Approfondimenti sui
Microsoft Security Bulletin
gennaio 2005
Feliciano Intini
Andrea Piazza
Mauro Cornelli
Premier Center for Security - Microsoft Services
Italia
Agenda

Bollettini sulla Sicurezza di gennaio 2005:




Altre informazioni sulla sicurezza:





MS05-001 – Vulnerability in HTML Help Could Allow Code
Execution (890175)
MS05-002 – Vulnerability in Cursor and Icon Format
Handling Could Allow Remote Code Execution (891711)
MS05-003 – Vulnerability in the Indexing Service Could
Allow Remote Code Execution (871250)
Security Update Validation Program
Malicious Software Removal Tools
Microsoft Windows AntiSpyware
Prodotti fuori supporto a partire dal 01/01/2005
Risorse ed Eventi
Bollettini di Sicurezza
Gennaio 2005
MAXIMUM
SEVERITY
BULLETIN
NUMBER
PRODUCTS
AFFECTED
IMPACT
Critical
MS05-001
Microsoft Windows
Remote Code Execution
Critical
MS05-002
Microsoft Windows
Remote Code Execution
Important
MS05-003
Microsoft Windows
Remote Code Execution
MS05-001: Introduzione



Vulnerability in HTML Help Could Allow Code Execution (890175)
Livello di gravità massimo: Critica
Software interessato dalla vulnerabilità:








Microsoft Windows 2000 Service Pack 3 e Service Pack 4
Microsoft Windows XP Service Pack 1 e Service Pack 2
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e
Microsoft Windows Millennium Edition (Me)
Componente interessato:

Internet Explorer 6.0 Service Pack 1 su



Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
www.microsoft.com/technet/security/bulletin/ms05-001.mspx
MS05-001: Comprendere la
vulnerabilità

HTML Help ActiveX control Cross Domain Vulnerability
- CAN-2004-1043


La vulnerabilità è causata dal processo mediante il quale
alcune funzioni, disponibili tramite il controllo ActiveX di HTML
Help, vengono convalidate dal modello di protezione tra
domini di Internet Explorer
Modalità di attacco

Eseguibile da remoto


Creando un’opportuna pagina Web o compromettendo un sito
Web per fare in modo che presenti una pagina Web dannosa
Inviando una e-mail HTML opportuna

Attacco autenticato: No

Privilegi ottenibili: quelli dell’utente loggato
MS05-001: Fattori mitiganti


L'hacker dovrebbe indurre le vittime
a visitare il sito: l’attacco non può
essere automatizzato
Gli account configurati con privilegi
limitati sono meno esposti all'attacco
rispetto a quelli che operano con
privilegi amministrativi
MS05-001: Fattori mitiganti

L’apertura delle e-mail HTML nei Siti
con Restrizioni riduce la superficie di
attacco



Outlook Express 6, Outlook 2002, e
Outlook 2003 di default
Outlook 98 e Outlook 2000 se è stato
installato Outlook E-mail Security
Update (OESU)
Outlook Express 5.5 con MS04-018
MS05-001: Fattori mitiganti

Il rischio causato dalle e-mail HTML è
significativamente ridotto se:

È installato MS03-040 o un successivo
aggiornamento cumulativo per Internet Explorer
e

Si usa Microsoft Outlook Express 6 o successivo
oppure Microsoft Outlook 2000 Service Pack 2 o
successiva nella configurazione di default


Oppure Microsoft Outlook 2000 pre-SP 2 con installato
Outlook E-mail Security Update nella configurazione di
default
In Windows Server 2003, Internet Explorer viene
eseguito nella modalità Protezione avanzata,
che riduce i rischi correlati a questa
vulnerabilità
MS05-001: Soluzioni alternative






Impostare il livello di protezione delle aree Internet e Intranet
locale su "Alta“: è richiesta conferma all'esecuzione di controlli
ActiveX e script attivi
Limitare i siti Web ai soli siti attendibili
Installare Outlook E-mail Security Update se si utilizza Outlook
2000 SP1 o versione precedente
Installare l'aggiornamento descritto nel bollettino MS04-018 se si
utilizza Outlook Express 5.5 SP2
Leggere la posta elettronica in formato solo testo, se si utilizza
Outlook 2002 e versioni successive o Outlook Express 6 SP1 e
versioni successive, per proteggersi dagli attacchi tramite
messaggi di posta elettronica HTML
Disabilitare temporaneamente l’esecuzione del controllo ActiveX
di HTML Help in Internet Explorer via registry
MS05-001: ulteriori informazioni

L’aggiornamento di sicurezza



Impedisce che il controllo ActiveX HTML Help sia
istanziato da contenuti esterni alla Local Machine
Zone
La modifica può impedire il corretto funzionamento
di applicazioni Web
I permessi possono essere attributi selettivamente




in base al sito
In base alla zona
IMPORTANTE: permettere solo siti o aree ritenuti affidabili
Fare riferimento alle FAQ nel bollettino per maggiori
dettagli
MS05-002: Introduzione



Vulnerability in Cursor and Icon Format Handling Could Allow
Remote Code Execution (891711)
Livello di gravità massimo: Critica
Software interessato dalla vulnerabilità:










Software non interessato


Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 3 e Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e
Microsoft Windows Millennium Edition (Me)
Microsoft Windows XP Service Pack 2
www.microsoft.com/technet/security/bulletin/ms05-002.mspx
MS05-002: Comprendere le
vulnerabilità

Cursor and Icon Format Handling Vulnerability - CAN-2004-1049

Windows Kernel Vulnerability - CAN-2004-1305


Le vulnerabilità sono causate da una convalida dei formati
insufficiente prima della riproduzione di cursori, cursori animati e
icone
Modalità di attacco

Creando un cursore o un’icona opportunamente malformati




Ospitati su un’opportuna pagina Web e inducendo l'utente a visitare la
pagina
Inseriti in un messaggio di posta elettronica dannoso e inviando il
messaggio a un sistema interessato.
Attacco autenticato: No
Impatti di un attacco riuscito

Esecuzione di codice con i privilegi dell’utente loggato

Negazione del servizio
MS05-002: Fattori mitiganti



Nell’attacco via web l'hacker dovrebbe indurre le vittime a visitare il
sito: l’attacco non può essere automatizzato
Gli account configurati con privilegi limitati sono meno esposti
all'attacco rispetto a quelli che operano con privilegi amministrativi
L’apertura delle e-mail HTML nei Siti con Restrizioni riduce la
superficie di attacco




Outlook Express 6, Outlook 2002, e Outlook 2003 di default
Outlook 98 e Outlook 2000 se è stato installato Outlook E-mail Security
Update (OESU)
Outlook Express 5.5 con MS04-018
Il rischio causato dalle e-mail HTML è significativamente ridotto se:


È installato MS03-040 o un successivo aggiornamento cumulativo per
IE E
Si usa Microsoft Outlook Express 6 o successivo oppure Microsoft
Outlook 2000 Service Pack 2 o successiva nella configurazione di
default


Oppure Microsoft Outlook 2000 pre-SP 2 con installato Outlook E-mail
Security Update nella configurazione di default
Windows XP SP2 non è vulnerabile
MS05-002: Soluzioni alternative



Installare l'aggiornamento descritto nel
bollettino Microsoft sulla sicurezza MS04-018
se si utilizza Outlook Express 5.5 SP2
Installare E-mail Security Update di Microsoft
Outlook se si utilizza Outlook 2000 SP1 o
versione precedente
Leggere la posta elettronica in formato solo
testo, se si utilizza Outlook 2002 e versioni
successive o Outlook Express 6 SP1 e
versioni successive, per proteggersi dagli
attacchi tramite messaggi di posta elettronica
HTML
MS05-003: Introduzione



Vulnerability in the Indexing Service Could Allow Remote Code Execution
(871250)
Livello di gravità massimo: Importante
Software interessato dalla vulnerabilità:






Software non interessato






Microsoft
Microsoft
Microsoft
Microsoft
Microsoft
Microsoft
Windows NT Server 4.0 Service Pack
Windows NT Server 4.0 Terminal Server Edition Service Pack 6
Windows 2000 Service Pack 3 e Service Pack 4
Windows XP Service Pack 2
Windows 98, Microsoft Windows 98 Second Edition (SE), and
Windows Millennium Edition (ME)
Componente interessato


Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
Indexing Service
www.microsoft.com/technet/security/bulletin/ms05-003.mspx
MS05-003: Comprendere la
vulnerabilità

Indexing Service Vulnerability - CAN-2004-0897


Modalità di attacco


La vulnerabilità è causata da come il servizio di indicizzazione
gestisce la validazione delle query
Inviando una query opportunamente malformata
Impatti di un attacco riuscito

Esecuzione di codice con i privilegi di Local System

NOTA: Windows 2000 non è interessato dalla vulnerabilità, ma il
bollettino include un aggiornamento che introduce una modifica
di funzionalità anche per Windows 2000

La modifica di funzionalità aumenta il livello di sicurezza del
controllo ActiveX Microsoft.ISAdm.1
MS05-003: Fattori mitiganti





Il servizio di indicizzazione non è abilitato di default sui
sistemi interessati
Anche quando è installato, di default il servizio di
indicizzazione non è accessibile dai servizi IIS
Se nessuno dei metodi di query basati su pagine Web è
stato abilitato manualmente, solo gli utenti autenticati
potranno tentare di sfruttare questa vulnerabilità per
eseguire query al file system in remoto
Sono necessarie procedure manuali per abilitare
l'utilizzo dei servizi IIS come interfaccia Web per il
servizio di indicizzazione
Se le pagine Web di query richiedono l'accesso
autenticato, gli utenti anonimi non avranno la possibilità
di sfruttare questa vulnerabilità tramite IIS
MS05-003: Fattori mitiganti


Windows 2000 non è interessato da
questa vulnerabilità (ma è
raccomandata l'installazione di
questo aggiornamento)
Le configurazioni predefinite
standard dei firewall e le best
practices per la configurazione dei
firewall consentono di proteggere le
reti dagli attacchi sferrati dall'esterno
del perimetro aziendale
MS05-003: Soluzioni alternative

Bloccare i seguenti elementi a livello del firewall:






Porte UDP 137 e 138 e porte TCP 139 e 445
Utilizzare un firewall personale come Internet
Connection Firewall, incluso in Windows XP e
Windows Server 2003
Attivare il filtro TCP/IP avanzato sui sistemi che lo
supportano (si veda l’articolo 309798)
Bloccare le porte interessate utilizzando IPSec sui
sistemi interessati
Rimuovere il servizio di indicizzazione se non lo si
utilizza
Modificare le pagine web in modo da bloccare le query
con più di 60 caratteri (si veda l’articolo 890621)
Strumenti per il rilevamento

MBSA


SUS


Può essere utilizzato per individuare su quali
sistemi Windows sono richiesti i 3 aggiornamenti
Può essere utilizzato per controllare su quali
sistemi Windows sono richiesti i 3 aggiornamenti
SMS 2.0 / 2003

Può essere utilizzato per controllare su quali
sistemi Windows sono richiesti i 3 aggiornamenti
Strumenti per il deployment

SUS


É possibile utilizzare SUS Client (Automatic Update)
per distribuire tutti gli aggiornamenti di Windows
SMS

É possibile utilizzare SMS 2.0 con SMS SUS Feature
Pack o SMS 2003 per distribuire tutti gli
aggiornamenti
Installazione degli Aggiornamenti

Aggiornamenti di sicurezza sostituiti




Riavvio




MS05-001: può richiedere il riavvio
MS05-002: necessario
MS05-003: può richiedere il riavvio
Disinstallazione


MS05-001: nessuno
MS05-002: MS03-045 (che non si applicava a Win98)
MS05-003: nessuno
Tutti e tre gli aggiornamenti possono essere rimossi
Problemi noti

MS05-001: l’articolo 890175 della Microsoft Knowledge Base
descrive i problemi noti che potrebbero verificarsi in seguito
all’installazione
Security Update Validation
Program




Programma a numero chiuso per il testing degli
aggiornamenti di sicurezza prima della emissione
pubblica
Scopo: assicurare la qualità delle security patch
I partecipanti sono clienti Microsoft appartenenti a
diversi segmenti di mercato
I clienti coinvolti hanno approntato degli appositi
laboratori che permettono di applicare gli
aggiornamenti in ambienti che simulano la produzione



l’aggiornamento è consentito solo in ambiente di test
l’aggiornamento in produzione avviene solo utilizzando la patch
pubblica
Il programma è chiuso e sussiste la copertura adeguata
sia per gli attuali partecipanti che per quelli in stand-by
Malicious Software Removal
Tool

Strumento che consolida ed estende i singoli tool di rimozione
malware prodotti nel 2004

Da non confondere con un tipico prodotto Antivirus



rimuove solo l’insieme dei malware più diffusi

rimuove solo i malware attivi (presenti in memoria)

non impedisce la reinfezione
Nuove versioni del tool verranno rilasciate:

su base mensile in corrispondenza del rilascio dei bollettini

più frequentemente se reso necessario dalla diffusione di nuove minacce
Questa prima versione rimuove:


Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (anche noto come
Download.Ject), Gaobot e Nachi
Maggiori informazioni sono disponibili nell’articolo KB 890830
(http://support.microsoft.com/kb/890830)
Malicious Software Removal
Tool (2)

Disponibilità: (nelle 23 lingue di Windows XP)




Download dal Microsoft Download Center
Per gli utenti con Windows XP, come aggiornamento
critico da Windows Update o Automatic Update
Come controllo ActiveX al sito
www.microsoft.com/malwareremove
Note:



Il tool non è disponibile su SUS
Il tool non è un aggiornamento di sicurezza e quindi
non è supportato da MBSA
Informazioni sul deployment del tool nelle realtà
enterprise sono disponibili nell’articolo KB 891716
(http://support.microsoft.com/kb/891716)
Microsoft Windows
AntiSpyware
Il componente System Explorers mantiene sotto controllo le aree
Application, Internet Explorer, Networking, System
L’utente viene informato delle modifiche nelle diverse aree
Vengono monitorati più di 50 checkpoint attraverso i quali gli
spyware vengono comunemente aggiunti sul PC
Gli spyware noti vengono bloccati; quelli non noti causano una
notifica
La community SpyNet™ permette di identificare nuovi spyware
Il componente AutoUpdater permette di scaricare le signature
aggiornate
www.microsoft.com/spyware
Windows AntiSpyware (2)

Requisiti minimi di sistema:





Internet Explorer 6
Windows 2000, Windows XP, o Windows Server™
2003
Leggere le Release Notes per l’utilizzo in ambito
Enterprise
Supporto fornito solo tramite Newsgroup
Note:


Criteri utilizzati per includere un programma nella lista degli spyware:
http://www.spynet.com/info_spywarecriteria.aspx
Modulo per rettificare la modalità di rilevazione dei prodotti
http://www.spynet.com/vendors.aspx
Prodotti fuori supporto a partire
dal 01/01/2005

Prodotti scaduti il 31/12/2004






Windows NT 4.0 (Server/Terminal Server)
Internet Information Server 4.0
Proxy Server 2.0 Standard Edition
Microsoft Transaction Services 2.0
Microsoft Visio 2000
http://support.microsoft.com/default.aspx?scid=fh;IT;lif
ecycle
Riepilogo delle risorse per tenersi
informati sui bollettini di sicurezza

Preavviso sul web nell’area Technet/Security
www.microsoft.com/technet/security/bulletin/advance.mspx

Invio delle notifiche sui bollettini
http://www.microsoft.com/technet/security/bulletin/notify.mspx
 Microsoft Security Notification Service
 MS Security Notification Service: Comprehensive Version


Modificate il vostro profilo Passport iscrivendovi alle newsletter
con il titolo indicato
Ricezione news via RSS

RSS Security Bulletin Feed
http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx

Ricerca di un bollettino
www.microsoft.com/technet/security/current.aspx

Webcast di approfondimento
http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Risorse utili

Sito Sicurezza

Inglese
http://www.microsoft.com/security/default.mspx

Italiano
http://www.microsoft.com/italy/security/default.mspx

Security Guidance Center

Inglese

Italiano
www.microsoft.com/security/guidance
www.microsoft.com/italy/security/guidance

Security Newsletter

Windows XP Service Pack 2
www.microsoft.com/technet/security/secnews/d
efault.mspx
www.microsoft.com/technet/winxpsp2
Prossimi Eventi

Registratevi per i prossimi Webcast di
approfondimento sui Security Bulletin

Ogni venerdì successivo al 2° martedì di ogni mese
(prossimo: 11 febbraio 2005)

http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Webcast già erogati:
http://www.microsoft.com/italy/technet/community/webcast/passati.mspx



www.microsoft.com/security360

18 gennaio

Spyware