Approfondimenti Approfondimenti sui sui

MicrosoftMicrosoftSecurity Bulletin Security Bulletin

di aprile 2004di aprile 2004

16 aprile 2004 16 aprile 2004

Feliciano Intini, Feliciano Intini, CISSPCISSP

Security Support ConsultantSecurity Support ConsultantMicrosoft Services – ItaliaMicrosoft Services – Italia

AgendaAgenda

Security Bulletin di aprile 2004:Security Bulletin di aprile 2004: MS04-011 : Windows - CriticoMS04-011 : Windows - Critico MS04-012 : RPC/DCOM - CriticoMS04-012 : RPC/DCOM - Critico MS04-013 : Outlook Express – CriticoMS04-013 : Outlook Express – Critico MS04-014 : JET Database Engine - ImportanteMS04-014 : JET Database Engine - Importante

Risorse utili ed EventiRisorse utili ed Eventi

Domande e risposteDomande e risposte

MS04-011: IntroduzioneMS04-011: Introduzione Aggiornamento per la protezione di Aggiornamento per la protezione di

Microsoft Windows (835732)Microsoft Windows (835732) Effetti delle vulnerabilità più gravi: esecuzione Effetti delle vulnerabilità più gravi: esecuzione

di codice in modalità remotadi codice in modalità remota

Software interessatoSoftware interessato Windows NT 4.0, Windows 2000, Windows XP, Windows NT 4.0, Windows 2000, Windows XP,

Windows Server 2003, NetmeetingWindows Server 2003, Netmeeting (Windows 98, Windows 98 SE, Windows ME)*(Windows 98, Windows 98 SE, Windows ME)*

Livello di gravità massimo: CriticoLivello di gravità massimo: Critico Non critico per Windows 98, Windows 98 SE, Non critico per Windows 98, Windows 98 SE,

Windows MEWindows ME

(*) Supporto solo per security patch critiche(*) Supporto solo per security patch critiche

MS04-011: Comprendere le MS04-011: Comprendere le VulnerabilitàVulnerabilità

14 vulnerabilità di cui 8 con effetto “Remote Code 14 vulnerabilità di cui 8 con effetto “Remote Code Execution”, 4 con “Privilege Elevation”, 2 con “Denial of Execution”, 4 con “Privilege Elevation”, 2 con “Denial of Service”: Service”: LSASS Vulnerability - CAN-2003-0533LSASS Vulnerability - CAN-2003-0533LDAP Vulnerability – CAN-2003-0663LDAP Vulnerability – CAN-2003-0663PCT Vulnerability - CAN-2003-0719PCT Vulnerability - CAN-2003-0719Winlogon Vulnerability - CAN-2003-0806Winlogon Vulnerability - CAN-2003-0806Metafile Vulnerability - CAN-2003-0906Metafile Vulnerability - CAN-2003-0906Help and Support Center Vulnerability - CAN-2003-0907Help and Support Center Vulnerability - CAN-2003-0907Utility Manager Vulnerability - CAN-2003-0908Utility Manager Vulnerability - CAN-2003-0908Windows Management Vulnerability - CAN-2003-0909Windows Management Vulnerability - CAN-2003-0909Local Descriptor Table Vulnerability - CAN-2003-0910Local Descriptor Table Vulnerability - CAN-2003-0910H.323 Vulnerability* - CAN-2004-0117H.323 Vulnerability* - CAN-2004-0117Virtual DOS Machine Vulnerability - CAN-2004-0118Virtual DOS Machine Vulnerability - CAN-2004-0118Negotiate SSP Vulnerability - CAN-2004-0119Negotiate SSP Vulnerability - CAN-2004-0119SSL Vulnerability - CAN-2004-0120SSL Vulnerability - CAN-2004-0120ASN.1 “Double Free” Vulnerability - CAN-2004-0123 ASN.1 “Double Free” Vulnerability - CAN-2004-0123

MS04-011: Comprendere le MS04-011: Comprendere le VulnerabilitàVulnerabilità

Modalità di attacco: nel caso peggioreModalità di attacco: nel caso peggiore eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli di SYSTEMprivilegi ottenibili: quelli di SYSTEM

comunque:comunque: Non tutte le vulnerabilità si possono sfruttare Non tutte le vulnerabilità si possono sfruttare

da remotoda remoto Non tutte le vulnerabilità si possono sfruttare Non tutte le vulnerabilità si possono sfruttare

senza credenziali validesenza credenziali valide Non tutte le vulnerabilità permettono di Non tutte le vulnerabilità permettono di

ottenere i massimi privilegi sui sistemi sotto ottenere i massimi privilegi sui sistemi sotto attaccoattacco

MS04-011: Fattori attenuantiMS04-011: Fattori attenuanti

Fattori attenuantiFattori attenuanti le vulnerabilità non sono presenti su tutte le le vulnerabilità non sono presenti su tutte le

piattaforme e la loro criticità varia a seconda piattaforme e la loro criticità varia a seconda della piattaforma: della piattaforma: in ordine decrescente di impatto:in ordine decrescente di impatto:

Windows 2000, Windows XP, Windows NT, Windows 2000, Windows XP, Windows NT, Windows Server 2003Windows Server 2003

L’opportuna segregazione della rete aziendale L’opportuna segregazione della rete aziendale da parte di connessioni Internet su porte da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il esposte dai servizi vulnerabili può ridurre il rischio di attacco dall’esterno diretto verso rischio di attacco dall’esterno diretto verso specifiche vulnerabilitàspecifiche vulnerabilità

MS04-011: Soluzioni alternativeMS04-011: Soluzioni alternative Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137,

138, 445 e TCP 135, 139, 445, 593 e altre per RPC 138, 445 e TCP 135, 139, 445, 593 e altre per RPC esplicitamente configurateesplicitamente configurate

Blocco delle porte LDAP: TCP 389, 636, 3268, 3269Blocco delle porte LDAP: TCP 389, 636, 3268, 3269 Disabilitare il supporto PCT da registryDisabilitare il supporto PCT da registry Limitare gli utenti con credenziali in grado di Limitare gli utenti con credenziali in grado di

modificare le proprietà degli User Account in ADmodificare le proprietà degli User Account in AD Leggere mail in formato solo testoLeggere mail in formato solo testo Deregistrare il protocollo HCP da registryDeregistrare il protocollo HCP da registry Disabilitare Utility ManagerDisabilitare Utility Manager Cancellare il provider WMI vulnerabileCancellare il provider WMI vulnerabile Blocco delle porte Netmeeting: TCP 1720 e 1503Blocco delle porte Netmeeting: TCP 1720 e 1503 Disabilitare la Windows Integrated Authentication o il Disabilitare la Windows Integrated Authentication o il

Negotiate SSPNegotiate SSP Blocco delle porte SSL: TCP 443 e 636Blocco delle porte SSL: TCP 443 e 636

MS04-011: Modifiche di MS04-011: Modifiche di funzionalitàfunzionalità I file con estensione .folder non sono più I file con estensione .folder non sono più

associati alle cartelle e visualizzati come taliassociati alle cartelle e visualizzati come tali L’aggiornamento disabilita il protocollo PCTL’aggiornamento disabilita il protocollo PCT Trigger di tipo event-based:Trigger di tipo event-based:

Non è più possibile creare trigger event-based con Non è più possibile creare trigger event-based con il tool Eventtriggers.exe senza fornire delle il tool Eventtriggers.exe senza fornire delle credenziali valide. credenziali valide.

Per creare tali tipi di trigger ora è necessario che il Per creare tali tipi di trigger ora è necessario che il servizio di Task Scheduler sia attivo servizio di Task Scheduler sia attivo

Non si possono creare più di 1000 trigger di Non si possono creare più di 1000 trigger di questo tipoquesto tipo

Sono stati rafforzati i permessi su tali triggerSono stati rafforzati i permessi su tali trigger

MS04-011: Note sulla patchMS04-011: Note sulla patch RilevamentoRilevamento

MBSA 1.2 (tranne per Windows NT 4.0, la MBSA 1.2 (tranne per Windows NT 4.0, la versione stand-alone di Netmeeting e quelle versione stand-alone di Netmeeting e quelle incluse in Windows 2000, Windows XP e incluse in Windows 2000, Windows XP e Windows Server 2003)Windows Server 2003)

Netmeeting (versione stand-alone): la Netmeeting (versione stand-alone): la versione aggiornata è la 3.01 (4.4.3399)versione aggiornata è la 3.01 (4.4.3399)

Deployment: Deployment: SUS: SìSUS: Sì SMS: Sì (Windows NT 4.0 non rilevato)SMS: Sì (Windows NT 4.0 non rilevato)

Reboot: SìReboot: Sì Possibilità di disinstallare: SìPossibilità di disinstallare: Sì

MS04-012: IntroduzioneMS04-012: Introduzione Aggiornamento cumulativo per Microsoft Aggiornamento cumulativo per Microsoft

RPC/DCOM (828741)RPC/DCOM (828741) Effetti della vulnerabilità più grave: Effetti della vulnerabilità più grave:

esecuzione di codice in modalità remotaesecuzione di codice in modalità remota

Software interessatoSoftware interessato Windows NT 4.0, Windows 2000, Windows XP, Windows NT 4.0, Windows 2000, Windows XP,

Windows Server 2003Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)*(Windows 98, Windows 98 SE, Windows ME)*

Livello di gravità massimo: CriticoLivello di gravità massimo: Critico Bassa criticità per Windows NT 4.0Bassa criticità per Windows NT 4.0 Non critico per Windows 98, Windows 98 SE, Non critico per Windows 98, Windows 98 SE,

Windows MEWindows ME

(*) Supporto solo per security patch critiche(*) Supporto solo per security patch critiche

MS04-012: Comprendere le MS04-012: Comprendere le VulnerabilitàVulnerabilità 4 vulnerabilità di cui 4 vulnerabilità di cui

1 con effetto “Remote Code Execution” 1 con effetto “Remote Code Execution” 1 con “Information Disclosure”1 con “Information Disclosure”2 con “Denial of Service”2 con “Denial of Service”

RPC Runtime Library Vulnerability - CAN-2003-0813RPC Runtime Library Vulnerability - CAN-2003-0813RPCSS Service Vulnerability - CAN-2004-0116RPCSS Service Vulnerability - CAN-2004-0116COM Internet Services (CIS) – RPC over HTTP COM Internet Services (CIS) – RPC over HTTP Vulnerability - CAN-2003-0807Vulnerability - CAN-2003-0807Object Identity Vulnerability - CAN-2004-0124Object Identity Vulnerability - CAN-2004-0124

MS04-012: Comprendere le MS04-012: Comprendere le VulnerabilitàVulnerabilità Modalità di attacco: nel caso peggioreModalità di attacco: nel caso peggiore

eseguibile da remoto eseguibile da remoto non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli di SYSTEMprivilegi ottenibili: quelli di SYSTEM

MS04-012: Soluzioni alternativeMS04-012: Soluzioni alternative

Blocco delle porte NetBIOS/RPC/SMB: Blocco delle porte NetBIOS/RPC/SMB: UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per UDP 135, 137, 138, 445 e TCP 135, 139, 445, 593 e altre per

RPC esplicitamente configurateRPC esplicitamente configurate

Blocco delle porte HTTP (TCP 80 e 443) se presente il Blocco delle porte HTTP (TCP 80 e 443) se presente il componente CIS o “RPC over HTTP”componente CIS o “RPC over HTTP”

Disabilitare DCOMDisabilitare DCOM Disabilitare il componente CIS o “RPC over HTTP” se Disabilitare il componente CIS o “RPC over HTTP” se

presenti e non utilizzatipresenti e non utilizzati

MS04-012: Fattori attenuantiMS04-012: Fattori attenuanti

Fattori attenuantiFattori attenuanti L’opportuna segregazione della rete aziendale L’opportuna segregazione della rete aziendale

da parte di connessioni Internet su porte da parte di connessioni Internet su porte esposte dai servizi vulnerabili può ridurre il esposte dai servizi vulnerabili può ridurre il rischio di attacco dall’esterno diretto verso rischio di attacco dall’esterno diretto verso specifiche vulnerabilitàspecifiche vulnerabilità

Solo una vulnerabilità permetterebbe la Solo una vulnerabilità permetterebbe la compromissione del sistemacompromissione del sistema

Windows NT 4.0 non è interessato dalla Windows NT 4.0 non è interessato dalla vulnerabilità più grave. vulnerabilità più grave.

MS04-012: Note sulla patchMS04-012: Note sulla patch RilevamentoRilevamento

MBSA 1.2: SìMBSA 1.2: Sì

Deployment: Deployment: SUS: SìSUS: Sì SMS: SìSMS: Sì

Reboot: SìReboot: Sì Possibilità di disinstallare: SìPossibilità di disinstallare: Sì

MS04-013: IntroduzioneMS04-013: Introduzione Aggiornamento cumulativo per la Aggiornamento cumulativo per la

protezione di Outlook Express (837009)protezione di Outlook Express (837009) Effetti della vulnerabilità: esecuzione di Effetti della vulnerabilità: esecuzione di

codice in modalità remotacodice in modalità remota

Software interessatoSoftware interessato Windows NT 4.0, Windows 2000, Windows XP, Windows NT 4.0, Windows 2000, Windows XP,

Windows Server 2003Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)*(Windows 98, Windows 98 SE, Windows ME)*

Componenti interessatiComponenti interessati Outlook Express 5.5 SP2, 6.0, 6.0 SP1 Outlook Express 5.5 SP2, 6.0, 6.0 SP1

Livello di gravità: CriticoLivello di gravità: Critico

(*) Supporto solo per security patch critiche(*) Supporto solo per security patch critiche

MS04-013: Comprendere le MS04-013: Comprendere le VulnerabilitàVulnerabilità Vulnerabilità: MHTML URL Processing Vulnerabilità: MHTML URL Processing

Vulnerability - CAN-2004-0380Vulnerability - CAN-2004-0380 Consiste in un difetto della gestione di URL Consiste in un difetto della gestione di URL

MHTML in grado di far eseguire codice non MHTML in grado di far eseguire codice non autorizzato nel contesto di sicurezza autorizzato nel contesto di sicurezza dell’utente loggatodell’utente loggato

Modalità di attacco:Modalità di attacco: eseguibile da remoto (mail HTML o eseguibile da remoto (mail HTML o

navigazione su siti non sicuri)navigazione su siti non sicuri) non richiede autenticazione non richiede autenticazione privilegi ottenibili: quelli dell’utente loggatoprivilegi ottenibili: quelli dell’utente loggato

MS04-013: Fattori attenuantiMS04-013: Fattori attenuanti Fattori attenuantiFattori attenuanti

l’attacker deve ospitare un sito Web sotto il suo l’attacker deve ospitare un sito Web sotto il suo controllo e convincere l’utente a visitarlo per poter controllo e convincere l’utente a visitarlo per poter sfruttare queste vulnerabilitàsfruttare queste vulnerabilità

Per l’attack vector via-email: l’apertura di e-mail Per l’attack vector via-email: l’apertura di e-mail HTML nella Restricted Site security zone riduce il HTML nella Restricted Site security zone riduce il rischio (Outlook Express 6.0, Outlook 2002 e rischio (Outlook Express 6.0, Outlook 2002 e Outlook 2003 protetti by-default; Outlook 98/2000 Outlook 2003 protetti by-default; Outlook 98/2000 se hanno installato l’Outlook E-mail Security se hanno installato l’Outlook E-mail Security Update), ma non difende dal rischio risultante Update), ma non difende dal rischio risultante dall’esplicita volontà dell’utente di cliccare su un dall’esplicita volontà dell’utente di cliccare su un link maliziosolink malizioso

l’eventuale attacco ha le credenziali dell’utente l’eventuale attacco ha le credenziali dell’utente che lo ha subitoche lo ha subito. .

MS04-013: Soluzioni alternativeMS04-013: Soluzioni alternative

Rafforzare le impostazioni di sicurezza Rafforzare le impostazioni di sicurezza della Local Machine zone (impatto sulle della Local Machine zone (impatto sulle funzionalità di sistema)funzionalità di sistema)

Installazione di Outlook E-mail Security Installazione di Outlook E-mail Security Update per le versioni non protette by-Update per le versioni non protette by-defaultdefault

Leggere le mail in formato solo testo per Leggere le mail in formato solo testo per le versioni di Outlook che supportano le versioni di Outlook che supportano questa funzionalità questa funzionalità

MS04-013: Note sulla patchMS04-013: Note sulla patch RilevamentoRilevamento

MBSA 1.2: NOMBSA 1.2: NO Windows Update: SìWindows Update: Sì

Deployment:Deployment: SUS: SìSUS: Sì SMS: Sì (ma non rileva l’assenza della patch)SMS: Sì (ma non rileva l’assenza della patch)

Reboot: Può essere richiestoReboot: Può essere richiesto PossPossibilità di disinstallare: Sìibilità di disinstallare: Sì

MS04-014: IntroduzioneMS04-014: Introduzione Una vulnerabilità nel motore di database Una vulnerabilità nel motore di database

Microsoft Jet può consentire l'esecuzione di Microsoft Jet può consentire l'esecuzione di codice (837001)codice (837001) Effetti della vulnerabilità: esecuzione di codice in Effetti della vulnerabilità: esecuzione di codice in

modalità remotamodalità remota

Software interessatoSoftware interessato Windows NT 4.0, Windows 2000, Windows XP, Windows NT 4.0, Windows 2000, Windows XP,

Windows Server 2003Windows Server 2003 (Windows 98, Windows 98 SE, Windows ME)*(Windows 98, Windows 98 SE, Windows ME)*

Componenti interessatiComponenti interessati Microsoft Jet Database Engine 4.0 Microsoft Jet Database Engine 4.0

Livello di gravità massima: ImportanteLivello di gravità massima: Importante Windows NT 4.0: ModerataWindows NT 4.0: Moderata

(*) Supporto solo per security patch critiche(*) Supporto solo per security patch critiche

MS04-014: Comprendere le MS04-014: Comprendere le VulnerabilitàVulnerabilità Vulnerabilità: Jet Vulnerability - CAN-2004-0197Vulnerabilità: Jet Vulnerability - CAN-2004-0197

Consiste in un buffer overrun del componente Jet Database Consiste in un buffer overrun del componente Jet Database Engine e permetterebbe ad un attacker in grado di inviare Engine e permetterebbe ad un attacker in grado di inviare una query malformata al database di far eseguire codice non una query malformata al database di far eseguire codice non autorizzato nel contesto di sicurezza dell’applicazione che autorizzato nel contesto di sicurezza dell’applicazione che utilizza JETutilizza JET

Modalità di attacco:Modalità di attacco: eseguibile da remotoeseguibile da remoto non richiede autenticazionenon richiede autenticazione privilegi ottenibili: quelli dell’applicazione che privilegi ottenibili: quelli dell’applicazione che

utilizza JETutilizza JET

MS04-014: Fattori attenuantiMS04-014: Fattori attenuanti

Fattori attenuantiFattori attenuanti Per i sistemi Windows NT 4.0 la criticità è Per i sistemi Windows NT 4.0 la criticità è

Moderata poiché Jet non è installato di Moderata poiché Jet non è installato di default, anche se può essere aggiunto da default, anche se può essere aggiunto da diversi applicativi (Office 2000, Visual Studio, diversi applicativi (Office 2000, Visual Studio, MDAC, Visio, Sharepoint Portal Server...)MDAC, Visio, Sharepoint Portal Server...)

L’uso di applicazioni che realizzano una forte L’uso di applicazioni che realizzano una forte validazione dei dati in ingresso limita il rischiovalidazione dei dati in ingresso limita il rischio

L’eventuale attacco ha le credenziali L’eventuale attacco ha le credenziali dell’applicazione che interagisce con JETdell’applicazione che interagisce con JET

Soluzioni alternative: nessunaSoluzioni alternative: nessuna

MS04-014: Note sulla patchMS04-014: Note sulla patch RilevamentoRilevamento

MBSA 1.2: SìMBSA 1.2: Sì Verifica della presenza del file MsJet40.dll: la Verifica della presenza del file MsJet40.dll: la

versione aggiornata è la 4.0.8618.0versione aggiornata è la 4.0.8618.0

Deployment: Deployment: SUS: SìSUS: Sì SMS: SìSMS: Sì

Reboot: Può essere richiesto.Reboot: Può essere richiesto. Possibilità di disinstallare: Sì (tranne per Possibilità di disinstallare: Sì (tranne per

Windows NT 4.0)Windows NT 4.0)

Security Bulletin riemessiSecurity Bulletin riemessi MS00-82, MS01-041, MS03-046 MS00-82, MS01-041, MS03-046

Motivo della riemissioneMotivo della riemissione Le vulnerabilità in questione interessano anche Le vulnerabilità in questione interessano anche

Exchange Server 5.0Exchange Server 5.0 e viene fornita una patch e viene fornita una patch unica valida per correggere le 3 vulnerabilitàunica valida per correggere le 3 vulnerabilità

MS02-011MS02-011

Motivo della riemissioneMotivo della riemissione annunciare la disponibilità di un aggiornamento annunciare la disponibilità di un aggiornamento

per Windows NT Server 4.0 e fornire agli utenti di per Windows NT Server 4.0 e fornire agli utenti di Exchange Server 5.0 suggerimenti su come Exchange Server 5.0 suggerimenti su come aumentare la protezione dei sistemi in usoaumentare la protezione dei sistemi in uso

Risorse UtiliRisorse Utili Area Sicurezza sul sito Technet ItaliaArea Sicurezza sul sito Technet Italia http://www.microsoft.com/italy/technet/sicurezza.asphttp://www.microsoft.com/italy/technet/sicurezza.asp

Security Bulletin in italianoSecurity Bulletin in italiano httphttp

://www.microsoft.com/italy/technet/solutions/security/bulletin.://www.microsoft.com/italy/technet/solutions/security/bulletin.aspasp

Registratevi alla nuova Security Newsletter Registratevi alla nuova Security Newsletter Business: Business: http://www.microsoft.com/http://www.microsoft.com/

technet/security/secnews/default.asptechnet/security/secnews/default.asp Home User: Home User: http://www.microsoft.com/security/home/http://www.microsoft.com/security/home/

secnews/default.aspsecnews/default.asp

Security Guidance CenterSecurity Guidance Center http://www.microsoft.com/security/guidancehttp://www.microsoft.com/security/guidance

EventiEventi TechNet Security Roadshow 2004 (aprile TechNet Security Roadshow 2004 (aprile

2004)2004) http://www.microsoft.com/italy/eventi/technet/roadshow_sicurezzhttp://www.microsoft.com/italy/eventi/technet/roadshow_sicurezz

a_Aprile2004.mspxa_Aprile2004.mspx

Registratevi per i prossimi Webcast di Registratevi per i prossimi Webcast di approfondimento sui Security Bulletinapprofondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di Ogni venerdì successivo al 2° martedì di

ogni mese (prossimo: 14/05)ogni mese (prossimo: 14/05) http://www.microsoft.com/italy/technet/solutions/security/bulletinhttp://www.microsoft.com/italy/technet/solutions/security/bulletin

.asp.asp