Approfondimenti sui Microsoft Security Bulletin di maggio 2004 14 maggio 2004 Feliciano Intini e Luca Lorenzini, CISSP Security Advisor Microsoft Services – Italia Agenda Security Bulletin di maggio 2004: MS04-015 : Help & Support Center - Importante Bollettini riemessi MS04-014 e MS01-052 Informazioni sul worm Sasser Risorse utili ed Eventi MS04-015: Introduzione Una vulnerabilità in Guida in linea e supporto tecnico potrebbe consentire l'esecuzione di codice in modalità remota (840374) Effetti della vulnerabilità: esecuzione di codice in modalità remota Software interessato Windows XP, Windows Server 2003 Livello di gravità: Importante MS04-015: Comprendere le Vulnerabilità E’ un problema nella gestione degli URL HCP Modalità di attacco uso di URL HCP malformati in una pagina HTML far visualizzare la pagina HTML nel browser o in una e-mail HTML indurre al click sull’URL HCP Analisi di rischio: eseguibile da remoto (mail HTML, Sito Web) non richiede autenticazione privilegi ottenibili: quelli dell’utente loggato NOTA: la vulnerabilità non può essere sfruttata per realizzare un worm MS04-015: Fattori attenuanti Fattori attenuanti Nell’attacco Web-based è necessario adescare la vittima a navigare sul sito Web pericoloso (tramite click esplicito su un link) L’uso di versioni di Outlook che leggono le email nella zona Restricted Sites può aiutare ad ostacolare i tentativi di attacco E’ necessario che la vittima risponda alla richiesta di effettuare diverse operazioni Si ottengono solo i privilegi dell’utente loggato (quindi applicare il principio del Least Privilege dove possibile) MS04-015: Soluzioni alternative Rimuovere la registrazione del protocollo HCP Cancellare la chiave di registry HKEY_CLASSES_ROOT\HCP Impatto: non funzionano più i link di help che utilizzano il protocollo hcp:// MS04-015: Modifiche di funzionalità Rimozione dell’aggiornamento automatico dei driver DVD In attesa di una funzionalità più sicura si riceve l’errore “Impossibile visualizzare questa pagina” Funzionalità utilizzata principalmente sulle versioni OEM dotate di driver non aggiornati Rimozione dell’invio di informazioni richiesto al termine di Installazione Guidata Nuovo Hardware Al termine della procedura guidata si riceve l’errore “Impossibile visualizzare questa pagina” MS04-015: Note sulla patch Rilevamento: MBSA 1.2 (non possibile con MBSA 1.1.1) Deployment: SUS/SMS Reboot: No (a meno che i servizi siano in uso o non si riescano a stoppare) Possibilità di disinstallare: Sì Nota: l’aggiornamento richiede che il servizio Help & Support Center non sia disabilitato La patch NON sostituisce la correzione per l’analoga vulnerabilità (stesso componente) di MS04-011 Security Bulletin riemessi MS04-014 Jet database Motivo della riemissione La patch per Windows XP (solo RTM) in italiano causava la visualizzazione di messaggi di errore Jet in inglese. Windows Update non propone la nuova patch se non si rimuove la precedente versione MS01-052 Motivo della riemissione annunciare la disponibilità di un nuovo aggiornamento per Windows NT 4.0 Terminal Server Informazioni sul worm Sasser Sfrutta la vulnerabilità di LSASS corretta dall’aggiornamento MS04-011 Software interessati dal worm: Windows XP/Windows 2000: Critica Windows Server 2003: Bassa Windows XP e Windows 2000 Porta utilizzata per l’attacco: TCP 445 Sintomi di infezione possibili: errori/crash di Lsass riavvio del sistema Sasser: Prevenzione Aggiornamento con MS04-011 Blocco della porta TCP 445 sui firewall perimetrali e di segmentazione Per ISA Server sono disponibili script (su http://www.isatools.org) per il blocco di traffico Sasser in ingresso e in uscita su sistemi stessi Windows XP Internet Connection Firewall abilitato difende by-default filtri IPSEC – TCP/IP filtering Sasser: Recovery Aggiornamento con MS04-011 in assenza di patch la reinfezione è assicurata Utilizzare il cleaner tool per rimuovere le 5 varianti del worm Il crash di LSASS e il conseguente riavvio può rendere difficoltoso il rispristino del sistema Su Windows XP bloccare il riavvio con il comando “shutdown –a” La presenza di un file dcpromo.log di tipo read-only in %systemroot%\debug impedisce sia lo sfruttamento della vulnerabilità che il riavvio del sistema Killare i processi del worm (diversi a seconda delle varianti) tramite task manager Sasser: risorse utili Come proteggersi dal worm Sasser e dalle sue varianti Sono presenti i puntatori a http://www.microsoft.com/italy/security/incident/sasser.mspx Download del cleaner tool per la rimozione automatica del worm Istruzioni manuali di rimozione per le due piattaforme interessate Link al bollettino MS04-011 Link ai vendor Antivirus il Sasser Cleaner Tool (v.4) rimuove le 5 varianti del worm (A-F) è disponibile anche in versione online su http://www.microsoft.com/sasser Offerto su WindowsUpdate se si rileva che il computer è infetto Informazioni su MBSA MBSA 1.1.1 non più supportato dal 20 aprile 2004, il file mssecure.xml relativo non viene più aggiornato Bollettini di maggio non rilevati lanciando MBSA 1.1.1 da GUI e da riga di comando (mbsacli) la scansione viene interrotta e viene segnalata la disponibilità della versione MBSA 1.2 lanciando mbsacli /hf, come anche utilizzando SMS 2.0 SUS FP ed SMS 2003, la scansione è incompleta e non viene segnalato l’errore Per SMS 2.0 SUS FP ed SMS 2003 recuperare gli aggiornamenti: http://www.microsoft.com/smsserver/downloads Risorse Utili Sito Sicurezza italiano http://www.microsoft.com/italy/security/default.mspx Registratevi alla Security Newsletter http://www.microsoft.com/technet/security/secnews/default .asp New! Microsoft Security Notification Service: Comprehensive Version vi permette di ricevere la notifica di tutte le variazioni di versione apportate ai bollettini di sicurezza Modificate il vostro profilo Passport iscrivendovi alla newsletter con il titolo indicato Eventi Registratevi per i prossimi Webcast di approfondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 11/06) http://www.microsoft.com/italy/security/default.mspx
Scarica
