Approfondimenti
sui
Microsoft
Security Bulletin
di aprile 2004
16 aprile 2004
Feliciano Intini, CISSP
Security Support Consultant
Microsoft Services – Italia
Agenda

Security Bulletin di aprile 2004:




MS04-011 : Windows - Critico
MS04-012 : RPC/DCOM - Critico
MS04-013 : Outlook Express – Critico
MS04-014 : JET Database Engine - Importante

Risorse utili ed Eventi

Domande e risposte
MS04-011: Introduzione

Aggiornamento per la protezione di
Microsoft Windows (835732)

Effetti delle vulnerabilità più gravi: esecuzione
di codice in modalità remota

Software interessato



Livello di gravità massimo: Critico


Windows NT 4.0, Windows 2000, Windows XP,
Windows Server 2003, Netmeeting
(Windows 98, Windows 98 SE, Windows ME)*
Non critico per Windows 98, Windows 98 SE,
Windows ME
(*) Supporto solo per security patch critiche
MS04-011: Comprendere le
Vulnerabilità

14 vulnerabilità di cui 8 con effetto “Remote Code
Execution”, 4 con “Privilege Elevation”, 2 con “Denial of
Service”:
LSASS Vulnerability - CAN-2003-0533
LDAP Vulnerability – CAN-2003-0663
PCT Vulnerability - CAN-2003-0719
Winlogon Vulnerability - CAN-2003-0806
Metafile Vulnerability - CAN-2003-0906
Help and Support Center Vulnerability - CAN-2003-0907
Utility Manager Vulnerability - CAN-2003-0908
Windows Management Vulnerability - CAN-2003-0909
Local Descriptor Table Vulnerability - CAN-2003-0910
H.323 Vulnerability* - CAN-2004-0117
Virtual DOS Machine Vulnerability - CAN-2004-0118
Negotiate SSP Vulnerability - CAN-2004-0119
SSL Vulnerability - CAN-2004-0120
ASN.1 “Double Free” Vulnerability - CAN-2004-0123
MS04-011: Comprendere le
Vulnerabilità

Modalità di attacco: nel caso peggiore




eseguibile da remoto
non richiede autenticazione
privilegi ottenibili: quelli di SYSTEM
comunque:



Non tutte le vulnerabilità si possono sfruttare
da remoto
Non tutte le vulnerabilità si possono sfruttare
senza credenziali valide
Non tutte le vulnerabilità permettono di
ottenere i massimi privilegi sui sistemi sotto
attacco
MS04-011: Fattori attenuanti

Fattori attenuanti

le vulnerabilità non sono presenti su tutte le
piattaforme e la loro criticità varia a seconda
della piattaforma:


in ordine decrescente di impatto:
Windows 2000, Windows XP, Windows NT,
Windows Server 2003
L’opportuna segregazione della rete aziendale
da parte di connessioni Internet su porte
esposte dai servizi vulnerabili può ridurre il
rischio di attacco dall’esterno diretto verso
specifiche vulnerabilità
MS04-011: Soluzioni alternative











Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137,
138, 445 e TCP 135, 139, 445, 593 e altre per RPC
esplicitamente configurate
Blocco delle porte LDAP: TCP 389, 636, 3268, 3269
Disabilitare il supporto PCT da registry
Limitare gli utenti con credenziali in grado di
modificare le proprietà degli User Account in AD
Leggere mail in formato solo testo
Deregistrare il protocollo HCP da registry
Disabilitare Utility Manager
Cancellare il provider WMI vulnerabile
Blocco delle porte Netmeeting: TCP 1720 e 1503
Disabilitare la Windows Integrated Authentication o il
Negotiate SSP
Blocco delle porte SSL: TCP 443 e 636
MS04-011: Modifiche di
funzionalità



I file con estensione .folder non sono più
associati alle cartelle e visualizzati come tali
L’aggiornamento disabilita il protocollo PCT
Trigger di tipo event-based:




Non è più possibile creare trigger event-based con
il tool Eventtriggers.exe senza fornire delle
credenziali valide.
Per creare tali tipi di trigger ora è necessario che il
servizio di Task Scheduler sia attivo
Non si possono creare più di 1000 trigger di
questo tipo
Sono stati rafforzati i permessi su tali trigger
MS04-011: Note sulla patch

Rilevamento



Deployment:




MBSA 1.2 (tranne per Windows NT 4.0, la
versione stand-alone di Netmeeting e quelle
incluse in Windows 2000, Windows XP e
Windows Server 2003)
Netmeeting (versione stand-alone): la
versione aggiornata è la 3.01 (4.4.3399)
SUS: Sì
SMS: Sì (Windows NT 4.0 non rilevato)
Reboot: Sì
Possibilità di disinstallare: Sì
MS04-012: Introduzione

Aggiornamento cumulativo per Microsoft
RPC/DCOM (828741)

Effetti della vulnerabilità più grave:
esecuzione di codice in modalità remota

Software interessato



Livello di gravità massimo: Critico



Windows NT 4.0, Windows 2000, Windows XP,
Windows Server 2003
(Windows 98, Windows 98 SE, Windows ME)*
Bassa criticità per Windows NT 4.0
Non critico per Windows 98, Windows 98 SE,
Windows ME
(*) Supporto solo per security patch critiche
MS04-012: Comprendere le
Vulnerabilità


4 vulnerabilità di cui
1 con effetto “Remote Code Execution”
1 con “Information Disclosure”
2 con “Denial of Service”
RPC Runtime Library Vulnerability - CAN-2003-0813
RPCSS Service Vulnerability - CAN-2004-0116
COM Internet Services (CIS) – RPC over HTTP
Vulnerability - CAN-2003-0807
Object Identity Vulnerability - CAN-2004-0124
MS04-012: Comprendere le
Vulnerabilità

Modalità di attacco: nel caso peggiore



eseguibile da remoto
non richiede autenticazione
privilegi ottenibili: quelli di SYSTEM
MS04-012: Soluzioni alternative

Blocco delle porte NetBIOS/RPC/SMB:




UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per
RPC esplicitamente configurate
Blocco delle porte HTTP (TCP 80 e 443) se presente il
componente CIS o “RPC over HTTP”
Disabilitare DCOM
Disabilitare il componente CIS o “RPC over HTTP” se
presenti e non utilizzati
MS04-012: Fattori attenuanti

Fattori attenuanti



L’opportuna segregazione della rete aziendale
da parte di connessioni Internet su porte
esposte dai servizi vulnerabili può ridurre il
rischio di attacco dall’esterno diretto verso
specifiche vulnerabilità
Solo una vulnerabilità permetterebbe la
compromissione del sistema
Windows NT 4.0 non è interessato dalla
vulnerabilità più grave.
MS04-012: Note sulla patch

Rilevamento


Deployment:




MBSA 1.2: Sì
SUS: Sì
SMS: Sì
Reboot: Sì
Possibilità di disinstallare: Sì
MS04-013: Introduzione

Aggiornamento cumulativo per la
protezione di Outlook Express (837009)

Effetti della vulnerabilità: esecuzione di
codice in modalità remota

Software interessato



Windows NT 4.0, Windows 2000, Windows XP,
Windows Server 2003
(Windows 98, Windows 98 SE, Windows ME)*
Componenti interessati

Outlook Express 5.5 SP2, 6.0, 6.0 SP1

Livello di gravità: Critico

(*) Supporto solo per security patch critiche
MS04-013: Comprendere le
Vulnerabilità

Vulnerabilità: MHTML URL Processing
Vulnerability - CAN-2004-0380


Consiste in un difetto della gestione di URL
MHTML in grado di far eseguire codice non
autorizzato nel contesto di sicurezza
dell’utente loggato
Modalità di attacco:



eseguibile da remoto (mail HTML o
navigazione su siti non sicuri)
non richiede autenticazione
privilegi ottenibili: quelli dell’utente loggato
MS04-013: Fattori attenuanti

Fattori attenuanti



l’attacker deve ospitare un sito Web sotto il suo
controllo e convincere l’utente a visitarlo per poter
sfruttare queste vulnerabilità
Per l’attack vector via-email: l’apertura di e-mail
HTML nella Restricted Site security zone riduce il
rischio (Outlook Express 6.0, Outlook 2002 e
Outlook 2003 protetti by-default; Outlook 98/2000
se hanno installato l’Outlook E-mail Security
Update), ma non difende dal rischio risultante
dall’esplicita volontà dell’utente di cliccare su un
link malizioso
l’eventuale attacco ha le credenziali dell’utente
che lo ha subito.
MS04-013: Soluzioni alternative



Rafforzare le impostazioni di sicurezza
della Local Machine zone (impatto sulle
funzionalità di sistema)
Installazione di Outlook E-mail Security
Update per le versioni non protette bydefault
Leggere le mail in formato solo testo per
le versioni di Outlook che supportano
questa funzionalità
MS04-013: Note sulla patch

Rilevamento



Deployment:




MBSA 1.2: NO
Windows Update: Sì
SUS: Sì
SMS: Sì (ma non rileva l’assenza della patch)
Reboot: Può essere richiesto
Possibilità di disinstallare: Sì
MS04-014: Introduzione

Una vulnerabilità nel motore di database
Microsoft Jet può consentire l'esecuzione di
codice (837001)

Effetti della vulnerabilità: esecuzione di codice in
modalità remota

Software interessato



Componenti interessati


Microsoft Jet Database Engine 4.0
Livello di gravità massima: Importante


Windows NT 4.0, Windows 2000, Windows XP,
Windows Server 2003
(Windows 98, Windows 98 SE, Windows ME)*
Windows NT 4.0: Moderata
(*) Supporto solo per security patch critiche
MS04-014: Comprendere le
Vulnerabilità

Vulnerabilità: Jet Vulnerability - CAN-2004-0197


Consiste in un buffer overrun del componente Jet Database
Engine e permetterebbe ad un attacker in grado di inviare
una query malformata al database di far eseguire codice non
autorizzato nel contesto di sicurezza dell’applicazione che
utilizza JET
Modalità di attacco:



eseguibile da remoto
non richiede autenticazione
privilegi ottenibili: quelli dell’applicazione che
utilizza JET
MS04-014: Fattori attenuanti

Fattori attenuanti




Per i sistemi Windows NT 4.0 la criticità è
Moderata poiché Jet non è installato di
default, anche se può essere aggiunto da
diversi applicativi (Office 2000, Visual Studio,
MDAC, Visio, Sharepoint Portal Server...)
L’uso di applicazioni che realizzano una forte
validazione dei dati in ingresso limita il rischio
L’eventuale attacco ha le credenziali
dell’applicazione che interagisce con JET
Soluzioni alternative: nessuna
MS04-014: Note sulla patch

Rilevamento



Deployment:




MBSA 1.2: Sì
Verifica della presenza del file MsJet40.dll: la
versione aggiornata è la 4.0.8618.0
SUS: Sì
SMS: Sì
Reboot: Può essere richiesto.
Possibilità di disinstallare: Sì (tranne per
Windows NT 4.0)
Security Bulletin riemessi

MS00-82, MS01-041, MS03-046

Motivo della riemissione


Le vulnerabilità in questione interessano anche
Exchange Server 5.0 e viene fornita una patch
unica valida per correggere le 3 vulnerabilità
MS02-011

Motivo della riemissione

annunciare la disponibilità di un aggiornamento
per Windows NT Server 4.0 e fornire agli utenti di
Exchange Server 5.0 suggerimenti su come
aumentare la protezione dei sistemi in uso
Risorse
Utili sul sito Technet Italia
 Area Sicurezza


Security Bulletin in italiano


http://www.microsoft.com/italy/technet/sicurezza.asp
http://www.microsoft.com/italy/technet/solutions/security/bull
etin.asp
Registratevi alla nuova Security Newsletter

Business:
http://www.microsoft.com/technet/security/secnews/default
.asp

Home User:
http://www.microsoft.com/security/home/secnews/default.a
sp

Security Guidance Center

http://www.microsoft.com/security/guidance
Eventi

TechNet Security Roadshow 2004 (aprile
2004)


http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezz
a_Aprile2004.mspx
Registratevi per i prossimi Webcast di
approfondimento sui Security Bulletin
 Ogni venerdì successivo al 2° martedì di
ogni mese (prossimo: 14/05)

http://www.microsoft.com/italy/technet/solutions/security/bulletin
.asp