Approfondimenti sui
Microsoft Security Bulletin
maggio 2005
Feliciano Intini, CISSP-ISSAP, MCSE
Premier Center for Security - Microsoft Services
Italia
Agenda

Emissione di Sicurezza di maggio 2005

Bollettini di Sicurezza




Security Advisory
Introduzione alle nuove comunicazioni di sicurezza




Nuovi: MS05-024
Problemi noti relativi all’installazione di MS05-019
Security Advisory 892313 su Windows Media Player
Security Advisory 842851 su Microsoft Exchange
Malicious Software Removal Tools di maggio
Risorse ed Eventi
Emissione di Sicurezza
maggio 2005
Bollettini di Sicurezza: nuovi
MAXIMUM
SEVERITY
Important
BULLETIN
NUMBER
MS05-024
PRODUCTS
AFFECTED
Microsoft Windows
IMPACT
Remote Code Execution
Security Advisory:
KNOWLEDGE BASE NUMBER
PRODUCTS AFFECTED
892313
Microsoft Windows Media
Player
842851
Microsoft Exchange
MS05-024: Introduzione

Vulnerability in Web View Could Allow
Remote Code Execution (894320)

Livello di gravità massimo: Importante

Software interessato dalla vulnerabilità:

Le versioni attualmente supportate di
Windows 2000:


Microsoft Windows 2000 Service Pack 3 & 4
Windows 98, 98SE ed ME non sono interessati
in modo critico
MS05-024: Analisi di rischio

Web View Script Injection Vulnerability - CAN2005-1191


Effetti della vulnerabilità:


Errori nella validazione di alcuni caratteri HTML da
parte della visualizzazione Web in Windows Explorer
Remote Code Execution
Modalità di attacco

Eseguibile da remoto: SI


File opportunamente malformati
Visualizzazione in preview, su file locali, file su dischi di rete o
file scaricati come allegati

Attacco autenticato: NO

Privilegi ottenibili: Utente loggato
MS05-024: Fattori mitiganti

Web View Script Injection Vulnerability CAN-2005-1191


l’utilizzo di utenze con privilegi non
amministrativi minimizza l’impatto
E’ necessaria l’interazione dell’utente
MS05-024: Soluzioni alternative


Disabilitare la visualizzazione Web in Windows
Explorer

In modo manuale (indicazioni dettagliate nel bollettino)

Tramite l’uso di Group Policy (Criteri di Gruppo)
Verificare la disabilitazione delle porte TCP 139 e
445 outbound sui dispositivi di difesa perimetrale
Strumenti per il rilevamento

MBSA


SUS


MS05-024: Ok
MS05-024: Ok
SMS 2.0 / 2003

Security Update Inventory Tool:

MS05-024: Ok
Strumenti per il deployment

SUS


MS05-024: Ok
SMS

É possibile utilizzare SMS 2.0 con SMS SUS
Feature Pack o SMS 2003 per distribuire la
MS05-024
Note di Deployment


Informazioni sul restart e la disinstallazione:
Bulletin
Restart
Uninstall
MS05-024
Yes
Yes
Aggiornamenti sostituiti

nessuno
MS05-019: Problemi noti




L’applicazione della patch richiesta dal
bollettino può causare problemi di connettività
di rete
Può avvenire in scenari di reti WAN/LAN dove i
router e i protocolli di livello data-link hanno
diversi MTU (Maximum Transmission Units)
Risoluzione: è disponibile una Private hotfix
Maggiori informazioni:


Hotfix: http://support.microsoft.com/kb/898060
Articolo KB Master:
http://support.microsoft.com/kb/893066
Microsoft Security Advisory

Nuova serie di comunicazioni di sicurezza, ora
nella sua fase pilota:



Supplemento ai Microsoft Security Bulletin
Linee guida e informazioni su modifiche di
configurazione e aggiornamenti correlati con gli
aspetti di sicurezza
Indirizza modifiche di sicurezza che:



non sono classificabili come vulnerabilità
potrebbero non richiedere un bollettino di sicurezza
I Security Advisory includeranno:




una sintesi che descrive la ragione alla base
dell’emissione dell’advisory
Una sezione di domande frequenti (FAQ)
Azioni raccomandate
Può essere aggiornato in qualsiasi momento in
presenza di nuove informazioni
Microsoft Security Advisory (2)

Alcuni esempi di argomenti futuri:



Miglioramenti di sicurezza di tipo "Defense in Depth"
o modifiche non correlate a vulnerabilità
Linee guida e mitigazioni da applicare rispetto a
vulnerabilità rese pubbliche
Ulteriori informazioni:



Ogni Advisory punta ad un preciso articolo di
Knowledge Base per gli approfondimenti di dettaglio
Sito principale:
www.microsoft.com/technet/security/advisory
Si riceve la notifica se si è iscritti al servizio di
“Security Notification Service Comprehenisve
Version”
www.microsoft.com/technet/security/bulletin/notify.mspx

E’ possibile fornire feedback utilizzando la
caratteristica ‘Contact Us’ (nella versione inglese)
Microsoft Security Advisory
(892313): introduzione





Default Setting in Windows Media Player Digital
Rights Management Could Allow a User to Open a
Web Page Without Requesting Permission
Scopo dell'advisory: notificare la disponibilità di un
aggiornamento che protegge da questo rischio
potenziale
Stato dell'advisory: l'articolo della Knowledge Base
e il relativo aggiornamento sono già stati pubblicati
Raccomandazione: leggere attentamente l'articolo
della Knowledge Base indicato e applicare
l'aggiornamento per aumentare la protezione del
computer
Software correlato: Windows Media Player 9 e 10
Microsoft Security Advisory
(892313): Altre informazioni

L’aggiornamento modifica la modalità di
acquisizione automatica delle licenze


Permette agli utenti di specificare se vogliono
essere avvisati quando è richiesta una
licenza
L’articolo di KB è disponibile al link:

http://support.microsoft.com/kb/892313/
Microsoft Security Advisory
(842851): Introduzione





Clarification of the SMTP tar pit feature that is
provided for Exchange Server 2003 in Windows
Server 2003 Service Pack 1
Scopo dell'advisory: chiarire lo scopo della
funzionalità tar pit.
Stato dell'advisory: sono disponibili un articolo
della Knowledge Base e la funzionalità tar pit.
Raccomandazione: esaminare gli interventi
consigliati e configurare il sistema in base alle
necessità.
Software correlato: Windows Server 2003 ed
Exchange Server 2003
Microsoft Security Advisory
(842851): Altre informazioni

L’aggiornamento aiuta a prevenire
l’enumerazione degli indirizzi e-mail della
vostra organizzazione Exchange



Aggiunge la possibilità di ritardare le risposte
di verifica dell’indirizzo SMTP per ogni
indirizzo invalido
L’articolo di KB è disponibile al link:
http://support.microsoft.com/kb/842851/
Malicious Software Removal
Tool (Aggiornamento)

La quinta emissione del tool aggiunge la capacità di
rimozione di altri malware:


Varianti di Sdbot, e Ispro/Delprot
Come sempre è disponibile:

Come aggiornamento critico su Windows Update o Automatic
Update per gli utenti Windows XP

Nota: non distribuibile tramite SUS 1.0

Download dal Microsoft Download Center
(www.microsoft.com/downloads)

Come controllo ActiveX su www.microsoft.com/malwareremove
Malicious Software Removal
Tool (2)

Nuovi miglioramenti inclusi nella versione di maggio:

Si viene avvisati solo se la scansione rileva un’infezione (nel
caso di scansione lanciata tramite interazione con Windows Update o
Automatic Update)

Viene operato uno scan veloce iniziale, e se viene rilevata la
presenza di malware si opera una scansione completa

Aggiunta la capacità di rimuovere il malware da file legittimi

Chiede conferma se inviare a Microsoft le informazioni raccolte
sulle infezioni
Nuove risorse informative

MSN Security Alerts:

Aggiunta una nuova categoria “security” all’ MSN Alerts
Service:





L’utente di MSN Messenger riceve un popup quando è
disponibile una nuova informazione
www.microsoft.com/security/bulletins/alerts.mspx
RSS feed per bollettini di sicurezza a livello consumer:


Security bulletin release notifications
Security incident updates
www.microsoft.com/updates
MSRC Blog su TechNet:



Introdotto a febbraio in occasione dell’ RSA Conference
Grazie a dei riscontri molto positivi è stato posizionato in modo
permanente su TechNet
http://blogs.technet.com/msrc
Riepilogo delle risorse per tenersi
informati sui bollettini di sicurezza

Preavviso sul web nell’area Technet/Security
www.microsoft.com/technet/security/bulletin/advance.mspx

Invio delle notifiche sui bollettini e advisory
http://www.microsoft.com/technet/security/bulletin/notify.mspx

Microsoft Security Notification Service

MS Security Notification Service: Comprehensive Version


Modificate il vostro profilo Passport iscrivendovi alle newsletter con il
titolo indicato
Ricezione news via RSS

RSS Security Bulletin Feed
http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx



Ricerca di un bollettino
www.microsoft.com/technet/security/current.aspx
Ricerca di un advisory
www.microsoft.com/technet/security/advisory
Webcast di approfondimento
http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Risorse utili

Sito Sicurezza

Inglese
http://www.microsoft.com/security/default.mspx

Italiano
http://www.microsoft.com/italy/security/default.mspx

Security Guidance Center

Inglese

Italiano
www.microsoft.com/security/guidance
www.microsoft.com/italy/security/guidance

Security Newsletter

Windows XP Service Pack 2
www.microsoft.com/technet/security/secnews/default.mspx
www.microsoft.com/technet/winxpsp2

Windows Server 2003 Service Pack 1
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
servicepack/default.mspx
Prossimi Eventi

Registratevi per i prossimi Webcast di
approfondimento sui Security Bulletin

Ogni venerdì successivo al 2° martedì di ogni mese
(prossimo: 17 giugno 2005)

http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Webcast già erogati:
http://www.microsoft.com/italy/technet/community/webcast/passati.mspx



www.microsoft.com/security360

Managing Access in the Extended Enterprise

17 maggio