Approfondimenti sui
Microsoft Security Bulletin
ottobre 2005
Andrea Piazza - Mauro Cornelli
Premier Center for Security
Microsoft Services
Italia
Agenda




Bollettini sulla Sicurezza di ottobre 2005
Informazioni sul rilevamento e il
deployment
Malicious Software Removal Tools
Security News
Bollettini di Sicurezza
Ottobre 2005
MAXIMUM SEVERITY
BULLETIN NUMBER
PRODUCTS AFFECTED
IMPACT
Critical
MS05-050
Microsoft Windows,
DirectX
Remote Code Execution
Critical
MS05-051
Microsoft Windows
Remote Code Execution
Critical
MS05-052
Microsoft Windows ,
Internet Explorer
Remote Code Execution
Important
MS05-046
Microsoft Windows
Remote Code Execution
Important
MS05-047
Microsoft Windows
Remote Code Execution
Important
MS05-048
Microsoft Windows,
Exchange
Remote Code Execution
Important
MS05-049
Microsoft Windows
Remote Code Execution
Moderate
MS05-044
Microsoft Windows
Tampering
Moderate
MS05-045
Microsoft Windows
Denial of Service
Dettaglio per prodotto
98/SE/ME
Windows
2000
Service
Pack 4
Windows XP
Service Pack
1
Windows XP
Service Pack 2
Windows
Server
2003
Windows
Server 2003
SP1
Exchange
2000
MS05044
Not
Affected
Moderate
Moderate
Not Affected
Moderate
Not Affected
N/A
MS05045
Not
Affected
Moderate
Moderate
Low
Moderate
Low
N/A
MS05046
Not
Affected
Important
Important
Important
Important
Important
N/A
MS05047
Not
Affected
Important
Important
Important
Not
Affected
Not Affected
N/A
MS05048
Not
Affected
Important
Moderate
Moderate
Moderate
Moderate
Important
MS05049
Not
Affected
Important
Important
Important
Important
Important
N/A
MS05050
Critical
Critical
Critical
Critical
Critical
Critical
N/A
MS05051
Not
Affected
Critical
Critical
Important
Important
Important
N/A
MS05052
Critical
Critical
Critical
Critical
Moderate
Moderate
N/A
MS05-044: Introduzione



Vulnerability in the Windows FTP Client Could Allow
File Transfer Location Tampering (905495)
Livello di gravità massimo: Moderata
Software interessato dalla vulnerabilità:




Componente interessato:


Microsoft Windows XP Service Pack 1
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000
Service Pack 4
www.microsoft.com/technet/security/bulletin/ms05044.mspx
MS05-044: vulnerabilità

FTP Client Vulnerability - CAN-2005-2126


Il client Windows FTP non convalida in modo corretto i file name ricevuti dai
server FTP.
Modalità di attacco

Non Eseguibile da remoto




File su un server FTP con un nome appositamente predisposto. Il nome file creato in
modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a
un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi
indurre l'utente a scaricare tale file.
Attacco autenticato: No
Tipologia: Tampering
Impatti di un attacco riuscito

Tampering

Tale vulnerabilità può consentire a un utente malintenzionato di modificare il
percorso di destinazione specificato per il trasferimento di file, quando un client ha
scelto di trasferire un file mediante FTP.

Le vulnerabilità era pubblica

L’exploit è pubblico
MS05-044: Fattori mitiganti

È necessaria l'interazione dell'utente prima che i file
possano essere trasferiti al sistema interessato.

Il file viene salvato solo se l'utente ne consente il
salvataggio dopo aver ricevuto il messaggio di avviso.

Per impostazione predefinita, l'impostazione di Internet
Explorer "Attiva la visualizzazione della cartella per i siti
FTP" è disabilitata su tutte le versioni del sistema
operativo interessato.
MS05-044: Soluzioni alternative

Non scaricare file da server FTP non
attendibili

È possibile ridurre il rischio di attacco
scaricando i file solo da server FTP
attendibili.
MS05-045: Introduzione

Vulnerability in Network Connection Manager Could Allow Denial of
Service (905414)

Livello di gravità massimo: Moderato
Software interessato dalla vulnerabilità:





Software non interessato





Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service
Pack 2
Microsoft Windows Server 2003 and Microsoft Windows Server 2003
Service Pack 1
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 for Itanium-based Systems and
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and
Microsoft Windows Millennium Edition (ME)
www.microsoft.com/technet/security/bulletin/ms05-045.mspx
MS05-045: vulnerabilità

Network Connection Manager Vulnerability - CAN-2005-2307


Modalità di attacco




Un buffer non controllato in Network Connection Manager è causa di
vulnerabilità ad attacchi di tipo Denial of Service. Network Connection
Manager è un componente del sistema operativo che consente di controllare
le connessioni di rete.
Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una
richiesta appositamente predisposta e inviandola al componente interessato.
Attacco autenticato: Si
Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1)
Impatti di un attacco riuscito

Negazione del servizio (Denial of Service)

Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al
componente responsabile della gestione delle connessioni di rete e di accesso
remoto di rispondere.

Le vulnerabilità era pubblica

L’exploit è pubblico
MS05-045: Fattori mitiganti

In Windows XP Service Pack 2 e Windows Server 2003 Service
Pack 1, il componente interessato non è disponibile da remoto.
 Necessario disporre di credenziali di accesso valide, ed essere
in grado di accedere localmente al sistema.

Le configurazioni predefinite standard dei firewall perimetrali
consentono di proteggere le reti da attacchi esterni.
MS05-045: Soluzioni alternative

Bloccare le seguenti porte a livello di firewall
della rete perimetrale aziendale:

Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139,
445 e 593

Tutto il traffico in ingresso non richiesto sulle porte
successive alla 1024

Qualsiasi altra porta RPC specificamente
configurata

Il componente Servizio Internet COM (CIS) o RPC
su http (se installato), in ascolto sulle porte 80 e
443
MS05-046: Introduzione

Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution
(899589)

Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità:





Software non interessato






Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server
2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows
Millennium Edition (ME)
Windows Services for Netware
www.microsoft.com/technet/security/bulletin/ms05-046.mspx
MS05-046: vulnerabilità

Client Service for NetWare Vulnerability - CAN-2005-1985

Il Servizio client per NetWare (CSNW) consente a un client di accedere ai
servizi NetWare per file, stampa e directory. Un buffer non controllato nel
servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo
Remote Code Execution

Modalità di attacco
Una serie di messaggi di rete appositamente predisposti e inviati al sistema
interessato. I messaggi possono quindi costringere il sistema interessato a
eseguire codice.
Attacco autenticato: NO (tranne che per Win2003 sp1)
Sfruttabile da Remoto: SI (tranne che per Win2003 sp1)




Impatti di un attacco riuscito

Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere
il pieno controllo del sistema interessato.


Una serie di messaggi di rete appositamente predisposti e inviati al sistema
interessato. I messaggi potrbbero quindi costringere il sistema interessato a
eseguire codice.
Privilegi ottenibili: Utente autenticato
MS05-046: Fattori mitiganti




Windows XP Home Edition non presenta il componente
vulnerabile.
Servizio client per NetWare non è installato su nessuna
versione dei sistemi operativi interessati
Windows Server 2003 SP1: Con questa versione del
sistema operativo, la vulnerabilità non può essere
sfruttata in remoto o da utenti anonimi.
Le configurazioni predefinite standard dei firewall
consentono di proteggere le reti dagli attacchi sferrati
dall'esterno del perimetro aziendale
MS05-046: Soluzioni alternative

Rimuovere il Servizio client per NetWare
se non lo si utilizza.

Bloccare le porte TCP 139 e 445 a livello
del firewall

CSNW è generalmente associato ai
protocolli Internetwork Packet Exchange
(IPX) e Sequenced Packet Exchange (SPX).
MS05-047: Introduzione





Vulnerability in Plug and Play Could Allow Remote Code
Execution and Local Elevation of Privilege (905749)
Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità:
 Windows 2000 SP4 (Server e Professional)
 Windows XP SP1 e SP2
Componente interessato:
 Plug&Play
www.microsoft.com/technet/security/bulletin/ms05047.mspx
MS05-047: Vulnerabilità

Plug and Play Vulnerability - CAN-2005-2120


causata dalla errata validazione dei dati forniti
dall’utente
Modalità di attacco

Su 2000 e XP SP1



Su XP SP2



Eseguibile da remoto inviando pacchetti malformati
Attacco autenticato
Eseguibile solo localmente, tramite applicazione
malformata
Local Elevation of Privilege
Privilegi ottenibili: Local System

La vulnerabilità non era pubblica

Non vi sono exploit noti al momento
MS05-047: Fattori mitiganti



Su XP XP2: necessaria
l’autenticazione e il logon locale
Su 2000 (se è già installato MS05-039)
e XP SP1: necessaria
l’autenticazione
I firewall perimetrali normalmente
sono configurati per bloccare le
porte usate da plug&play (139, 445)
MS05-047: Soluzioni alternative




Bloccare le porte 139 e 445 sul firewall
perimetrale
Abilitare Internet Connection Firewall su
XP SP1
Abilitare advanced TCP/IP filtering
Abilitare IPSec
MS05-047: ulteriori informazioni

L’aggiornamento di sicurezza


Rimpiazza MS05-039 (Zotob)
Richiede il riavvio del sistema
MS05-048: Introduzione



Vulnerability in the Microsoft Collaboration Data Objects Could
Allow Remote Code Execution (907245)
Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità:











Componente interessato:


Windows Server 2003 SP1
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 SP1 per Itanium
Windows Server 2003 per Itanium
Windows 2000 SP4
Windows XP SP2
Windows XP SP1
Windows XP Pro x64 Edition
Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004
Collaboration Data Objects
www.microsoft.com/technet/security/bulletin/ms05-048.mspx
MS05-048: vulnerabilità

Collaboration Data Objects Vulnerability - CAN-20051987


causata da un unchecked buffer in CDO
Modalità di attacco

Eseguibile da remoto


Inviando un messaggio opportunamente malformato che venga
processato da cdosys (Windows) o cdoex (Exchange)
Il trasporto più comune è SMTP

Attacco autenticato: No

Privilegi ottenibili: Local System

La vulnerabilità non era pubblica

L’exploit è disponibile
MS05-048: Fattori mitiganti



SMTP di IIS 5.0 e SMTP di Exchange
2000 Server di default non usano event
sinks, che fanno uso di Cdosys.dll e
Cdoex.dll;
IIS 6.0 è disabilitato di default su
Windows Server 2003;
SMTP è disabilitato di default, se IIS 6.0
è abilitato.
MS05-048: Soluzioni alternative

Disabilitare tutti gli event sinks

tramite smtpreg.vbs (reperibile nell’SDK di Exchange o da
http://msdn.microsoft.com//library/en-us/smtpevt/html/6b7a017e-981e45a1-8690-17ff26682bc7.asp


cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati;
cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink
Impatto


malfunzionamento di applicazioni che fanno uso dell’event sink sino alla
riabilitazione.
Deregistrare le dll vulnerabili


Cdoex.dll e Cdosys.dll su Exchange 2000 Server
Cdosys.dll su IIS:


Regsvr32.exe “C:\Program Files\Common Files\Microsoft
Shared\CDO\cdoex.dll” /u
Regsvr32.exe %windir%\system32\cdosys.dll /u
Impatto

malfunzionamento di programmi che dipendono da Cdosys.dll o
Cdoex.dll.
MS05-048: ulteriori informazioni

Riavvio



L’aggiornamento per Exchange riavvia:







Normalmente non necessario
Potrebbe essere richiesto se i file in questione sono in uso
IIS
SMTP
Exchange Server Information Store Service
File Transfer Protocol (FTP)
Network News Transfer Protocol (NNTP)
Su Exchange Server 2000 è necessario applicare sia
l’aggiornamento per Windows che per Exchange
Su Exchange Server 2003 è necessario applicare
l’aggiornamento per Windows
MS05-049: Introduzione



Vulnerabilities in Windows Shell Could Allow Remote Code
Execution (900725)
Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità:










Componente interessato:


Windows Server 2003 SP1
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 SP1 per Itanium
Windows Server 2003 per Itanium
Windows 2000 SP4
Windows XP SP2
Windows XP SP1
Windows XP Pro x64 Edition
Windows Shell
www.microsoft.com/technet/security/bulletin/ms05-049.mspx
MS05-049: vulnerabilità

Shell Vulnerability - CAN-2005-2122


Shell Vulnerability - CAN-2005-2118


Causata da un problema nella gestione delle proprietà dei file .lnk
Web View Script Injection Vulnerability - CAN-2005-2117


Causata da un problema nella gestione dei file .lnk
Causata da un problema di validazione dei caratteri HTML nei documenti
Modalità di attacco

Da remoto (non autenticato)


Inducendo un utente ad aprire un file .lnk o a visualizzarne le proprietà
Inviando una mail con attachment .lnk

Locale (autenticato): aprendo un file .lnk o visualizzandone le proprietà

Inducendo l’utente a visualizzare la preview di un file malformato

Privilegi ottenibili:

Local System per le prime due vulnerabilità

Utente loggato per la terza vulnerabilità

Le vulnerabilità non erano pubbliche

Non vi sono exploit noti al momento
MS05-049: Fattori mitiganti

È richiesta l’interazione dell’utente:
l’attacco non è automatizzabile




Aprire o visualizzare proprietà di file .lnk
Aprire attachment
Per l’exploit locale è richiesta
l’autenticazione
L’exploit della terza vulnerabilità fornisce
solo i privilegi dell’utente loggato
MS05-049: Soluzioni alternative



Non aprire file con estensione .lnk provenienti
da sconosciuti
Non visualizzare le proprietà di file .lnk
provenienti da sconosciuti
Disabilitare Web View
Usare Windows classic folders
 Impostabile tramite GPO
Impatto
 Non viene visualizzata la barra delle attività


Bloccare le porte 139 e 445 sul firewall
perimetrale
MS05-049: ulteriori informazioni

L’aggiornamento di sicurezza


Rimpiazza MS05-016 e MS05-024
Richiede il riavvio del sistema
MS05-050: Introduzione



Vulnerability in DirectShow Could Allow Remote Code Execution (904706)
Livello di gravità massimo: Critica
Software interessato dalla vulnerabilità:














Componente interessato:


Windows Server 2003 SP1
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 SP1 per Itanium
Windows Server 2003 per Itanium
Windows 2000 SP4
Windows XP SP2
Windows XP SP1
Windows XP Pro x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft
Windows Millennium Edition (Me)
DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000
DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP
DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003
DirectX (DirectShow)
www.microsoft.com/technet/security/bulletin/ms05-050.mspx
MS05-050: vulnerabilità

DirectShow Vulnerability - CAN-2005-2128


causata da un unchecked buffer in DirectShow
nell’elaborazione dei file AVI
Modalità di attacco

Eseguibile da remoto


Inviando una email in formato HTML che viene visualizzata
dal client dell’utente
Inducendo l’utente ad accedere a una pagine web
contenente un file AVI

Attacco autenticato: No

Privilegi ottenibili: Utente loggato

La vulnerabilità non era pubblica

Non vi sono exploit noti al momento
MS05-050: Fattori mitiganti

I privilegi ottenibili sono quelli
dell’utente loggato
MS05-050: Soluzioni alternative




Se si usano Outlook ed Exchange, bloccare le
estensioni .avi tramite Outlook E-mail
Security Administrator (837388)
Aggiungere .avi alla lista dei tipi di file bloccati
da Outlook (http://office.microsoft.com/enus/assistance/HA011402971033.aspx)
Usare ISA SMTP screener per bloccare le mail
in arrivo con attachment AVI
Usare il filtro HTTP di ISA 2004 con ‘deny
signature’ per bloccare contenuto HTML
contenente riferimenti a file AVI.
MS05-050: ulteriori informazioni

L’aggiornamento di sicurezza


Rimpiazza MS03-030
Normalmente il riavvio del sistema non è richiesto




Potrebbe essere necessario se i file in questione sono in
uso
È necessario usare l’aggiornamento per il
sistema operativo (affected software) se si ha
la versione di DirectX installata col SO
Va installato l’aggiornamento standalone
(affected component)se si ha una versione più
recente di DirectX
Usare dxdiag per identificare la versione
presente
MS05-51: Introduzione



Vulnerabilities in MSDTC and COM+ Could Allow Remote Code
Execution (902400)
Livello di gravità massimo: Critica
Software interessato dalla vulnerabilità:










Componente interessato:


Windows Server 2003 SP1
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 SP1 per Itanium
Windows Server 2003 per Itanium
Windows 2000 SP4
Windows XP SP2
Windows XP SP1
Windows XP Pro x64 Edition
MSDTC, COM+
www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-051: vulnerabilità

MSDTC Vulnerability - CAN-2005-2119


COM+ Vulnerability - CAN-2005-1978


Causata dal processo usato da DTC per validare le richieste TIP
Distributed TIP Vulnerability - CAN-2005-1980


Causata dal processo usato da COM+ per creare e usare strutture in memoria
TIP Vulnerability - CAN-2005-1979


Causata da un unchecked buffer in MSDTC
Causata dal processo usato da DTC per validare le richieste TIP
Modalità di attacco


Windows 2000: da remoto (non autenticato)
XP SP1, 2003:


localmente (autenticato) se MSDTC non è avviato
Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access

XP SP2, 2003 SP1: localmente (autenticato)

Privilegi ottenibili:


Local System per le prime due vulnerabilità
Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service

Le vulnerabilità non erano pubbliche

Non vi sono exploit noti al momento
MS05-051: Fattori mitiganti

Windows XP Service Pack 2 e Windows Server
2003 Service Pack 1 non sono affetti dalla prima
vulnerabilità

DI default, su Windows Server 2003, MSDTC è avviato,
ma Network DTC Access non è abilitato

Di default, su Windows XP Service Pack 1,
MSDTC non è avviato

Su XP SP2, 2003, e 2003 SP1 servono credenziali valide
e il logon locale per sfruttare la seconda vulnerabilità
Il protocollo TIP di default è disabilitato
Le best practices sui firewall perimetrali normalmente
bloccano le porte relative a questi attacchi


MS05-051: Soluzioni alternative

Disabilitare il servizio MSDTC (manualmente o tramite GPO)
Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server,
o Message Queuing

Disabilitare Network DTC Access
Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server,
o Message Queuing

Bloccare sul firewall:






Tutto il traffico unsolicited inbound su porte superiori alla 1024
Ogni altra porta specificamente configurata per RPC
Abilitare il Personal Firewall
Abilitare advanced TCP/IP filtering
Abilitare IPSEC
Per la seconda vulnerabilità:


Disabilitare COM+
Bloccare sul firewall:




Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593
Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443
Disabilitare DCOM
Per bloccare TIP

Bloccare sul firewall la porta TCP 3372
MS05-051: ulteriori informazioni

L’aggiornamento di sicurezza



rimpiazza MS03-010, MS03-026, MS03-039,
MS04-012, MS05-012
richiede il riavvio del sistema
Introduce delle modifiche di funzionalità:


Disabilita il protocollo TIP su Windows 2000
Introduce 4 chiavi di registry per controllare il
funzionamento di TIP
MS05-052: Introduzione



Cumulative Security Update for Internet Explorer (896688)
Livello di gravità massimo: Critica
Software interessato dalla vulnerabilità:











Componente interessato:










Windows Server 2003 SP1
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 SP1 per Itanium
Windows Server 2003 per Itanium
Windows 2000 SP4
Windows XP SP2
Windows XP SP1
Windows XP Pro x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me)
Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1
Internet Explorer 6 for Microsoft Windows XP Service Pack 2
Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1
Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium
Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition
Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition
Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition
Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition
www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-052: vulnerabilità

COM Object Instantiation Memory Corruption
Vulnerability - CAN-2005-2127


causata dalla possibilità che oggetti COM istanziati da IE come
controlli ActiveX possano corrompere la memoria di sistema
permettendo l’esecuzione di codice arbitrario
Modalità di attacco

Eseguibile da remoto


Creando un’opportuna pagina Web o compromettendo un sito
Web per fare in modo che presenti una pagina Web dannosa o
tramite un banner pubblicitario
Inviando una e-mail HTML opportuna

Attacco autenticato: No

Privilegi ottenibili: quelli dell’utente loggato

La vulnerabilità era pubblica

L’exploit è pubblico
MS05-052: Fattori mitiganti




Nello scenario web è richiesta l’interazione
dell’utente
I privilegi ottenibili sono quelli dell’utente
loggato
L’apertura delle mail nella zona Restricted sites
(default in Outlook Express 6, Outlook 2002, e
Outlook 2003) limita gli attacchi via mail
Di default, Internet Explorer su Windows Server
2003 è eseguito in modalità Enhanced Security
Configuration, il che mitiga questa vulnerabilità
MS05-052: Soluzioni alternative





Impostare il livello di protezione delle aree Internet e
Intranet locale su "Alta“ o richiedere conferma
all'esecuzione di controlli ActiveX e plugins
Limitare i siti Web ai soli siti attendibili
Installare Outlook E-mail Security Update se si utilizza
Outlook 2000 SP1 o versione precedente
Installare l'aggiornamento descritto nel bollettino
MS04-018 se si utilizza Outlook Express 5.5 SP2
Leggere la posta elettronica in formato solo testo, se
si utilizza Outlook 2002 e versioni successive o
Outlook Express 6 SP1 e versioni successive
MS05-052: ulteriori informazioni

L’aggiornamento di sicurezza






Richiede il riavvio
Sostituisce MS05-037 e ms05-038
Introduce controlli addizionali prima di eseguire
oggetti COM in IE
Migliora la funzionalità di Internet Explorer Pop-up
Blocker (Windows XP Service Pack 2 e Windows
Server 2003 Service Pack 1)
Migliora la funzionalità di Internet Explorer Add-on
Manager (Windows XP Service Pack 2 e Windows
Server 2003 Service Pack 1
Imposta il kill bit per l’oggetto ADODB.Stream
Strumenti per il rilevamento

http://support.microsoft.com/kb/908921
è l’articolo di KB a cui far riferimento

MBSA 2.0


Rileva tutti i sistemi che richiedono gli
aggiornamenti
MBSA 1.2.1

Rileva tutti i sistemi che richiedono gli
aggiornamenti tranne i seguenti per cui è
necessario Enterprise Scan Tool


MS05-044 su Windows2000
MS05-050 su Windows 2000, XP SP1, 2003
Strumenti per il deployment

WSUS



SUS



Consente di deployare tutti gli update ad eccezione di
MS05-048 per Exchange che va installato manualmente
Utilizzare MBSA per verificare la compliance (vedi slide
precedente)
SMS 2003 SP1


consente il deploy di tutti gli update e di MSRT
Tramite i report consente di verificare la compliance di tutti
i sistemi
Usare ITMU per verificare gli update richiesti
SMS 2003 o 2.0


Usare Security Update Inventory Tool per gli update
rilevabili da MBSA 1.2.1
Usare Extended Security Update Inventory Tool per gli
update rilevabili da EST
Malicious Software Removal
Tool


Versione (1.9) aggiunge la rimozione di:

Win32/Antinny -
Moderate

Win32/Gibe
-
Moderate

Win32/Mywife
-
Moderate

Win32/Wukill
-
Moderate
Maggiori informazioni sono disponibili
nell’articolo KB 890830
(http://support.microsoft.com/kb/890830)
Malicious Software Removal
Tool (2)

Disponibilità:





Download dal Microsoft Download Center
http://go.microsoft.com/fwlink/?linkid=40587
Per gli utenti con Windows XP, 2003 o 2000 come
aggiornamento critico da Microsoft Update, Windows
Update o Automatic Update
Come controllo ActiveX al sito
www.microsoft.com/malwareremove/default.aspx
Offerto da WSUS (non da SUS 1.0)
Note:

Informazioni sul deployment del tool nelle realtà
enterprise sono disponibili nell’articolo KB 891716
(http://support.microsoft.com/kb/891716)
Security News

A Monaco Steve Ballmer ha annunciato:

Microsoft Client Protection



Microsoft Antigen



Protezione integrata contro virus, spyware, rootkits e altre
forme di malware
Una versione beta verrà resa disponibile ad alcuni clienti per
la fine dell’anno
protezione antivirus e anti-spam per server di messaging e
collaboration (Exchange, Sharepoint, LCS)
Disponibile nel primo trimestre del 2006
SecureIT Alliance: collaborazione tra partner di
sicurezza per sviluppare soluzioni su piattaforma
Microsoft.

VeriSign, Trend Micro, Symantec e altri 15 membri