Approfondimenti sui Microsoft Security Bulletin novembre 2005 Feliciano Intini, CISSP-ISSAP, MCSE Premier Center for Security - Microsoft Services Italia Agenda Emissione di Sicurezza di novembre 2005 Bollettini di Sicurezza Nuovi: MS05-053 Ulteriori informazioni sul bollettino MS05-051 di ottobre Aggiornamenti critici di tipo Non-Security Malicious Software Removal Tools di novembre Prossimo supporto S/MIME per le comunicazioni di sicurezza Risorse ed Eventi Bollettini di Sicurezza novembre 2005 MAXIMUM SEVERITY Critical BULLETIN NUMBER MS05-053 PRODUCTS AFFECTED Microsoft Windows IMPACT Remote Code Execution MS05-053: Introduzione Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (896424) Livello di gravità massimo: Critico Software interessato dalla vulnerabilità: Tutte le versioni di Windows attualmente supportate tranne: Windows 98, Windows 98 SE, Windows ME MS05-053: Analisi di rischio MS05-053 Windows (Graphics Rendering Engine) Vulnerability Maximum Severity Graphics Windows Metafile Rendering Engine Vulnerability Vulnerability Enhanced Metafile Vulnerability Critical Remote Code Exec Y Denial of Service Remote Exploitable? Critical Remote Code Exec Y Authenticated attack? N N N LocalSystem LocalSystem N-None (DoS) Vulnerability Effects Privilege exploitable Workaround? Moderate Y Not for all vectors Not for all vectors Not for all vectors CAN/CVE Vuln. Identifier CAN-2005-2123 CAN-2005-2124 CAN-2005-0803 Vuln. was already public No No Yes Exploit/Poc already present No No No Image Image Image Windows Server 2003 SP1 Y-Critical N-None N-None Windows Server 2003 Windows Server 2003 x64 Edition Windows Server 2003 with SP1 for Itanium-based Systems Windows Server 2003 for Itanium-based Systems Windows 2000 Server SP4 Y-Critical Y-Critical Y-Critical Y-Critical Y-Critical Y-Critical N-None N-None Y-Critical Y-Critical Y-Moderate N-None N-None Y-Moderate Y-Moderate Windows XP SP2 Y-Critical N-None N-None Windows XP SP1 Windows XP Pro x64 Edition Windows 2000 Pro SP4 Y-Critical Y-Critical Y-Critical Y-Critical N-None Y-Critical Y-Moderate N-None Y-Moderate N-None N-None N-None Main attack vector Windows 98, 98SE, ME MS05-053: Analisi di rischio Graphics Rendering Engine Vulnerability - CAN2005-2123 Effetti della vulnerabilità: Unchecked buffer nel rendering dei formati WMF ed EMF Remote Code Execution Modalità di attacco Eseguibile da remoto: SI Tutte le modalità che inducono alla visualizzazione di una immagine Attacco autenticato: NO Privilegi ottenibili: Local System MS05-053: Analisi di rischio Windows Metafile Vulnerability - CAN-2005-2124 Effetti della vulnerabilità: Unchecked buffer nel rendering del formato WMF Remote Code Execution Modalità di attacco Eseguibile da remoto: SI Tutte le modalità che inducono alla visualizzazione di una immagine Attacco autenticato: NO Privilegi ottenibili: Local System MS05-053: Analisi di rischio Enhanced Metafile Vulnerability - CAN-2005-0803 Effetti della vulnerabilità: Unchecked buffer nel rendering del formato EMF Denial of Service Modalità di attacco Eseguibile da remoto: SI Tutte le modalità che inducono alla visualizzazione di una immagine Attacco autenticato: NO Privilegi ottenibili: nessuno (DoS) MS05-035: Fattori mitiganti Per tutte le 3 vulnerabilità Fattori mitiganti E’ necessario indurre l’utente a visualizzare l’immagine artefatta per realizzare l’attacco Soluzioni alternative Leggere le e-mail in formato solo testo Strumenti per il rilevamento e il deployment Security update Bulletin Windows Update Detect and deploy 896424 MS05-053 Yes Microsoft Update Detect and deploy Yes MBSA 1.2.1 MBSA 2.0 SUS Detect and Detect only Detect only deploy Yes Yes Yes WSUS Detect and deploy Yes SMS 2003, SMS 2.0 SMS 2003 with the SP1 with SUS Feature the ITMU Pack Detect and deploy Yes Detect and deploy Yes Note di Deployment Informazioni sul restart, la disinstallazione e le patch sostituite: Bulletin MS05-053 Restart Uninstall Replaces Yes Yes MS03-045 MS05-002 On products Windows XPSP1 Ulteriori informazioni sul bollettino MS05-051 di ottobre Si potrebbero manifestare alcuni malfunzionamenti dopo l’installazione del bollettino MS05-051 La problematica è documentata in Comportamenti inattesi nelle applicazioni che utilizzano oggetti COM Se sono state modificate le Access Control List (ACL) predefinite su %Windir%/Registration Microsoft Security Advisory (909444) Microsoft Knowledge Base Article 909444 Approccio consigliato: Prima assicurarsi che le ACL su %Windir%/Registration corrispondano a quelle indicate nell’articolo KB 909444 Successivamente applicare la patch MS05-051 Emissione di novembre 2005 Aggiornamenti critici Non-Security NUMBER TITLE Distribution KB887624 Windows SharePoint Services Language Template Pack Service Pack 2 WU/MU KB907492 Outlook 2003 Junk E-mail Filter update: November 2005 MU KB907417 Update for Office 2003 MU L’aggiornamento corregge un potenziale malfunzionamento tale da impedire il caricamento di un “add-in”, uno “smart tag”, o uno “smart document” se questi utilizzano il Microsoft .NET Framework 2.0 Malicious Software Removal Tool (Aggiornamento) La 11a emissione del tool aggiunge la capacità di rimozione di altri malware: Win32/Bugbear Win32/Codbot Win32/Mabutu Win32/Opaserv Win32/Swen Come sempre è disponibile: Come aggiornamento critico su Windows Update e Microsoft Update per gli utenti Windows XP Nota: distribuile tramite WSUS, e NON tramite SUS 1.0 Download dal Microsoft Download Center (www.microsoft.com/downloads) Come controllo ActiveX su www.microsoft.com/malwareremove Prossimo supporto S/MIME per le comunicazioni di sicurezza A partire dal 2006, Microsoft modificherà da PGP a S/MIME la modalità di firma digitale utilizzata per le comunicazioni di sicurezza: verifica semplificata da parte dei clienti modalità supportata by default su Outlook Express, Microsoft Outlook, e molti altri programmi di posta di terze parti Non vi è alcuna azione richiesta ai clienti in questo momento Prossimo supporto S/MIME per le comunicazioni di sicurezza (2) Si userà una Microsoft Root Certificate Authority Serial number 00c1008b3c3c8811d13ef663ecdf40 Tale certificato è già presente sui sistemi Windows 2000, Windows XP, Windows Server 2003 (e non deve essere rimosso, come indicato nell’articolo 293781 della Microsoft Knowledge Base) Può essere richiesto al link: https://www.microsoft.com/pki/certs/MicrosoftProductRootAuthority.crt Per ulteriori dettagli su S/MIME: Capitolo 1 della “Exchange Server 2003 Message Security Guide” “Understanding Message Security” http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exmessec.mspx Nuove risorse informative MSN Security Alerts: Aggiunta una nuova categoria “security” all’ MSN Alerts Service: L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazione www.microsoft.com/security/bulletins/alerts.mspx RSS feed per bollettini di sicurezza a livello consumer: Security bulletin release notifications Security incident updates www.microsoft.com/updates MSRC Blog su TechNet: Introdotto a febbraio in occasione dell’ RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo permanente su TechNet http://blogs.technet.com/msrc Riepilogo delle risorse per tenersi informati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security www.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettini e advisory http://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification Service MS Security Notification Service: Comprehensive Version Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicato Ricezione news via RSS RSS Security Bulletin Feed http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx Ricerca di un bollettino www.microsoft.com/technet/security/current.aspx Ricerca di un advisory www.microsoft.com/technet/security/advisory Webcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspx Risorse utili Sito Sicurezza Inglese http://www.microsoft.com/security/default.mspx Italiano http://www.microsoft.com/italy/security/default.mspx Security Guidance Center Inglese Italiano www.microsoft.com/security/guidance www.microsoft.com/italy/security/guidance Security Newsletter Windows XP Service Pack 2 www.microsoft.com/technet/security/secnews/default.mspx www.microsoft.com/technet/winxpsp2 Windows Server 2003 Service Pack 1 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ servicepack/default.mspx Prossimi Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese: il prossimo si terrà il 16 dicembre http://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspx Microsoft “Security360”: 15 novembre Argomento: Integrating the Edge in Network Security Come far connettere i sistemi non gestiti alla rete aziendale in modo sicuro Soluzioni attuali e future www.microsoft.com/security360