Approfondimenti sui Microsoft Security Bulletin di giugno 2004 11 giugno 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services – Italia Agenda Security Bulletin di giugno 2004: MS04-016 : DirectX – Moderato MS04-017 : Crystal Report - Moderato Aggiornamenti al Product Lifecycle Documenti Risorse utili ed Eventi Domande e risposte MS04-016: Introduzione Una vulnerabilità in DirectPlay può consentire un attacco di negazione del servizio (839643) Effetti della vulnerabilità: negazione di servizio (DoS) Software interessato Windows 2000, Windows XP, Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)* Livello di gravità massimo: Moderato Non critico per Windows 98, Windows 98 SE, Windows ME (*) Supporto solo per security patch critiche MS04-016: Comprendere le Vulnerabilità Consiste in un difetto dell’API IDirectPlay4 e permetterebbe ad un attacker di far fallire le applicazioni DirectPlay che usano tale API sono applicazioni (tipicamente giochi) non recenti le applicazioni DirectPlay recenti usano la versione 8 di tali API Modalità di attacco eseguibile da remoto non richiede autenticazione privilegi ottenibili: N/A (DoS) MS04-016: Fattori attenuanti e soluzioni alternative Fattori attenuanti Solo la versione 4 dell’interfaccia è vulnerabile. La applicazioni recenti utilizzano la versione 8, che non è vulnerabile. Per realizzare l’attacco è necessario che la vittima abbia un’applicazione DirectPlay attiva (è tipicamente un gioco). Soluzioni alternative Non eseguire applicazioni o giochi che utilizzano la versione 4 delle API di DirectPlay MS04-016: Note sulla patch Rilevamento: MBSA 1.2 non rileva DirectX ma produce una Nota per i sistemi che potenzialmente richiedono la patch, anche se non può confermare o meno la sua presenza Lanciare “dxdiag” da riga di comando per visualizzare la versione DirectX Deployment: SUS/SMS Reboot: No (a meno che i servizi siano in uso o non si riescano a stoppare) Possibilità di disinstallare: Sì MS04-017: Introduzione Una vulnerabilità nel visualizzatore Web di Crystal Reports può consentire l'intercettazione di informazioni personali e attacchi di negazione del servizio (842689) Effetti della vulnerabilità: intercettazione di informazioni personali e negazione di servizio (DoS) Software interessato Visual Studio .NET 2003 Outlook 2003 con Business Contact Manager Microsoft Business Solutions CRM 1.2 Livello di gravità massimo: Moderato MS04-017: Comprendere le Vulnerabilità Consiste in un difetto di Crystal Reports e Crystal Enterprise e permetterebbe ad un attacker di recuperare e cancellare file del sistema attraverso il web viewer Modalità di attacco eseguibile da remoto non richiede autenticazione (necessaria invece per l’attacco verso CRM 1.2) privilegi ottenibili: la visibilità dei file dipende dal contesto di sicurezza nel quale viene eseguito il worker process di IIS relativo ad ASP.NET MS04-017: Fattori attenuanti I sistemi sono vulnerabili solo se hanno IIS installato L’attacco è possibile solo se il worker process di IIS che ospita la dll CrystalDecisions.Web.dll ha i permessi di cancellazione dei file Visual Studio .NET 2003 e Outlook 2003 con Business Contact Manager : l’account con cui viene eseguito il worker process di IIS è un account limitato nei suoi privilegi (sulle diverse possibili piattaforme). Outlook 2003 con Business Contact Manager: questo componente non fa parte dell’installazione di default di Outlook 2003 (disponibile su un CD a parte, con Office 2003, Small Business e Professional Edition). Microsoft Business Solutions CRM 1.2: solo gli utenti autenticati hanno accesso all’interfaccia web di Crystal Enterprise. MS04-017: Soluzioni Alternative Fermare, disabilitare o rimuovere IIS Fermare o mettere in pausa il sito Web fornito della virtual directory che serve alla gestione di Crystal Report Abilitare l’accesso autenticato e autorizzato all’interfaccia web di Crystal Report Autenticare l’accesso alla virtual directory “crystalreportwebformviewer2” Autorizzare opportunamente l’accesso al file “crystalimagehandler.aspx” MS04-017: Note sulla patch Rilevamento: MBSA 1.2 non rileva la patch Deployment: SUS: No SMS: Si Reboot: No (a meno che il file sia in uso) Possibilità di disinstallare: dipende dalla piattaforma - VS: Sì - Outlook con BCM: No Aggiornamenti al Product Lifecycle Aggiornamenti di sicurezza Estensione a 10 anni per i prodotti Business/Sviluppo Disponibilità per i primi 7 anni su Windows Update Ultimi 3 anni: solo le patch critiche/importanti saranno disponibili nell’ Area download di Microsoft (*) Service Pack All’emissione del SPn, supporto di altri 12 mesi per il SPn-1 Per alcuni SP il supporto può essere esteso ad altri 24 mesi dopo l’uscita del SPn+1 Windows XP Pro: 24 mesi dopo l’uscita del SP2 Windows 2000 SP3: termine 30 giugno 2005 Windows 2000 SP2: termine 30 giugno 2004 (*) Patch particolarmente critiche potranno essere disponibili anche su Windows Update Documentazione Security Patch Management: l’approccio di Microsoft http://www.microsoft.com/technet/securit y/topics/patch/patchmanagement.mspx Antivirus Defense-in-Depth Guide http://www.microsoft.com/technet/security/guida nce/avdind_0.mspx Risorse Utili Sito Sicurezza italiano http://www.microsoft.com/italy/security/default.mspx Registratevi alla Security Newsletter http://www.microsoft.com/technet/security/secnews/default.asp New! RSS Security Bulletin Feed L’uso del protocollo Really Simple Syndication (RSS) rende possibile offrire contenuti informativi aggiornati dinamicamente che possono essere organizzati ed esposti su siti Web o collezionati nei client RSS news aggregators. http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 16 luglio) http://www.microsoft.com/italy/security/default.mspx Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati. mspx
Scarica
