft.com/technet/prodtechnol/sms/sms2003/patchupdate.mspx

  38. Strumenti per il deployment • MS05-005 e MS05-006 (SharePoint Team Services) • Prerequisiti: • Microsoft Windows Installer 2.0 • Office XP Service Pack 3 • Accesso all’ install point o al media originale • Possono essere applicati all’Administrative Install Point per poi aggiornare i client • Possono essere applicati direttamente ai client • Fare riferimento a “Strategies for Updating Office XP Installations” http://office.microsoft.com/en-us/assistance/HA011525751033.aspx

  39. Installazione degli aggiornamenti

  40. Installazione degli aggiornamenti • Security Update sostituiti • Da MS05-004, MS05-006, MS05-007, MS05-008 – Nessuno • Da MS05-005 : MS04-028 per Microsoft Office XP • Da MS05-009 : MS03-021 per Windows Media Player 9

  41. MS05-010: Introduzione • Vulnerability in the License Logging Service Could Allow Code Execution (885834) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Microsoft Windows NT Server 4.0 SP6a • Microsoft Windows NT Server 4.0 Terminal Server Edition SP6 • Microsoft Windows 2000 Server SP3 & SP4 • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Nota importante: • la disponibilità dell’aggiornamento per i sistemi Windows NT 4.0 (non più supportati) rappresenta un rilascio straordinario • Valutazioni del rischio a cui sarebbe sottoposto un numero elevato di clienti non ancora aggiornati a versioni successive

  42. MS05-010: Analisi di rischio • License Logging Service Vulnerability - CAN-2005-0050 • Unchecked buffer del servizio License Logging • Effetti della vulnerabilità: • Esecuzione di codice da remoto • Modalità di attacco • Eseguibile da remoto • Inviando pacchetti di rete malformati • Attacco autenticato: • NO: Windows NT 4, Windows 2000 Server SP3 ed SBS 2000 installato su Windows 2000 Server SP3 • SI: Windows 2000 Server SP4, Windows Server 2003, SBS 2003, ed SBS 2000 installato su Windows 2000 Server SP4 • Privilegi ottenibili: LocalSystem

  43. MS05-010: Fattori mitiganti • Su Windows Server 2003: • il servizio License Logging è disabilitato by default • l’effetto di un attacco sarebbe più probabilmente un DoS • solo connessioni autenticate • Su SBS 2000/2003 • il servizio License Logging è attivo ma raggiungibile solo dalla rete locale • Windows 2000 SP4 • il servizio è raggiungibile solo da connessioni autenticate • Le “best practice” di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet

  44. MS05-010: Soluzioni alternative • Disabilitare il servizio License Logging • Non su SBS 2000 o SBS 2003, dove è necessario • Disabilitare le connessioni anonime • rimuovendo il servizio License Logging dalla chiave di registry NullSessionPipes • Su Windows NT 4.0 e Windows 2000 Server SP3 • Bloccare le porte TCP 139 e 445 sul firewall perimetrale • Utilizzare un personal firewall (es. ICF su Windows Server 2003) • Utilizzare IPSEC o TCP/IP filtering • Utilizzare il wizard “Configure E-mail & Internet Connection” su SBS 2000/2003

  45. MS05-011: Introduzione • Vulnerability in Server Message Block Could Allow Remote Code Execution (885250) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 SP3 & SP4 • Microsoft Windows XP SP1 & SP2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems

  46. MS05-011: Analisi di rischio • Server Message Block Vulnerability - CAN-2005-0045 • Problema nella validazione di alcuni pacchetti di rete SMB • Effetti della vulnerabilità: • Esecuzione di codice da remoto • Modalità di attacco • Eseguibile da remoto • Inviando pacchetti di rete malformati • Pagina HTML artefatta • ospitata su un sito Web o inviata come e-mail • Attacco autenticato: No • Privilegi ottenibili: LocalSystem

  47. MS05-011: Fattori mitiganti • Gli attacchi tramite pagine HTML non sono automatici: • E’ necessario convincere la vittima a visitare il sito dell’attacker • E’ necessario cliccare su un link nella e-mail HTML • Il blocco dei pacchetti broadcast mitiga lo sfruttamento della vulnerabilità • Le “best practice” di sicurezza perimetrale dovrebbero mitigare il rischio di attacco da internet

  48. MS05-011: Soluzioni alternative • Bloccare le porte TCP 139 e 445 sul firewall perimetrale • Utilizzare un personal firewall (es. ICF su Windows Server 2003) • Utilizzare IPSEC o TCP/IP filtering • Nota: • altri protocolli come IPX/SPX potrebbero essere vulnerabili • si raccomanda di bloccare adeguatamente anche le porte di tali protocolli

  49. MS05-012: Introduzione • Vulnerability in OLE and COM Could Allow Remote Code Execution (873333) • Livello di gravità massimo: Critico • Software interessato dalla vulnerabilità: • Microsoft Windows 2000 Service Packs 3 & 4 • Microsoft Windows XP Service Packs 1 & 2 • Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) • Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) • Microsoft Windows Server 2003 • Microsoft Windows Server 2003 for Itanium-based Systems • Software che utilizza il componente Windows OLE • Exchange Server 2003 Gold & SP1 • Exchange 2000 Server SP3 • Exchange Server 5.5 SP4 & Exchange 5.0 SP2 • Office 2003 Gold & SP1 • Office XP SP2 & SP3 • Windows 98, 98SE ed ME non sono interessati in modo critico

  50. MS05-012: Analisi di rischio • COM Structured Storage Vulnerability - CAN-2005-0047 • Problema nella gestione dei COM Structured Storage • Effetti della vulnerabilità: • Privilege Elevation • Modalità di attacco • Eseguibile da remoto: No • necessario il logon locale per lanciare un programma artefatto • Attacco autenticato: Sì • Privilegi ottenibili: Non applicabile

More Related