Approfondimenti sui Microsoft Security Bulletin maggio 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia Agenda Emissione di Sicurezza di maggio 2005 Bollettini di Sicurezza Security Advisory Introduzione alle nuove comunicazioni di sicurezza Nuovi: MS05-024 Problemi noti relativi all’installazione di MS05-019 Security Advisory 892313 su Windows Media Player Security Advisory 842851 su Microsoft Exchange Malicious Software Removal Tools di maggio Risorse ed Eventi Emissione di Sicurezza maggio 2005 Bollettini di Sicurezza: nuovi MAXIMUM SEVERITY Important BULLETIN NUMBER MS05-024 PRODUCTS AFFECTED Microsoft Windows IMPACT Remote Code Execution Security Advisory: KNOWLEDGE BASE NUMBER PRODUCTS AFFECTED 892313 Microsoft Windows Media Player 842851 Microsoft Exchange MS05-024: Introduzione Vulnerability in Web View Could Allow Remote Code Execution (894320) Livello di gravità massimo: Importante Software interessato dalla vulnerabilità: Le versioni attualmente supportate di Windows 2000: Microsoft Windows 2000 Service Pack 3 & 4 Windows 98, 98SE ed ME non sono interessati in modo critico MS05-024: Analisi di rischio Web View Script Injection Vulnerability - CAN2005-1191 Effetti della vulnerabilità: Errori nella validazione di alcuni caratteri HTML da parte della visualizzazione Web in Windows Explorer Remote Code Execution Modalità di attacco Eseguibile da remoto: SI File opportunamente malformati Visualizzazione in preview, su file locali, file su dischi di rete o file scaricati come allegati Attacco autenticato: NO Privilegi ottenibili: Utente loggato MS05-024: Fattori mitiganti Web View Script Injection Vulnerability CAN-2005-1191 l’utilizzo di utenze con privilegi non amministrativi minimizza l’impatto E’ necessaria l’interazione dell’utente MS05-024: Soluzioni alternative Disabilitare la visualizzazione Web in Windows Explorer In modo manuale (indicazioni dettagliate nel bollettino) Tramite l’uso di Group Policy (Criteri di Gruppo) Verificare la disabilitazione delle porte TCP 139 e 445 outbound sui dispositivi di difesa perimetrale Strumenti per il rilevamento MBSA SUS MS05-024: Ok MS05-024: Ok SMS 2.0 / 2003 Security Update Inventory Tool: MS05-024: Ok Strumenti per il deployment SUS MS05-024: Ok SMS É possibile utilizzare SMS 2.0 con SMS SUS Feature Pack o SMS 2003 per distribuire la MS05-024 Note di Deployment Informazioni sul restart e la disinstallazione: Bulletin Restart Uninstall MS05-024 Yes Yes Aggiornamenti sostituiti nessuno MS05-019: Problemi noti L’applicazione della patch richiesta dal bollettino può causare problemi di connettività di rete Può avvenire in scenari di reti WAN/LAN dove i router e i protocolli di livello data-link hanno diversi MTU (Maximum Transmission Units) Risoluzione: è disponibile una Private hotfix Maggiori informazioni: Hotfix: http://support.microsoft.com/kb/898060 Articolo KB Master: http://support.microsoft.com/kb/893066 Microsoft Security Advisory Nuova serie di comunicazioni di sicurezza, ora nella sua fase pilota: Supplemento ai Microsoft Security Bulletin Linee guida e informazioni su modifiche di configurazione e aggiornamenti correlati con gli aspetti di sicurezza Indirizza modifiche di sicurezza che: non sono classificabili come vulnerabilità potrebbero non richiedere un bollettino di sicurezza I Security Advisory includeranno: una sintesi che descrive la ragione alla base dell’emissione dell’advisory Una sezione di domande frequenti (FAQ) Azioni raccomandate Può essere aggiornato in qualsiasi momento in presenza di nuove informazioni Microsoft Security Advisory (2) Alcuni esempi di argomenti futuri: Miglioramenti di sicurezza di tipo "Defense in Depth" o modifiche non correlate a vulnerabilità Linee guida e mitigazioni da applicare rispetto a vulnerabilità rese pubbliche Ulteriori informazioni: Ogni Advisory punta ad un preciso articolo di Knowledge Base per gli approfondimenti di dettaglio Sito principale: www.microsoft.com/technet/security/advisory Si riceve la notifica se si è iscritti al servizio di “Security Notification Service Comprehenisve Version” www.microsoft.com/technet/security/bulletin/notify.mspx E’ possibile fornire feedback utilizzando la caratteristica ‘Contact Us’ (nella versione inglese) Microsoft Security Advisory (892313): introduzione Default Setting in Windows Media Player Digital Rights Management Could Allow a User to Open a Web Page Without Requesting Permission Scopo dell'advisory: notificare la disponibilità di un aggiornamento che protegge da questo rischio potenziale Stato dell'advisory: l'articolo della Knowledge Base e il relativo aggiornamento sono già stati pubblicati Raccomandazione: leggere attentamente l'articolo della Knowledge Base indicato e applicare l'aggiornamento per aumentare la protezione del computer Software correlato: Windows Media Player 9 e 10 Microsoft Security Advisory (892313): Altre informazioni L’aggiornamento modifica la modalità di acquisizione automatica delle licenze Permette agli utenti di specificare se vogliono essere avvisati quando è richiesta una licenza L’articolo di KB è disponibile al link: http://support.microsoft.com/kb/892313/ Microsoft Security Advisory (842851): Introduzione Clarification of the SMTP tar pit feature that is provided for Exchange Server 2003 in Windows Server 2003 Service Pack 1 Scopo dell'advisory: chiarire lo scopo della funzionalità tar pit. Stato dell'advisory: sono disponibili un articolo della Knowledge Base e la funzionalità tar pit. Raccomandazione: esaminare gli interventi consigliati e configurare il sistema in base alle necessità. Software correlato: Windows Server 2003 ed Exchange Server 2003 Microsoft Security Advisory (842851): Altre informazioni L’aggiornamento aiuta a prevenire l’enumerazione degli indirizzi e-mail della vostra organizzazione Exchange Aggiunge la possibilità di ritardare le risposte di verifica dell’indirizzo SMTP per ogni indirizzo invalido L’articolo di KB è disponibile al link: http://support.microsoft.com/kb/842851/ Malicious Software Removal Tool (Aggiornamento) La quinta emissione del tool aggiunge la capacità di rimozione di altri malware: Varianti di Sdbot, e Ispro/Delprot Come sempre è disponibile: Come aggiornamento critico su Windows Update o Automatic Update per gli utenti Windows XP Nota: non distribuibile tramite SUS 1.0 Download dal Microsoft Download Center (www.microsoft.com/downloads) Come controllo ActiveX su www.microsoft.com/malwareremove Malicious Software Removal Tool (2) Nuovi miglioramenti inclusi nella versione di maggio: Si viene avvisati solo se la scansione rileva un’infezione (nel caso di scansione lanciata tramite interazione con Windows Update o Automatic Update) Viene operato uno scan veloce iniziale, e se viene rilevata la presenza di malware si opera una scansione completa Aggiunta la capacità di rimuovere il malware da file legittimi Chiede conferma se inviare a Microsoft le informazioni raccolte sulle infezioni Nuove risorse informative MSN Security Alerts: Aggiunta una nuova categoria “security” all’ MSN Alerts Service: L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione www.microsoft.com/security/bulletins/alerts.mspx RSS feed per bollettini di sicurezza a livello consumer: Security bulletin release notifications Security incident updates www.microsoft.com/updates MSRC Blog su TechNet: Introdotto a febbraio in occasione dell’ RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet http://blogs.technet.com/msrc Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettini e advisory http://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS RSS Security Bulletin Feed http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Ricerca di un bollettino www.microsoft.com/technet/security/current.aspx Ricerca di un advisory www.microsoft.com/technet/security/advisory Webcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspx Risorse utili Sito Sicurezza Inglese http://www.microsoft.com/security/default.mspx Italiano http://www.microsoft.com/italy/security/default.mspx Security Guidance Center Inglese Italiano www.microsoft.com/security/guidance www.microsoft.com/italy/security/guidance Security Newsletter Windows XP Service Pack 2 www.microsoft.com/technet/security/secnews/default.mspx www.microsoft.com/technet/winxpsp2 Windows Server 2003 Service Pack 1 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ servicepack/default.mspx Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 giugno 2005) http://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspx www.microsoft.com/security360 Managing Access in the Extended Enterprise 17 maggio