Embed Size (px)
Citation preview
Approfondimenti sui Approfondimenti sui Microsoft Security Bulletin Microsoft Security Bulletin novembre 2005novembre 2005
Feliciano Intini, Feliciano Intini, CISSP-ISSAP, MCSECISSP-ISSAP, MCSE
Premier Center Premier Center for Securityfor Security - Microsoft Services - Microsoft ServicesItaliaItalia
AgendaAgenda Emissione di Sicurezza di novembre 2005Emissione di Sicurezza di novembre 2005
Bollettini di SicurezzaBollettini di Sicurezza Nuovi: MS05-053Nuovi: MS05-053 Ulteriori informazioni sul bollettino MS05-051 di ottobreUlteriori informazioni sul bollettino MS05-051 di ottobre
Aggiornamenti critici di tipo Non-SecurityAggiornamenti critici di tipo Non-Security Malicious Software Removal Tools di novembreMalicious Software Removal Tools di novembre
Prossimo supporto S/MIME per le Prossimo supporto S/MIME per le comunicazioni di sicurezzacomunicazioni di sicurezza
Risorse ed EventiRisorse ed Eventi
MAXIMUM MAXIMUM SEVERITYSEVERITY
BULLETIN BULLETIN NUMBERNUMBER PRODUCTS AFFECTEDPRODUCTS AFFECTED IMPACTIMPACT
CriticalCritical MS05-053MS05-053 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution
Bollettini di SicurezzaBollettini di Sicurezzanovembre 2005novembre 2005
MS05-053: IntroduzioneMS05-053: Introduzione
Vulnerabilities in Graphics Rendering Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution Engine Could Allow Code Execution (896424)(896424)
Livello di gravità massimoLivello di gravità massimo: Critico: Critico Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità::
Tutte le versioni di Windows attualmente Tutte le versioni di Windows attualmente supportate tranne:supportate tranne: Windows 98, Windows 98 SE, Windows MEWindows 98, Windows 98 SE, Windows ME
MS05-053: Analisi di rischioMS05-053: Analisi di rischio
Vulnerability
Graphics Rendering Engine
Vulnerability
Windows Metafile Vulnerability
Enhanced Metafile
Vulnerability
Maximum Severity Critical Critical Moderate
Vulnerability EffectsRemote Code
ExecRemote Code
ExecDenial of Service
Remote Exploitable? Y Y Y
Authenticated attack? N N N
Privilege exploitable LocalSystem LocalSystem N-None (DoS)
Workaround? Not for all vectors Not for all vectors Not for all vectors
CAN/CVE Vuln. Identifier CAN-2005-2123 CAN-2005-2124 CAN-2005-0803
Vuln. was already public No No Yes
Exploit/Poc already present No No No
Main attack vector Image Image Image
Windows Server 2003 SP1 Y-Critical N-None N-None
Windows Server 2003 Y-Critical Y-Critical Y-ModerateWindows Server 2003 x64 Edition Y-Critical N-None N-NoneWindows Server 2003 with SP1 for Itanium-based Systems Y-Critical N-None N-NoneWindows Server 2003 for Itanium-based Systems Y-Critical Y-Critical Y-Moderate
Windows 2000 Server SP4 Y-Critical Y-Critical Y-Moderate
Windows XP SP2 Y-Critical N-None N-None
Windows XP SP1 Y-Critical Y-Critical Y-ModerateWindows XP Pro x64 Edition Y-Critical N-None N-None
Windows 2000 Pro SP4 Y-Critical Y-Critical Y-Moderate
Windows 98, 98SE, ME N-None N-None N-None
MS05-053 Windows (Graphics Rendering Engine)
MS05-053: Analisi di rischioMS05-053: Analisi di rischio Graphics Rendering Engine Vulnerability - CAN-Graphics Rendering Engine Vulnerability - CAN-
2005-21232005-2123 Unchecked buffer nel rendering dei formati WMF ed Unchecked buffer nel rendering dei formati WMF ed
EMFEMF
Effetti della vulnerabilità:Effetti della vulnerabilità: Remote Code ExecutionRemote Code Execution
Modalità di attaccoModalità di attacco Eseguibile da remoto: SIEseguibile da remoto: SI
Tutte le modalità che inducono alla visualizzazione di una Tutte le modalità che inducono alla visualizzazione di una immagineimmagine
Attacco autenticato: NOAttacco autenticato: NO Privilegi ottenibili: Local SystemPrivilegi ottenibili: Local System
MS05-053: Analisi di rischioMS05-053: Analisi di rischio Windows Metafile Vulnerability - CAN-2005-2124Windows Metafile Vulnerability - CAN-2005-2124
Unchecked buffer nel rendering del formato WMF Unchecked buffer nel rendering del formato WMF
Effetti della vulnerabilità:Effetti della vulnerabilità: Remote Code ExecutionRemote Code Execution
Modalità di attaccoModalità di attacco Eseguibile da remoto: SIEseguibile da remoto: SI
Tutte le modalità che inducono alla visualizzazione di una Tutte le modalità che inducono alla visualizzazione di una immagineimmagine
Attacco autenticato: NOAttacco autenticato: NO Privilegi ottenibili: Local SystemPrivilegi ottenibili: Local System
MS05-053: Analisi di rischioMS05-053: Analisi di rischio Enhanced Metafile Vulnerability - CAN-2005-0803Enhanced Metafile Vulnerability - CAN-2005-0803
Unchecked buffer nel rendering del formato EMFUnchecked buffer nel rendering del formato EMF
Effetti della vulnerabilità:Effetti della vulnerabilità: Denial of ServiceDenial of Service
Modalità di attaccoModalità di attacco Eseguibile da remoto: SIEseguibile da remoto: SI
Tutte le modalità che inducono alla visualizzazione di una Tutte le modalità che inducono alla visualizzazione di una immagineimmagine
Attacco autenticato: NOAttacco autenticato: NO Privilegi ottenibili: nessuno (DoS)Privilegi ottenibili: nessuno (DoS)
MS05-035: Fattori mitigantiMS05-035: Fattori mitiganti Per tutte le 3 vulnerabilitàPer tutte le 3 vulnerabilità
Fattori mitigantiFattori mitiganti E’ necessario indurre l’utente a visualizzare E’ necessario indurre l’utente a visualizzare
l’immagine artefatta per realizzare l’attaccol’immagine artefatta per realizzare l’attacco Soluzioni alternativeSoluzioni alternative
Leggere le e-mail in formato solo testoLeggere le e-mail in formato solo testo
Strumenti per il rilevamento e il Strumenti per il rilevamento e il deploymentdeployment
Security update
BulletinWindows Update
Microsoft Update
MBSA 1.2.1
MBSA 2.0 SUS WSUS
SMS 2003, SMS 2.0 with the
SUS Feature Pack
SMS 2003 SP1 with the I TMU
Detect and deploy
Detect and deploy Detect only Detect only
Detect and deploy
Detect and deploy
Detect and deploy
Detect and deploy
896424 MS05-053 Yes Yes Yes Yes Yes Yes Yes Yes
Note di DeploymentNote di Deployment
Informazioni sul restart, la disinstallazione e Informazioni sul restart, la disinstallazione e le patch sostituite:le patch sostituite:
BulletinBulletin RestartRestart UninstallUninstall ReplacesReplaces On productsOn products
MS05-053MS05-053 YesYes YesYes MS03-045MS03-045
MS05-002MS05-002
Windows XPSP1Windows XPSP1
Ulteriori informazioni sul bollettino Ulteriori informazioni sul bollettino MS05-051 di ottobreMS05-051 di ottobre Si potrebbero manifestare alcuni Si potrebbero manifestare alcuni
malfunzionamenti dopo l’installazione del malfunzionamenti dopo l’installazione del bollettino MS05-051 bollettino MS05-051 Comportamenti inattesi nelle applicazioni che utilizzano Comportamenti inattesi nelle applicazioni che utilizzano
oggetti COM oggetti COM Se sono state modificate le Access Control List (ACL) Se sono state modificate le Access Control List (ACL)
predefinite su %Windir%/Registrationpredefinite su %Windir%/Registration
La problematica è documentata in La problematica è documentata in Microsoft Security Advisory (909444)Microsoft Security Advisory (909444) Microsoft Knowledge Base Article 909444Microsoft Knowledge Base Article 909444
Approccio consigliato:Approccio consigliato: Prima assicurarsi che le ACL su %Windir%/Registration Prima assicurarsi che le ACL su %Windir%/Registration
corrispondano a quelle indicate nell’articolo KB 909444corrispondano a quelle indicate nell’articolo KB 909444 Successivamente applicare la patch MS05-051Successivamente applicare la patch MS05-051
Emissione di novembre 2005Emissione di novembre 2005Aggiornamenti critici Non-SecurityAggiornamenti critici Non-Security
NUMBERNUMBER TITLETITLE DistributionDistribution
KB887624KB887624 Windows SharePoint Services Language Template Windows SharePoint Services Language Template Pack Service Pack 2Pack Service Pack 2
WU/MUWU/MU
KB907492KB907492 Outlook 2003 Junk E-mail Filter update: November Outlook 2003 Junk E-mail Filter update: November 20052005
MUMU
KB907417KB907417 Update for Office 2003Update for Office 2003
L’aggiornamento corregge un potenziale malfunzionamento tale da impedire il caricamento di un “add-in”, uno “smart tag”, o uno “smart document” se questi utilizzano il Microsoft .NET Framework 2.0
MUMU
Malicious Software Removal Malicious Software Removal Tool (Aggiornamento)Tool (Aggiornamento) La 11a emissione del tool aggiunge la capacità di rimozione di altri La 11a emissione del tool aggiunge la capacità di rimozione di altri
malware:malware: Win32/BugbearWin32/Bugbear Win32/CodbotWin32/Codbot Win32/MabutuWin32/Mabutu Win32/OpaservWin32/Opaserv Win32/SwenWin32/Swen
Come sempre è disponibile:Come sempre è disponibile: Come aggiornamento critico su Windows Update e Microsoft Update per gli Come aggiornamento critico su Windows Update e Microsoft Update per gli
utenti Windows XPutenti Windows XP Nota: distribuile tramite WSUS, e NON tramite SUS 1.0Nota: distribuile tramite WSUS, e NON tramite SUS 1.0
Download dal Microsoft Download Center (www.microsoft.com/downloads) Download dal Microsoft Download Center (www.microsoft.com/downloads)
Come controllo ActiveX su www.microsoft.com/malwareremove Come controllo ActiveX su www.microsoft.com/malwareremove
Prossimo supporto S/MIME per Prossimo supporto S/MIME per le comunicazioni di sicurezzale comunicazioni di sicurezza A partire dal 2006, Microsoft modificherà da A partire dal 2006, Microsoft modificherà da
PGP a S/MIME la modalità di firma digitale PGP a S/MIME la modalità di firma digitale utilizzata per le comunicazioni di sicurezza:utilizzata per le comunicazioni di sicurezza: verifica semplificata da parte dei clienti verifica semplificata da parte dei clienti
modalità supportata by default su Outlook Express, modalità supportata by default su Outlook Express, Microsoft Outlook, e molti altri programmi di posta di Microsoft Outlook, e molti altri programmi di posta di terze partiterze parti
Non vi è alcuna azione richiesta ai clienti in questo Non vi è alcuna azione richiesta ai clienti in questo momentomomento
Prossimo supporto S/MIME per Prossimo supporto S/MIME per le comunicazioni di sicurezza (2)le comunicazioni di sicurezza (2) Si userà una Microsoft Root Certificate AuthoritySi userà una Microsoft Root Certificate Authority
Serial number 00c1008b3c3c8811d13ef663ecdf40Serial number 00c1008b3c3c8811d13ef663ecdf40
Tale certificato è già presente sui sistemi Windows 2000, Windows XP, Tale certificato è già presente sui sistemi Windows 2000, Windows XP, Windows Server 2003 (e non deve essere rimosso, come indicato Windows Server 2003 (e non deve essere rimosso, come indicato nell’articolo 293781 della Microsoft Knowledge Base)nell’articolo 293781 della Microsoft Knowledge Base)
Può essere richiesto al link:Può essere richiesto al link: https://www.microsoft.com/pki/certs/MicrosoftProductRootAuthority.crthttps://www.microsoft.com/pki/certs/MicrosoftProductRootAuthority.crt
Per ulteriori dettagli su S/MIME:Per ulteriori dettagli su S/MIME: Capitolo 1 della “Exchange Server 2003 Message Security Capitolo 1 della “Exchange Server 2003 Message Security
Guide” Guide” ““Understanding Message Security”Understanding Message Security” http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exmessec.mspxhttp://www.microsoft.com/technet/prodtechnol/exchange/2003/library/exmessec.mspx
Nuove risorse informativeNuove risorse informative MSN Security Alerts:MSN Security Alerts:
Aggiunta una nuova categoria “security” all’ MSN Alerts Aggiunta una nuova categoria “security” all’ MSN Alerts Service:Service: Security bulletin release notificationsSecurity bulletin release notifications Security incident updatesSecurity incident updates
L’utente di MSN Messenger riceve un popup quando è L’utente di MSN Messenger riceve un popup quando è disponibile una nuova informazionedisponibile una nuova informazione
www.microsoft.com/security/bulletins/alerts.mspxwww.microsoft.com/security/bulletins/alerts.mspx RSS feed per bollettini di sicurezza a livello consumer:RSS feed per bollettini di sicurezza a livello consumer:
www.microsoft.com/updateswww.microsoft.com/updates MSRC Blog su TechNet:MSRC Blog su TechNet:
Introdotto a febbraio in occasione dell’ RSA ConferenceIntrodotto a febbraio in occasione dell’ RSA Conference Grazie a dei riscontri molto positivi è stato posizionato in modo Grazie a dei riscontri molto positivi è stato posizionato in modo
permanente su TechNetpermanente su TechNet http://blogs.technet.com/msrchttp://blogs.technet.com/msrc
Riepilogo delle risorse per tenersi Riepilogo delle risorse per tenersi informati sui bollettini di sicurezzainformati sui bollettini di sicurezza Preavviso sul web nell’area Technet/Security Preavviso sul web nell’area Technet/Security
www.microsoft.com/technet/security/bulletin/advance.mspxwww.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettini e advisory Invio delle notifiche sui bollettini e advisory
http://www.microsoft.com/technet/security/bulletin/notify.mspxhttp://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification ServiceMicrosoft Security Notification Service MS Security Notification Service: Comprehensive VersionMS Security Notification Service: Comprehensive Version
Modificate il vostro profilo Passport iscrivendovi alle newsletter con il Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicatotitolo indicato
Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin FeedRSS Security Bulletin Feed
http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspxhttp://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx
Ricerca di un bollettinoRicerca di un bollettino www.microsoft.com/technet/security/current.aspxwww.microsoft.com/technet/security/current.aspx
Ricerca di un advisoryRicerca di un advisory www.microsoft.com/technet/security/advisory www.microsoft.com/technet/security/advisory
Webcast di approfondimentoWebcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx
Risorse utiliRisorse utili Sito Sicurezza Sito Sicurezza
IngleseInglesehttp://www.microsoft.com/security/default.mspxhttp://www.microsoft.com/security/default.mspx
ItalianoItalianohttp://www.microsoft.com/italy/security/default.mspxhttp://www.microsoft.com/italy/security/default.mspx
Security Guidance CenterSecurity Guidance Center IngleseInglese
www.microsoft.com/security/guidancewww.microsoft.com/security/guidance ItalianoItaliano
www.microsoft.com/italy/security/guidancewww.microsoft.com/italy/security/guidance Security Newsletter Security Newsletter
www.microsoft.com/technet/security/secnews/default.mspxwww.microsoft.com/technet/security/secnews/default.mspx Windows XP Service Pack 2 Windows XP Service Pack 2
www.microsoft.com/technet/winxpsp2www.microsoft.com/technet/winxpsp2 Windows Server 2003 Service Pack 1Windows Server 2003 Service Pack 1
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/servicepack/default.mspxservicepack/default.mspx
Prossimi EventiProssimi Eventi
Registratevi per i prossimi Webcast di Registratevi per i prossimi Webcast di approfondimento sui Security Bulletinapprofondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese: Ogni venerdì successivo al 2° martedì di ogni mese: il prossimo si terrà il 16 dicembreil prossimo si terrà il 16 dicembre http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati:Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspxhttp://www.microsoft.com/italy/technet/community/webcast/passati.mspx
Microsoft “Security360”: 15 novembreMicrosoft “Security360”: 15 novembre Argomento: Argomento: Integrating the Edge in Network SecurityIntegrating the Edge in Network Security
Come far connettere i sistemi non gestiti alla rete aziendale in modo Come far connettere i sistemi non gestiti alla rete aziendale in modo sicurosicuro
Soluzioni attuali e futureSoluzioni attuali e future
www.microsoft.com/security360www.microsoft.com/security360
