Approfondimenti Approfondimenti sui sui

MicrosoftMicrosoftSecurity Bulletin Security Bulletin di settembre 2004di settembre 2004

17 settembre 2004 17 settembre 2004

Feliciano Intini e Luca Lorenzini, Feliciano Intini e Luca Lorenzini, CISSPCISSPSecurity AdvisorSecurity AdvisorPremier Center Premier Center for Securityfor SecurityMicrosoft Services – ItaliaMicrosoft Services – Italia

AgendaAgenda Bollettini sulla Sicurezza di settembre 2004:Bollettini sulla Sicurezza di settembre 2004:

MS04-027 e MS04-028MS04-027 e MS04-028 Introduzione e dettagli sulle vulnerabilitàIntroduzione e dettagli sulle vulnerabilità Fattori attenuanti e soluzioni alternativeFattori attenuanti e soluzioni alternative Note di deployment Note di deployment

Informazioni e risorse utili in ambito Informazioni e risorse utili in ambito sicurezzasicurezza

Riferimenti ed EventiRiferimenti ed Eventi

MS04-027: IntroduzioneMS04-027: Introduzione Vulnerability in WordPerfect Converter Vulnerability in WordPerfect Converter

Could Allow Code Execution (884933)Could Allow Code Execution (884933) Effetti della vulnerabilitàEffetti della vulnerabilità: : esecuzione di codice da esecuzione di codice da

remotoremoto

Software interessatoSoftware interessato Microsoft Office 2000 Service Pack 3 (Word 2000, Microsoft Office 2000 Service Pack 3 (Word 2000,

FrontPage 2000, Publisher 2000)FrontPage 2000, Publisher 2000) Microsoft Office XP Service Pack 3 e Service Pack 2 Microsoft Office XP Service Pack 3 e Service Pack 2

(Word 2002, FrontPage 2002, Publisher 2002)(Word 2002, FrontPage 2002, Publisher 2002) Microsoft Office 2003 (Word 2003, FrontPage 2003, Microsoft Office 2003 (Word 2003, FrontPage 2003,

Publisher 2003)Publisher 2003) Microsoft Works Suites 2001, 2002, 2003 & 2004Microsoft Works Suites 2001, 2002, 2003 & 2004

Componente interessato dall’aggiornamentoComponente interessato dall’aggiornamento Microsoft WordPerfect 5.x converterMicrosoft WordPerfect 5.x converter

Livello di gravità massimoLivello di gravità massimo: Importante: Importante

MS04-027: Comprendere la MS04-027: Comprendere la VulnerabilitàVulnerabilità Consiste in una vulnerabilità di tipo Consiste in una vulnerabilità di tipo

“Buffer overrun” relativa al componente “Buffer overrun” relativa al componente Wordperfect 5.x converter che Wordperfect 5.x converter che permetterebbe ad un attacker di far permetterebbe ad un attacker di far eseguire codice nel contesto di sicurezza eseguire codice nel contesto di sicurezza dell’utente loggatodell’utente loggato

Modalità di attaccoModalità di attacco eseguibile da remotoeseguibile da remoto

navigazione su un sito Web, navigazione su un sito Web, apertura di un allegato di e-mailapertura di un allegato di e-mail

non richiede autenticazionenon richiede autenticazione privilegi ottenibili: quelli dell’utente loggatoprivilegi ottenibili: quelli dell’utente loggato

MS04-027: Fattori attenuanti e MS04-027: Fattori attenuanti e soluzioni alternativesoluzioni alternative Fattori attenuantiFattori attenuanti

L’attacco via Web richiede una serie di interazioni con L’attacco via Web richiede una serie di interazioni con l’utentel’utente

L’attacco via e-mail richiede l’apertura volontaria L’attacco via e-mail richiede l’apertura volontaria dell’allegatodell’allegato

Least privilege: l’eventuale attacco ha le credenziali Least privilege: l’eventuale attacco ha le credenziali dell’utente loggatodell’utente loggato

I documenti in formato WordPerfect 6.x non sono I documenti in formato WordPerfect 6.x non sono interessati dalla vulnerabilità perchè gestiti da un interessati dalla vulnerabilità perchè gestiti da un convertitore diversoconvertitore diverso

Office 2003 Service Pack 1 non è vulnerabileOffice 2003 Service Pack 1 non è vulnerabile Soluzioni alternativeSoluzioni alternative

Non aprire documenti WordPerfect 5.xNon aprire documenti WordPerfect 5.x Operare la conversione da WordPerfect 5.x a Word, Operare la conversione da WordPerfect 5.x a Word,

tramite convertitori diversi da quelli interessati dalla tramite convertitori diversi da quelli interessati dalla vulnerabilitàvulnerabilità

Far salvare il documento WordPerfect 5.x in un Far salvare il documento WordPerfect 5.x in un formato diversoformato diverso

MS04-027: Strumenti per il rilevamento e il MS04-027: Strumenti per il rilevamento e il deploymentdeployment

MBSA 1.2MBSA 1.2 Rileva gli aggiornamenti per i prodotti Office Rileva gli aggiornamenti per i prodotti Office

(solo scan locale)(solo scan locale) SUSSUS non può essere utilizzato non può essere utilizzato SMS 2.0 / 2003SMS 2.0 / 2003::

SMS 2.0 con il SUS Feature Pack ed SMS 2003 SMS 2.0 con il SUS Feature Pack ed SMS 2003 permettono di rilevare e aggiornare i prodotti permettono di rilevare e aggiornare i prodotti della famiglia Officedella famiglia Office

Windows InstallerWindows Installer Per i prodotti Office si può aggiornare Per i prodotti Office si può aggiornare

l’Administrative Install Point per poi l’Administrative Install Point per poi aggiornare i clientaggiornare i client 301348 - Install a Public Update to Administrative 301348 - Install a Public Update to Administrative

Installations of Office XPInstallations of Office XP

MS04-027: Altre note per il deploymentMS04-027: Altre note per il deployment

Office XPOffice XP: : l’aggiornamento client (binary patch) è l’aggiornamento client (binary patch) è

disponibile solo per Office XP SP3 disponibile solo per Office XP SP3 l’aggiornamento amministrativo (full-file l’aggiornamento amministrativo (full-file

patch) è disponibile sia per Office XP SP3 che patch) è disponibile sia per Office XP SP3 che per Office XP SP2per Office XP SP2

Restart: non necessarioRestart: non necessario Patch non disinstallabilePatch non disinstallabile

MS04-028: IntroduzioneMS04-028: Introduzione Buffer Overrun in JPEG Processing Could Allow Buffer Overrun in JPEG Processing Could Allow

Code Execution (833987)Code Execution (833987) Effetti della vulnerabilitàEffetti della vulnerabilità: : esecuzione di codice da esecuzione di codice da

remotoremoto Livello di gravità massimoLivello di gravità massimo: Critico: Critico Software interessatoSoftware interessato : :

Microsoft Windows:Microsoft Windows: Windows XP, Windows XP SP1 e Windows XP 64-Bit Windows XP, Windows XP SP1 e Windows XP 64-Bit

SP1 SP1 Windows Server 2003 e Windows Server 2003 64-BitWindows Server 2003 e Windows Server 2003 64-Bit

Microsoft Office:Microsoft Office: Office XP SP3/SP2, Office 2003 e prodotti inclusiOffice XP SP3/SP2, Office 2003 e prodotti inclusi

Project 2002 SP1, Project 2003Project 2002 SP1, Project 2003 Visio 2002 SP2, Visio 2003Visio 2002 SP2, Visio 2003

MS04-028: Introduzione MS04-028: Introduzione (2)(2)

Software interessato (continuaSoftware interessato (continua): ): Microsoft Development Environments and Tools:Microsoft Development Environments and Tools:

Visual Studio .NET 2002 e 2003 (e relativi prodotti inclusi)Visual Studio .NET 2002 e 2003 (e relativi prodotti inclusi) Microsoft Platform SDK Redistributable: GDI+, Microsoft Platform SDK Redistributable: GDI+, Microsoft .NET Framework, Version 1.0 SDKMicrosoft .NET Framework, Version 1.0 SDK

Microsoft Home:Microsoft Home: Microsoft Picture It! versione 2002, 9 e 7.0Microsoft Picture It! versione 2002, 9 e 7.0

Nota: Può essere installato come opzione durante Nota: Può essere installato come opzione durante l’installazione di MSN 9 l’installazione di MSN 9

Microsoft Greetings 2002Microsoft Greetings 2002 Microsoft Digital Image Pro versioni 7.0 e 9Microsoft Digital Image Pro versioni 7.0 e 9 Microsoft Digital Image Suite versione 9Microsoft Digital Image Suite versione 9 Microsoft Producer for Microsoft Office PowerPointMicrosoft Producer for Microsoft Office PowerPoint

Componenti interessati Componenti interessati :: Internet Explorer 6 Service Pack 1Internet Explorer 6 Service Pack 1 Microsoft .NET Framework, Versione 1.0 Service Pack 2 Microsoft .NET Framework, Versione 1.0 Service Pack 2 Microsoft .NET Framework, Versione 1.1Microsoft .NET Framework, Versione 1.1

MS04-028: Introduzione MS04-028: Introduzione (3)(3)

Perché tanti prodotti interessati?Perché tanti prodotti interessati? GDI + è incluso nel sistema operativo di Windows XP e GDI + è incluso nel sistema operativo di Windows XP e

Windows Server 2003Windows Server 2003 I prodotti Office (inclusi Project e Visio) utilizzano una I prodotti Office (inclusi Project e Visio) utilizzano una

propria copia di GDI+propria copia di GDI+ Le applicazioni Le applicazioni possonopossono utilizzare una propria copia di utilizzare una propria copia di

GDI+GDI+ GDI+ è inclusa negli strumenti di sviluppo MicrosoftGDI+ è inclusa negli strumenti di sviluppo Microsoft GDI+ può rappresentare un componente distribuito in GDI+ può rappresentare un componente distribuito in

applicazioni realizzate tramite gli strumenti di sviluppo applicazioni realizzate tramite gli strumenti di sviluppo MicrosoftMicrosoft

MS04-028: Comprendere la MS04-028: Comprendere la VulnerabilitàVulnerabilità Consiste in una vulnerabilità di tipo “Buffer Consiste in una vulnerabilità di tipo “Buffer

overrun” relativa alla visualizzazione di overrun” relativa alla visualizzazione di immagini JPEG che permetterebbe ad un immagini JPEG che permetterebbe ad un attacker di far eseguire codice nel contesto di attacker di far eseguire codice nel contesto di sicurezza dell’utente loggatosicurezza dell’utente loggato..

Modalità di attaccoModalità di attacco eseguibile da remotoeseguibile da remoto

navigazione su un sito Web, navigazione su un sito Web, ogni possibile azione che preveda la ogni possibile azione che preveda la

visualizzazione di immagini JPEGvisualizzazione di immagini JPEG non richiede autenticazionenon richiede autenticazione privilegi ottenibili: quelli dell’utente loggatoprivilegi ottenibili: quelli dell’utente loggato

MS04-028: Fattori attenuanti e MS04-028: Fattori attenuanti e soluzioni alternativesoluzioni alternative Fattori attenuantiFattori attenuanti

Least privilege: l’eventuale attacco ha le Least privilege: l’eventuale attacco ha le credenziali dell’utente loggato.credenziali dell’utente loggato.

Windows XP SP2 e Office 2003 SP1 non sono Windows XP SP2 e Office 2003 SP1 non sono interessati dalla vulnerabilità.interessati dalla vulnerabilità.

Soluzioni alternativeSoluzioni alternative Leggere le e-mail in formato solo testo per Leggere le e-mail in formato solo testo per

mitigare il rischio nei confronti di e-mail HTML mitigare il rischio nei confronti di e-mail HTML con immagini JPEG (attenzione all’allegato)con immagini JPEG (attenzione all’allegato) Outlook 2003: funzionalità nativa Outlook 2003: funzionalità nativa Outlook 2002: a partire dal SP1 (articolo Outlook 2002: a partire dal SP1 (articolo 307594)307594) Outlook Express 6: con SP1 (Outlook Express 6: con SP1 (articolo articolo 291387)291387)

MS04-028: Scenari di aggiornamentoMS04-028: Scenari di aggiornamento

Windows XP SP1/Gold e Windows Server 2003Windows XP SP1/Gold e Windows Server 2003 Necessario l’aggiornamento per il SONecessario l’aggiornamento per il SO Se presentiSe presenti

Office, Project e Visio (nelle versioni vulnerabili)Office, Project e Visio (nelle versioni vulnerabili) Allora bisogna installare anche la patch relativa ad Allora bisogna installare anche la patch relativa ad

ogni prodotto vulnerabileogni prodotto vulnerabile Se presenti Se presenti

VS .NET 2002/2003, .NET FW 1.0 SDK e Platform SDKVS .NET 2002/2003, .NET FW 1.0 SDK e Platform SDK per creare apps che redistribuiscono la GDI+per creare apps che redistribuiscono la GDI+ Allora bisogna installare anche la patch relativa ad Allora bisogna installare anche la patch relativa ad

ogni prodotto vulnerabileogni prodotto vulnerabile Per gli altri prodotti vulnerabili: Per gli altri prodotti vulnerabili:

usano la GDI+ del Sistema Operativousano la GDI+ del Sistema Operativo NON necessitano di essere aggiornatiNON necessitano di essere aggiornati

MS04-028: Scenari di aggiornamento MS04-028: Scenari di aggiornamento (2)(2)

Windows XP SP2Windows XP SP2 differisce dallo scenario precedente solo per il differisce dallo scenario precedente solo per il

fatto che NON è necessario l’aggiornamento fatto che NON è necessario l’aggiornamento per il Sistema Oerativoper il Sistema Oerativo

Windows 2000 / Windows NT 4.0 / Windows Windows 2000 / Windows NT 4.0 / Windows 98 / 98SE / ME98 / 98SE / ME Non hanno la propria GDI+Non hanno la propria GDI+ E’ necessario installare la patch relativa ad ogni E’ necessario installare la patch relativa ad ogni

prodotto vulnerabile presente sul sistemaprodotto vulnerabile presente sul sistema

MS04-028: Strumenti per il rilevamentoMS04-028: Strumenti per il rilevamento

MBSA 1.2MBSA 1.2 Rileva gli aggiornamenti per:Rileva gli aggiornamenti per:

Windows XP e Windows Server 2003 (*)Windows XP e Windows Server 2003 (*) Office (solo scan locale)Office (solo scan locale) Project (solo scan locale)Project (solo scan locale) Visio (solo scan locale)Visio (solo scan locale)

NON rileva gli aggiornamenti per:NON rileva gli aggiornamenti per: Microsoft Visual Studio .NET 2002/2003Microsoft Visual Studio .NET 2002/2003 .Net Framework 1.0/1.1 .Net Framework 1.0/1.1 PictureIT, Greetings, Digital ImagePictureIT, Greetings, Digital Image Microsoft Producer for Office PowerpointMicrosoft Producer for Office Powerpoint Platform SDK Redistributable:GDI+Platform SDK Redistributable:GDI+ Internet Explorer 6.0 SP1Internet Explorer 6.0 SP1

NOTA (*): MBSA non rileva la necessità dell’aggiornamento: NOTA (*): MBSA non rileva la necessità dell’aggiornamento: viene solo prodotto un messaggio di warning.viene solo prodotto un messaggio di warning.

MS04-028: Strumenti per il rilevamento MS04-028: Strumenti per il rilevamento (2)(2)

WindowsUpdateWindowsUpdate offre gli aggiornamenti per: Windows XP, Windows Server 2003Windows XP, Windows Server 2003 Internet Explorer 6.0 SP1Internet Explorer 6.0 SP1 .Net Framework 1.0 SP2 (offre la SP3).Net Framework 1.0 SP2 (offre la SP3) .Net Framework 1.1 (offre la SP1).Net Framework 1.1 (offre la SP1)

OfficeUpdateOfficeUpdate offre gli aggiornamenti per: Office 2003, Office XP SP3 Project 2002 SP1, Project 2003 Visio 2002 SP2, Visio 2003

MS04-028: Strumenti per il rilevamento MS04-028: Strumenti per il rilevamento (4)(4)

SUSSUS: : Il SUS Client (l’ Automatic Updates Client) può Il SUS Client (l’ Automatic Updates Client) può

solo rilevare automaticamente la necessità di solo rilevare automaticamente la necessità di aggiornare:aggiornare: Windows XP, Windows Server 2003 e IE 6 SP1Windows XP, Windows Server 2003 e IE 6 SP1

SMS 2.0 / 2003SMS 2.0 / 2003:: SMS 2.0 con il SUS Feature Pack ed SMS 2003 SMS 2.0 con il SUS Feature Pack ed SMS 2003

permettono di rilevare i prodotti della famiglia permettono di rilevare i prodotti della famiglia OfficeOffice Office XP/2003, Project 2002/2003, Visio 2002/2003Office XP/2003, Project 2002/2003, Visio 2002/2003

Utilizzare la Software Inventory per rilevare la Utilizzare la Software Inventory per rilevare la necessità di aggiornare gli altri prodottinecessità di aggiornare gli altri prodotti Maggiori informazioni nell’articolo 867832Maggiori informazioni nell’articolo 867832

MS04-028: Strumenti per il rilevamento MS04-028: Strumenti per il rilevamento (5)(5)

GDI+ Detection ToolGDI+ Detection Tool: : Rivolto ai clienti consumerRivolto ai clienti consumer E’ disponibile sia su Windows Update che sul Microsoft E’ disponibile sia su Windows Update che sul Microsoft

Download CenterDownload Center Offerto ai clienti che hanno abilitato l’Automatic UpdateOfferto ai clienti che hanno abilitato l’Automatic Update Descritto nell’articolo 873374Descritto nell’articolo 873374

Come opera il tool:Come opera il tool: Scansione per rilevare i prodotti potenzialmente vulnerabili Scansione per rilevare i prodotti potenzialmente vulnerabili

diversi dal SOdiversi dal SO Fa puntare i clienti ad una pagina web che indica i passi Fa puntare i clienti ad una pagina web che indica i passi

necessari per ottenere gli aggiornamenti richiesti:necessari per ottenere gli aggiornamenti richiesti: Windows Update per gli aggiornamenti Windows Windows Update per gli aggiornamenti Windows Office Update per gli aggiornamenti OfficeOffice Update per gli aggiornamenti Office Esegue un ActiveX per rilevare la presenza di altri prodotti Esegue un ActiveX per rilevare la presenza di altri prodotti

potenzialmente vulnerabilipotenzialmente vulnerabili

MS04-028: Strumenti per il deployment MS04-028: Strumenti per il deployment

SUSSUS Permette di aggiornare i sistemi che è in Permette di aggiornare i sistemi che è in

grado di rilevaregrado di rilevare

SMS 2.0 / 2003SMS 2.0 / 2003 Permettono di aggiornare tutti i sistemiPermettono di aggiornare tutti i sistemi

Windows InstallerWindows Installer Per i prodotti Office si può aggiornare Per i prodotti Office si può aggiornare

l’Administrative Install Point per poi l’Administrative Install Point per poi aggiornare i clientaggiornare i client 301348 - Install a Public Update to Administrative 301348 - Install a Public Update to Administrative

Installations of Office XPInstallations of Office XP

I restart dipendono dalle situazioni e la I restart dipendono dalle situazioni e la possibilità di disinstallare dai prodotti possibilità di disinstallare dai prodotti

Security Tools: MBSA v1.2.1Security Tools: MBSA v1.2.1 Versione 1.2.1 rilasciata in agosto Versione 1.2.1 rilasciata in agosto Nuove caratteristiche rispetto alla v. 1.2:Nuove caratteristiche rispetto alla v. 1.2:

Supporto per le nuove caratteristiche di Supporto per le nuove caratteristiche di sicurezza di Windows XP Service Pack 2sicurezza di Windows XP Service Pack 2

Guida più chiara per localizzare gli Guida più chiara per localizzare gli aggiornamenti necessari e le azioni di aggiornamenti necessari e le azioni di rafforzamentorafforzamento

La scansione effettuata su MBSA 1.2 su un La scansione effettuata su MBSA 1.2 su un sistema connesso ad Internet segnalerà la sistema connesso ad Internet segnalerà la possibilità di operare l’aggiornamentopossibilità di operare l’aggiornamento Nota: gli utilizzatori di SMS non hanno Nota: gli utilizzatori di SMS non hanno

bisogno di aggiornare l’engine a MBSA 1.2.1bisogno di aggiornare l’engine a MBSA 1.2.1 www.microsoft.com/www.microsoft.com/mbsambsa

Windows XP SP2 Update Windows XP SP2 Update Automatic Update Blocking MechanismAutomatic Update Blocking Mechanism

E’ stata prorogata la data dopo la quale verrebbe E’ stata prorogata la data dopo la quale verrebbe forzata l’installazione del Service Pack 2 di forzata l’installazione del Service Pack 2 di Windows XP da parte di Automatic Updates (AU) e Windows XP da parte di Automatic Updates (AU) e Windows Update (WU) anche in presenza Windows Update (WU) anche in presenza dell’impostazione di registry che permette di dell’impostazione di registry che permette di bloccarlabloccarla In seguito al feedback dei clientiIn seguito al feedback dei clienti Permette una finestra temporale più ampia per operare il Permette una finestra temporale più ampia per operare il

testingtesting

AU e WU terranno conto dell’impostazione di AU e WU terranno conto dell’impostazione di blocco dell’aggiornamento fino ablocco dell’aggiornamento fino amartedì 12 Aprile 2005martedì 12 Aprile 2005 Note: rappresenta anche il giorno dell’emissione di aprile Note: rappresenta anche il giorno dell’emissione di aprile

dei bollettini di sicurezzadei bollettini di sicurezza

Windows XP SP2 Update Windows XP SP2 Update Blocking MechanismBlocking Mechanism ResourcesResources

Strumenti a disposizione:Strumenti a disposizione: File ADM per controllare la chiave di registry tramite File ADM per controllare la chiave di registry tramite

Group PolicyGroup Policy Eseguibile firmato da Microsoft che imposta localmente la Eseguibile firmato da Microsoft che imposta localmente la

chiave di registrychiave di registry Script file per impostare la chiave di registry da remotoScript file per impostare la chiave di registry da remoto Messaggio E-mail per far puntare gli utenti ad uno script Messaggio E-mail per far puntare gli utenti ad uno script

presente su Microsoft.compresente su Microsoft.com

Script e documentazione disponibili su TechNetScript e documentazione disponibili su TechNet www.microsoft.com/technet/winxpsp2www.microsoft.com/technet/winxpsp2

Documenti sulla sicurezza: Documenti sulla sicurezza: aggiornamentiaggiornamenti

Windows XP Security Guide v2.0 Windows XP Security Guide v2.0 (1° settembre 2004)(1° settembre 2004)

Aggiunta l’Appendice A relativa a Windows XP SP2, per Aggiunta l’Appendice A relativa a Windows XP SP2, per descrivere le sue caratteristiche e le impostazioni descrivere le sue caratteristiche e le impostazioni raccomandateraccomandate

www.microsoft.com/technet/security/prodtech/winclnt/secwinxwww.microsoft.com/technet/security/prodtech/winclnt/secwinxp/xpsgapa.mspxp/xpsgapa.mspx

Antivirus Defense-in-Depth Guide Antivirus Defense-in-Depth Guide (25 August 2004)(25 August 2004)

Aggiornata per descrivere i miglioramenti di sicurezza Aggiornata per descrivere i miglioramenti di sicurezza inclusi nel SP2 di Windows XPinclusi nel SP2 di Windows XP

www.microsoft.com/technet/security/guidance/avdind_0.mspxwww.microsoft.com/technet/security/guidance/avdind_0.mspx

Altra documentazione: Altra documentazione: www.microsoft.com/technet/security/default.mspxwww.microsoft.com/technet/security/default.mspx

Risorse Utili ed EventiRisorse Utili ed Eventi Sito Sicurezza italianoSito Sicurezza italiano

http://www.microsoft.com/http://www.microsoft.com/italyitaly//securitysecurity//default.mspxdefault.mspx Registratevi alla Security Newsletter Registratevi alla Security Newsletter

http://www.microsoft.com/http://www.microsoft.com/technet/security/secnews/default.asptechnet/security/secnews/default.asp

Registratevi per i prossimi Webcast di Registratevi per i prossimi Webcast di approfondimento sui Security Bulletinapprofondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni Ogni venerdì successivo al 2° martedì di ogni

mese (prossimo: 15 ottobre)mese (prossimo: 15 ottobre) http://www.microsoft.com/http://www.microsoft.com/italyitaly//securitysecurity//default.mspxdefault.mspx

Webcast già erogati:Webcast già erogati: http://www.microsoft.com/http://www.microsoft.com/italyitaly//technettechnet/community//community/webcastwebcast//passati.mspxpassati.mspx