Approfondimenti sui Approfondimenti sui Microsoft Security Bulletin Microsoft Security Bulletin maggio 2005maggio 2005

Feliciano Intini, Feliciano Intini, CISSP-ISSAP, MCSECISSP-ISSAP, MCSE

Premier Center Premier Center for Securityfor Security - Microsoft Services - Microsoft ServicesItaliaItalia

AgendaAgenda Emissione di Sicurezza di maggio 2005Emissione di Sicurezza di maggio 2005

Bollettini di SicurezzaBollettini di Sicurezza Nuovi: MS05-024Nuovi: MS05-024 Problemi noti relativi all’installazione di MS05-019Problemi noti relativi all’installazione di MS05-019

Security AdvisorySecurity Advisory Introduzione alle nuove comunicazioni di sicurezzaIntroduzione alle nuove comunicazioni di sicurezza

Security Advisory 892313 su Windows Media PlayerSecurity Advisory 892313 su Windows Media Player Security Advisory 842851 su Microsoft ExchangeSecurity Advisory 842851 su Microsoft Exchange

Malicious Software Removal Tools di maggioMalicious Software Removal Tools di maggio

Risorse ed EventiRisorse ed Eventi

MAXIMUM MAXIMUM SEVERITYSEVERITY

BULLETIN BULLETIN NUMBERNUMBER

PRODUCTS PRODUCTS AFFECTEDAFFECTED IMPACTIMPACT

ImportantImportant MS05-024MS05-024 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

Bollettini di Sicurezza: nuoviBollettini di Sicurezza: nuovi

Security Advisory:Security Advisory:

KNOWLEDGE BASE NUMBERKNOWLEDGE BASE NUMBER PRODUCTS AFFECTEDPRODUCTS AFFECTED

892313892313 Microsoft Windows Media Microsoft Windows Media PlayerPlayer

842851842851 Microsoft ExchangeMicrosoft Exchange

Emissione di SicurezzaEmissione di Sicurezzamaggio 2005maggio 2005

MS05-024: IntroduzioneMS05-024: Introduzione

Vulnerability in Web View Could Allow Vulnerability in Web View Could Allow Remote Code Execution (894320)Remote Code Execution (894320)

Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità::

Le versioni attualmente supportate di Le versioni attualmente supportate di Windows 2000:Windows 2000: Microsoft Windows 2000 Service Pack 3 & 4Microsoft Windows 2000 Service Pack 3 & 4

Windows 98, 98SE ed ME non sono interessati Windows 98, 98SE ed ME non sono interessati in modo criticoin modo critico

MS05-024: Analisi di rischioMS05-024: Analisi di rischio Web View Script Injection Vulnerability - CAN-Web View Script Injection Vulnerability - CAN-

2005-11912005-1191 Errori nella validazione di alcuni caratteri HTML da Errori nella validazione di alcuni caratteri HTML da

parte della visualizzazione Web in Windows Explorerparte della visualizzazione Web in Windows Explorer Effetti della vulnerabilità:Effetti della vulnerabilità:

Remote Code ExecutionRemote Code Execution Modalità di attaccoModalità di attacco

Eseguibile da remoto: SIEseguibile da remoto: SI File opportunamente malformatiFile opportunamente malformati Visualizzazione in preview, su file locali, file su dischi di rete o Visualizzazione in preview, su file locali, file su dischi di rete o

file scaricati come allegati file scaricati come allegati Attacco autenticato: NOAttacco autenticato: NO Privilegi ottenibili: Utente loggatoPrivilegi ottenibili: Utente loggato

MS05-024: Fattori mitigantiMS05-024: Fattori mitiganti Web View Script Injection Vulnerability - Web View Script Injection Vulnerability -

CAN-2005-1191CAN-2005-1191 l’utilizzo di utenze con privilegi non l’utilizzo di utenze con privilegi non

amministrativi minimizza l’impattoamministrativi minimizza l’impatto E’ necessaria l’interazione dell’utente E’ necessaria l’interazione dell’utente

MS05-024: Soluzioni alternativeMS05-024: Soluzioni alternative

Disabilitare la visualizzazione Web in Windows Disabilitare la visualizzazione Web in Windows Explorer Explorer In modo manuale (indicazioni dettagliate nel bollettino)In modo manuale (indicazioni dettagliate nel bollettino) Tramite l’uso di Group Policy (Criteri di Gruppo)Tramite l’uso di Group Policy (Criteri di Gruppo)

Verificare la disabilitazione delle porte TCP 139 e Verificare la disabilitazione delle porte TCP 139 e 445 445 outboundoutbound sui dispositivi di difesa perimetrale sui dispositivi di difesa perimetrale

Strumenti per il rilevamentoStrumenti per il rilevamento

MBSAMBSA MS05-024: OkMS05-024: Ok

SUSSUS MS05-024: OkMS05-024: Ok

SMS 2.0 / 2003SMS 2.0 / 2003 Security Update Inventory Tool:Security Update Inventory Tool:

MS05-024: OkMS05-024: Ok

Strumenti per il deploymentStrumenti per il deployment

SUSSUS MS05-024: OkMS05-024: Ok

SMSSMS ÉÉ possibile utilizzare SMS 2.0 con SMS SUS possibile utilizzare SMS 2.0 con SMS SUS

Feature Pack o SMS 2003 per distribuire la Feature Pack o SMS 2003 per distribuire la MS05-024MS05-024

Note di DeploymentNote di Deployment

BulletinBulletin RestartRestart UninstallUninstall

MS05-024MS05-024 YesYes YesYes

Aggiornamenti sostituitiAggiornamenti sostituiti nessunonessuno

Informazioni sul restart e la disinstallazione:Informazioni sul restart e la disinstallazione:

MS05-019: Problemi notiMS05-019: Problemi noti

L’applicazione della patch richiesta dal L’applicazione della patch richiesta dal bollettino può causare problemi di connettività bollettino può causare problemi di connettività di retedi rete

Può avvenire in scenari di reti WAN/LAN dove i Può avvenire in scenari di reti WAN/LAN dove i router e i protocolli di livello data-link hanno router e i protocolli di livello data-link hanno diversi MTU (Maximum Transmission Units)diversi MTU (Maximum Transmission Units)

Risoluzione: è disponibile una Private hotfixRisoluzione: è disponibile una Private hotfix Maggiori informazioni:Maggiori informazioni:

Hotfix: http://support.microsoft.com/kb/898060Hotfix: http://support.microsoft.com/kb/898060 Articolo KB Master: Articolo KB Master:

http://support.microsoft.com/kb/893066 http://support.microsoft.com/kb/893066

Microsoft Security AdvisoryMicrosoft Security Advisory Nuova serie di comunicazioni di sicurezza, ora Nuova serie di comunicazioni di sicurezza, ora

nella sua fase pilota:nella sua fase pilota: Supplemento ai Microsoft Security BulletinSupplemento ai Microsoft Security Bulletin Linee guida e informazioni su modifiche di Linee guida e informazioni su modifiche di

configurazione e aggiornamenti correlati con gli configurazione e aggiornamenti correlati con gli aspetti di sicurezzaaspetti di sicurezza

Indirizza modifiche di sicurezza che:Indirizza modifiche di sicurezza che: non sono classificabili come vulnerabilitànon sono classificabili come vulnerabilità potrebbero non richiedere un bollettino di sicurezzapotrebbero non richiedere un bollettino di sicurezza

I Security Advisory includeranno:I Security Advisory includeranno: una sintesi che descrive la ragione alla base una sintesi che descrive la ragione alla base

dell’emissione dell’advisory dell’emissione dell’advisory Una sezione di domande frequenti (FAQ) Una sezione di domande frequenti (FAQ) Azioni raccomandate Azioni raccomandate Può essere aggiornato in qualsiasi momento in Può essere aggiornato in qualsiasi momento in

presenza di nuove informazionipresenza di nuove informazioni

Microsoft Security Advisory Microsoft Security Advisory (2)(2)

Alcuni esempi di argomenti futuri:  Alcuni esempi di argomenti futuri:   Miglioramenti di sicurezza di tipo "Defense in Depth" Miglioramenti di sicurezza di tipo "Defense in Depth"

o modifiche non correlate a vulnerabilitào modifiche non correlate a vulnerabilità Linee guida e mitigazioni da applicare rispetto a Linee guida e mitigazioni da applicare rispetto a

vulnerabilità rese pubblichevulnerabilità rese pubbliche Ulteriori informazioni:Ulteriori informazioni:

Ogni Advisory punta ad un preciso articolo di Ogni Advisory punta ad un preciso articolo di Knowledge Base per gli approfondimenti di dettaglioKnowledge Base per gli approfondimenti di dettaglio

Sito principale: Sito principale: www.microsoft.com/technet/security/advisory www.microsoft.com/technet/security/advisory

Si riceve la notifica se si è iscritti al servizio di Si riceve la notifica se si è iscritti al servizio di “Security Notification Service Comprehenisve “Security Notification Service Comprehenisve Version” Version” www.microsoft.com/technet/security/bulletin/notify.mspxwww.microsoft.com/technet/security/bulletin/notify.mspx

E’ possibile fornire feedback utilizzando la E’ possibile fornire feedback utilizzando la caratteristica ‘Contact Us’ (nella versione inglese)caratteristica ‘Contact Us’ (nella versione inglese)

Microsoft Security Advisory Microsoft Security Advisory (892313): introduzione(892313): introduzione Default Setting in Windows Media Player Digital Default Setting in Windows Media Player Digital

Rights Management Could Allow a User to Open a Rights Management Could Allow a User to Open a Web Page Without Requesting PermissionWeb Page Without Requesting Permission

Scopo dell'advisoryScopo dell'advisory: notificare la disponibilità di un : notificare la disponibilità di un aggiornamento che protegge da questo rischio aggiornamento che protegge da questo rischio potenzialepotenziale

Stato dell'advisoryStato dell'advisory: l'articolo della Knowledge Base : l'articolo della Knowledge Base e il relativo aggiornamento sono già stati pubblicatie il relativo aggiornamento sono già stati pubblicati

RaccomandazionRaccomandazione: leggere attentamente l'articolo e: leggere attentamente l'articolo della Knowledge Base indicato e applicare della Knowledge Base indicato e applicare l'aggiornamento per aumentare la protezione del l'aggiornamento per aumentare la protezione del computercomputer

Software correlatoSoftware correlato: Windows Media Player 9 e 10: Windows Media Player 9 e 10

Microsoft Security Advisory Microsoft Security Advisory (892313): Altre informazioni(892313): Altre informazioni

L’aggiornamento modifica la modalità di L’aggiornamento modifica la modalità di acquisizione automatica delle licenzeacquisizione automatica delle licenze Permette agli utenti di specificare se vogliono Permette agli utenti di specificare se vogliono

essere avvisati quando è richiesta una essere avvisati quando è richiesta una licenzalicenza

L’articolo di KB è disponibile al link:L’articolo di KB è disponibile al link: http://support.microsoft.com/kb/892313/ http://support.microsoft.com/kb/892313/

Microsoft Security Advisory Microsoft Security Advisory (842851): Introduzione(842851): Introduzione

Clarification of the SMTP tar pit feature that is Clarification of the SMTP tar pit feature that is provided for Exchange Server 2003 in Windows provided for Exchange Server 2003 in Windows Server 2003 Service Pack 1Server 2003 Service Pack 1

Scopo dell'advisoryScopo dell'advisory: chiarire lo scopo della : chiarire lo scopo della funzionalità tar pitfunzionalità tar pit..

Stato dell'advisoryStato dell'advisory: sono disponibili un articolo : sono disponibili un articolo della Knowledge Base e la funzionalità tar pitdella Knowledge Base e la funzionalità tar pit..

RaccomandazioneRaccomandazione: esaminare gli interventi : esaminare gli interventi consigliati e configurare il sistema in base alle consigliati e configurare il sistema in base alle necessitànecessità..

Software correlatoSoftware correlato: Windows Server 2003 ed : Windows Server 2003 ed Exchange Server 2003Exchange Server 2003

Microsoft Security Advisory Microsoft Security Advisory (842851): Altre informazioni(842851): Altre informazioni

L’aggiornamento aiuta a prevenire L’aggiornamento aiuta a prevenire l’enumerazione degli indirizzi e-mail della l’enumerazione degli indirizzi e-mail della vostra organizzazione Exchangevostra organizzazione Exchange Aggiunge la possibilità di ritardare le risposte Aggiunge la possibilità di ritardare le risposte

di verifica dell’indirizzo SMTP per ogni di verifica dell’indirizzo SMTP per ogni indirizzo invalido indirizzo invalido

L’articolo di KB è disponibile al link:L’articolo di KB è disponibile al link: http://support.microsoft.com/kb/842851/ http://support.microsoft.com/kb/842851/

Malicious Software Removal Malicious Software Removal Tool (Aggiornamento)Tool (Aggiornamento) La quinta emissione del tool aggiunge la capacità di La quinta emissione del tool aggiunge la capacità di

rimozione di altri malware:rimozione di altri malware: Varianti di Sdbot, e Ispro/DelprotVarianti di Sdbot, e Ispro/Delprot

Come sempre è disponibile:Come sempre è disponibile: Come aggiornamento critico su Windows Update o Automatic Come aggiornamento critico su Windows Update o Automatic

Update per gli utenti Windows XPUpdate per gli utenti Windows XP Nota: non distribuibile tramite SUS 1.0Nota: non distribuibile tramite SUS 1.0

Download dal Microsoft Download Center Download dal Microsoft Download Center (www.microsoft.com/downloads) (www.microsoft.com/downloads)

Come controllo ActiveX su www.microsoft.com/malwareremove Come controllo ActiveX su www.microsoft.com/malwareremove

Malicious Software Removal Malicious Software Removal Tool Tool (2)(2)

Nuovi miglioramenti inclusi nella versione di maggio: Nuovi miglioramenti inclusi nella versione di maggio: Si viene avvisati solo se la scansione rileva un’infezione Si viene avvisati solo se la scansione rileva un’infezione (nel (nel

caso di scansione lanciata tramite interazione con Windows Update o caso di scansione lanciata tramite interazione con Windows Update o Automatic Update)Automatic Update)

Viene operato uno scan veloce iniziale, e se viene rilevata la Viene operato uno scan veloce iniziale, e se viene rilevata la presenza di malware si opera una scansione completapresenza di malware si opera una scansione completa

Aggiunta la capacità di rimuovere il malware da file legittimiAggiunta la capacità di rimuovere il malware da file legittimi Chiede conferma se inviare a Microsoft le informazioni raccolte Chiede conferma se inviare a Microsoft le informazioni raccolte

sulle infezionisulle infezioni

Nuove risorse informativeNuove risorse informative MSN Security Alerts:MSN Security Alerts:

Aggiunta una nuova categoria “security” all’ MSN Alerts Aggiunta una nuova categoria “security” all’ MSN Alerts Service:Service: Security bulletin release notificationsSecurity bulletin release notifications Security incident updatesSecurity incident updates

L’utente di MSN Messenger riceve un popup quando è L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazionedisponibile una nuova informazione

www.microsoft.com/security/bulletins/alerts.mspxwww.microsoft.com/security/bulletins/alerts.mspx RSS feed per bollettini di sicurezza a livello consumer:RSS feed per bollettini di sicurezza a livello consumer:

www.microsoft.com/updateswww.microsoft.com/updates MSRC Blog su TechNet:MSRC Blog su TechNet:

Introdotto a febbraio in occasione dell’ RSA ConferenceIntrodotto a febbraio in occasione dell’ RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo Grazie a dei riscontri molto positivi è stato posizionato in modo

permanente su TechNetpermanente su TechNet http://http://blogs.technet.com/msrcblogs.technet.com/msrc

Riepilogo delle risorse per tenersi Riepilogo delle risorse per tenersi informati sui bollettini di sicurezzainformati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security Preavviso sul web nell’area Technet/Security

www.microsoft.com/technet/security/bulletin/advance.mspxwww.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettini e advisory Invio delle notifiche sui bollettini e advisory

http://www.microsoft.com/technet/security/bulletin/notify.mspxhttp://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification ServiceMicrosoft Security Notification Service MS Security Notification Service: Comprehensive VersionMS Security Notification Service: Comprehensive Version

Modificate il vostro profilo Passport iscrivendovi alle newsletter con il Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicatotitolo indicato

Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin FeedRSS Security Bulletin Feed

http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspxhttp://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx

Ricerca di un bollettinoRicerca di un bollettino www.microsoft.com/technet/security/current.aspxwww.microsoft.com/technet/security/current.aspx

Ricerca di un advisoryRicerca di un advisory www.microsoft.com/technet/security/advisory www.microsoft.com/technet/security/advisory

Webcast di approfondimentoWebcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx

Risorse utiliRisorse utili Sito Sicurezza Sito Sicurezza

IngleseInglesehttp://www.microsoft.com/security/default.mspxhttp://www.microsoft.com/security/default.mspx

ItalianoItalianohttp://www.microsoft.com/italy/security/default.mspxhttp://www.microsoft.com/italy/security/default.mspx

Security Guidance CenterSecurity Guidance Center IngleseInglese

www.microsoft.com/security/guidancewww.microsoft.com/security/guidance ItalianoItaliano

www.microsoft.com/italy/security/guidancewww.microsoft.com/italy/security/guidance Security Newsletter Security Newsletter

www.microsoft.com/technet/security/secnews/default.mspxwww.microsoft.com/technet/security/secnews/default.mspx Windows XP Service Pack 2 Windows XP Service Pack 2

www.microsoft.com/technet/winxpsp2www.microsoft.com/technet/winxpsp2 Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspxservicepack/default.mspx

Prossimi EventiProssimi Eventi

Registratevi per i prossimi Webcast di Registratevi per i prossimi Webcast di approfondimento sui Security Bulletinapprofondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese Ogni venerdì successivo al 2° martedì di ogni mese

(prossimo: 17 giugno 2005)(prossimo: 17 giugno 2005) http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati:Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspxhttp://www.microsoft.com/italy/technet/community/webcast/passati.mspx

www.microsoft.com/security360www.microsoft.com/security360 Managing Access in the Extended EnterpriseManaging Access in the Extended Enterprise

17 maggio17 maggio