Approfondimenti sui
Microsoft Security Bulletin
novembre 2005
Feliciano Intini, CISSP-ISSAP, MCSE
Premier Center for Security - Microsoft Services
Italia
Agenda

Emissione di Sicurezza di novembre 2005

Bollettini di Sicurezza




Nuovi: MS05-053
Ulteriori informazioni sul bollettino MS05-051 di ottobre
Aggiornamenti critici di tipo Non-Security
Malicious Software Removal Tools di novembre

Prossimo supporto S/MIME per le
comunicazioni di sicurezza

Risorse ed Eventi
Bollettini di Sicurezza
novembre 2005
MAXIMUM
SEVERITY
Critical
BULLETIN
NUMBER
MS05-053
PRODUCTS AFFECTED
Microsoft Windows
IMPACT
Remote Code Execution
MS05-053: Introduzione

Vulnerabilities in Graphics Rendering
Engine Could Allow Code Execution
(896424)

Livello di gravità massimo: Critico

Software interessato dalla vulnerabilità:

Tutte le versioni di Windows attualmente
supportate tranne:

Windows 98, Windows 98 SE, Windows ME
MS05-053: Analisi di rischio
MS05-053 Windows (Graphics Rendering Engine)
Vulnerability
Maximum Severity
Graphics
Windows Metafile
Rendering Engine
Vulnerability
Vulnerability
Enhanced
Metafile
Vulnerability
Critical
Remote Code
Exec
Y
Denial of Service
Remote Exploitable?
Critical
Remote Code
Exec
Y
Authenticated attack?
N
N
N
LocalSystem
LocalSystem
N-None (DoS)
Vulnerability Effects
Privilege exploitable
Workaround?
Moderate
Y
Not for all vectors Not for all vectors Not for all vectors
CAN/CVE Vuln. Identifier
CAN-2005-2123
CAN-2005-2124
CAN-2005-0803
Vuln. was already public
No
No
Yes
Exploit/Poc already present
No
No
No
Image
Image
Image
Windows Server 2003 SP1
Y-Critical
N-None
N-None
Windows Server 2003
Windows Server 2003 x64 Edition
Windows Server 2003 with SP1 for Itanium-based Systems
Windows Server 2003 for Itanium-based Systems
Windows 2000 Server SP4
Y-Critical
Y-Critical
Y-Critical
Y-Critical
Y-Critical
Y-Critical
N-None
N-None
Y-Critical
Y-Critical
Y-Moderate
N-None
N-None
Y-Moderate
Y-Moderate
Windows XP SP2
Y-Critical
N-None
N-None
Windows XP SP1
Windows XP Pro x64 Edition
Windows 2000 Pro SP4
Y-Critical
Y-Critical
Y-Critical
Y-Critical
N-None
Y-Critical
Y-Moderate
N-None
Y-Moderate
N-None
N-None
N-None
Main attack vector
Windows 98, 98SE, ME
MS05-053: Analisi di rischio

Graphics Rendering Engine Vulnerability - CAN2005-2123


Effetti della vulnerabilità:


Unchecked buffer nel rendering dei formati WMF ed
EMF
Remote Code Execution
Modalità di attacco

Eseguibile da remoto: SI

Tutte le modalità che inducono alla visualizzazione di una
immagine

Attacco autenticato: NO

Privilegi ottenibili: Local System
MS05-053: Analisi di rischio

Windows Metafile Vulnerability - CAN-2005-2124


Effetti della vulnerabilità:


Unchecked buffer nel rendering del formato WMF
Remote Code Execution
Modalità di attacco

Eseguibile da remoto: SI

Tutte le modalità che inducono alla visualizzazione di una
immagine

Attacco autenticato: NO

Privilegi ottenibili: Local System
MS05-053: Analisi di rischio

Enhanced Metafile Vulnerability - CAN-2005-0803


Effetti della vulnerabilità:


Unchecked buffer nel rendering del formato EMF
Denial of Service
Modalità di attacco

Eseguibile da remoto: SI

Tutte le modalità che inducono alla visualizzazione di una
immagine

Attacco autenticato: NO

Privilegi ottenibili: nessuno (DoS)
MS05-035: Fattori mitiganti

Per tutte le 3 vulnerabilità

Fattori mitiganti


E’ necessario indurre l’utente a visualizzare
l’immagine artefatta per realizzare l’attacco
Soluzioni alternative

Leggere le e-mail in formato solo testo
Strumenti per il rilevamento e il
deployment
Security
update
Bulletin
Windows
Update
Detect and
deploy
896424
MS05-053
Yes
Microsoft
Update
Detect and
deploy
Yes
MBSA
1.2.1
MBSA 2.0
SUS
Detect and
Detect only Detect only deploy
Yes
Yes
Yes
WSUS
Detect and
deploy
Yes
SMS 2003,
SMS 2.0
SMS 2003
with the
SP1 with
SUS Feature the ITMU
Pack
Detect and
deploy
Yes
Detect and
deploy
Yes
Note di Deployment

Informazioni sul restart, la disinstallazione e
le patch sostituite:
Bulletin
MS05-053
Restart Uninstall Replaces
Yes
Yes
MS03-045
MS05-002
On products
Windows XPSP1
Ulteriori informazioni sul bollettino
MS05-051 di ottobre

Si potrebbero manifestare alcuni
malfunzionamenti dopo l’installazione del
bollettino MS05-051



La problematica è documentata in



Comportamenti inattesi nelle applicazioni che utilizzano
oggetti COM
Se sono state modificate le Access Control List (ACL)
predefinite su %Windir%/Registration
Microsoft Security Advisory (909444)
Microsoft Knowledge Base Article 909444
Approccio consigliato:


Prima assicurarsi che le ACL su %Windir%/Registration
corrispondano a quelle indicate nell’articolo KB 909444
Successivamente applicare la patch MS05-051
Emissione di novembre 2005
Aggiornamenti critici Non-Security
NUMBER
TITLE
Distribution
KB887624
Windows SharePoint Services Language Template
Pack Service Pack 2
WU/MU
KB907492
Outlook 2003 Junk E-mail Filter update: November
2005
MU
KB907417
Update for Office 2003
MU
L’aggiornamento corregge un potenziale
malfunzionamento tale da impedire il caricamento di un
“add-in”, uno “smart tag”, o uno “smart document” se
questi utilizzano il Microsoft .NET Framework 2.0
Malicious Software Removal
Tool (Aggiornamento)

La 11a emissione del tool aggiunge la capacità di rimozione di altri
malware:






Win32/Bugbear
Win32/Codbot
Win32/Mabutu
Win32/Opaserv
Win32/Swen
Come sempre è disponibile:

Come aggiornamento critico su Windows Update e Microsoft Update per gli
utenti Windows XP

Nota: distribuile tramite WSUS, e NON tramite SUS 1.0

Download dal Microsoft Download Center (www.microsoft.com/downloads)

Come controllo ActiveX su www.microsoft.com/malwareremove
Prossimo supporto S/MIME per
le comunicazioni di sicurezza

A partire dal 2006, Microsoft modificherà da
PGP a S/MIME la modalità di firma digitale
utilizzata per le comunicazioni di sicurezza:

verifica semplificata da parte dei clienti

modalità supportata by default su Outlook Express,
Microsoft Outlook, e molti altri programmi di posta di
terze parti

Non vi è alcuna azione richiesta ai clienti in questo
momento
Prossimo supporto S/MIME per
le comunicazioni di sicurezza (2)

Si userà una Microsoft Root Certificate Authority

Serial number 00c1008b3c3c8811d13ef663ecdf40

Tale certificato è già presente sui sistemi Windows 2000, Windows XP,
Windows Server 2003 (e non deve essere rimosso, come indicato
nell’articolo 293781 della Microsoft Knowledge Base)

Può essere richiesto al link:


https://www.microsoft.com/pki/certs/MicrosoftProductRootAuthority.crt
Per ulteriori dettagli su S/MIME:
 Capitolo 1 della “Exchange Server 2003 Message Security
Guide”

“Understanding Message Security”

http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exmessec.mspx
Nuove risorse informative

MSN Security Alerts:

Aggiunta una nuova categoria “security” all’ MSN Alerts
Service:





L’utente di MSN Messenger riceve un popup quando è
disponibile una nuova informazione
www.microsoft.com/security/bulletins/alerts.mspx
RSS feed per bollettini di sicurezza a livello consumer:


Security bulletin release notifications
Security incident updates
www.microsoft.com/updates
MSRC Blog su TechNet:



Introdotto a febbraio in occasione dell’ RSA Conference
Grazie a dei riscontri molto positivi è stato posizionato in modo
permanente su TechNet
http://blogs.technet.com/msrc
Riepilogo delle risorse per tenersi
informati sui bollettini di sicurezza

Preavviso sul web nell’area Technet/Security
www.microsoft.com/technet/security/bulletin/advance.mspx

Invio delle notifiche sui bollettini e advisory
http://www.microsoft.com/technet/security/bulletin/notify.mspx

Microsoft Security Notification Service

MS Security Notification Service: Comprehensive Version


Modificate il vostro profilo Passport iscrivendovi alle newsletter con il
titolo indicato
Ricezione news via RSS

RSS Security Bulletin Feed
http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx



Ricerca di un bollettino
www.microsoft.com/technet/security/current.aspx
Ricerca di un advisory
www.microsoft.com/technet/security/advisory
Webcast di approfondimento
http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Risorse utili

Sito Sicurezza

Inglese
http://www.microsoft.com/security/default.mspx

Italiano
http://www.microsoft.com/italy/security/default.mspx

Security Guidance Center

Inglese

Italiano
www.microsoft.com/security/guidance
www.microsoft.com/italy/security/guidance

Security Newsletter

Windows XP Service Pack 2
www.microsoft.com/technet/security/secnews/default.mspx
www.microsoft.com/technet/winxpsp2

Windows Server 2003 Service Pack 1
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
servicepack/default.mspx
Prossimi Eventi

Registratevi per i prossimi Webcast di
approfondimento sui Security Bulletin






Ogni venerdì successivo al 2° martedì di ogni mese:
il prossimo si terrà il 16 dicembre
http://www.microsoft.com/italy/technet/community/webcast/default.mspx
Webcast già erogati:
http://www.microsoft.com/italy/technet/community/webcast/passati.mspx
Microsoft “Security360”: 15 novembre
 Argomento: Integrating the Edge in Network Security


Come far connettere i sistemi non gestiti alla rete aziendale in modo
sicuro
Soluzioni attuali e future
www.microsoft.com/security360