Approfondimenti Approfondimenti sui sui

MicrosoftMicrosoftSecurity Bulletin Security Bulletin di novembre 2004di novembre 2004

12 novembre 2004 12 novembre 2004

Feliciano Intini, CISSPFeliciano Intini, CISSPFabrizio Dal Passo, CISSPFabrizio Dal Passo, CISSP

Security AdvisorSecurity Advisor

Premier Center Premier Center for Securityfor Security

Microsoft Services – ItaliaMicrosoft Services – Italia

AgendaAgenda Bollettini sulla Sicurezza di novembre 2004:Bollettini sulla Sicurezza di novembre 2004:

MS04-039 – ISA Server 2000 / Proxy 2.0MS04-039 – ISA Server 2000 / Proxy 2.0

Altre informazioni sulla sicurezza:Altre informazioni sulla sicurezza: Security Bulletin Advance NotificationSecurity Bulletin Advance Notification Microsoft RMS SP1 BetaMicrosoft RMS SP1 Beta Patch Management Using Systems Management Patch Management Using Systems Management

Server (SMS) 2003 Solution Accelerator v3.0 Server (SMS) 2003 Solution Accelerator v3.0

Risorse ed EventiRisorse ed Eventi

Bollettini di SicurezzaBollettini di SicurezzaNovembre 2004Novembre 2004MAXIMUM SEVERITY

BULLETIN NUMBER

PRODUCTS AFFECTED

IMPACT

Important MS04-039 Microsoft Internet Security and Acceleration (ISA) Server

Spoofing

MS04-039: IntroduzioneMS04-039: Introduzione Vulnerability in ISA Server 2000 and Proxy Vulnerability in ISA Server 2000 and Proxy

Server 2.0 Could Allow Internet Content Server 2.0 Could Allow Internet Content Spoofing (888258)Spoofing (888258)

Effetti della vulnerabilitàEffetti della vulnerabilità: Spoofing: Spoofing Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Proxy Server 2.0, Microsoft Internet Security Microsoft Proxy Server 2.0, Microsoft Internet Security and Acceleration Server 2000, Microsoft Small Business and Acceleration Server 2000, Microsoft Small Business Server 2000, Microsoft Small Business Server 2003 Server 2000, Microsoft Small Business Server 2003 Premium EditionPremium Edition

Aggiornamenti sostituitiAggiornamenti sostituiti: MS03-012 solo per : MS03-012 solo per Proxy Server 2.0Proxy Server 2.0

MS04-039: Comprendere la MS04-039: Comprendere la vulnerabilitàvulnerabilità

Spoofing Vulnerability - CAN-2004-0892Spoofing Vulnerability - CAN-2004-0892 Vulnerabilità causata dal metodo usato per il Vulnerabilità causata dal metodo usato per il

caching dei risultati del reverse lookup.caching dei risultati del reverse lookup. Modalità di attaccoModalità di attacco

eseguibile da remotoeseguibile da remoto Pagina web artefatta e risposta al reverse lookup Pagina web artefatta e risposta al reverse lookup

artefatta, artefatta, non richiede autenticazionenon richiede autenticazione privilegi ottenibili: non applicabile (Spoofing)privilegi ottenibili: non applicabile (Spoofing)

Impatti di un attacco riuscitoImpatti di un attacco riuscito Spoofing di contenuti ritenuti affidabiliSpoofing di contenuti ritenuti affidabili

MS04-039: Fattori mitigantiMS04-039: Fattori mitiganti

Non può essere usata per fare spoof di Non può essere usata per fare spoof di siti protetti con SSLsiti protetti con SSL

L’attacco non può essere automatizzatoL’attacco non può essere automatizzato L’utente deve accedere al contenutoL’utente deve accedere al contenuto Il contenuto deve causare un reverse lookupIl contenuto deve causare un reverse lookup

Default Site and Content rule che Default Site and Content rule che permette “All traffic” verso “All permette “All traffic” verso “All Destinations” non è affetto Destinations” non è affetto Regola generalmente disabilitata come best Regola generalmente disabilitata come best

practicepractice Non raccomandatoNon raccomandato

MS04-39: Soluzioni alternativeMS04-39: Soluzioni alternative

Impostare la DNS Cache size a zero sulle Impostare la DNS Cache size a zero sulle macchine interessatemacchine interessate Rif. Articolo Microsoft Knowledge Base 888258Rif. Articolo Microsoft Knowledge Base 888258

MS04-39: Strumenti per il rilevamentoMS04-39: Strumenti per il rilevamento

MBSA: MBSA: Non si può usare MBSA per rilevare i sistemi che Non si può usare MBSA per rilevare i sistemi che

richiedono la fix MS04-039richiedono la fix MS04-039 Rif. articolo Microsoft KB 306460 per le Rif. articolo Microsoft KB 306460 per le

informazioni riguardanti i programmi che informazioni riguardanti i programmi che MBSA attualmente non rilevaMBSA attualmente non rileva

SUS: SUS: Non si può usare SUS per rilevare i sistemi che Non si può usare SUS per rilevare i sistemi che

richiedono la fix MS04-039richiedono la fix MS04-039 SMS 2.0 / 2003:SMS 2.0 / 2003:

Si può usare l’inventory di SMS 2003 per rilevare Si può usare l’inventory di SMS 2003 per rilevare i sistemi che richiedono la fix MS04-039i sistemi che richiedono la fix MS04-039 ISA Server 2000: Msphlpr.dll precedente a ISA Server 2000: Msphlpr.dll precedente a

3.0.1200.408. 3.0.1200.408. Proxy Server 2.0 Service Pack 1: Proxy Server 2.0 Service Pack 1:

W3pcache.dll, W3proxy.dll e Wspsrv.exe W3pcache.dll, W3proxy.dll e Wspsrv.exe precedente al 28-Ott-2004 GMTprecedente al 28-Ott-2004 GMT

MS04-39: Strumenti per il deploymentMS04-39: Strumenti per il deployment

SUS: SUS: Non è possibile usare SUS per il deployment Non è possibile usare SUS per il deployment

della fix MS04-039della fix MS04-039 SMS:SMS:

Deploy di MS04-039 a tutti i sistemi in base Deploy di MS04-039 a tutti i sistemi in base alla software inventoryalla software inventory 867832 - How to distribute software updates that 867832 - How to distribute software updates that

are not detected by the MBSA in Systems are not detected by the MBSA in Systems Management Server 2003Management Server 2003

Il restart può essere richiesto per ISA Server; è Il restart può essere richiesto per ISA Server; è richiesto per Proxy Serverrichiesto per Proxy Server

La fix può essere rimossaLa fix può essere rimossa

Security Bulletin Advance Security Bulletin Advance NotificationNotification Iniziativa annunciata al pubblico lo scorso 4 novembre Iniziativa annunciata al pubblico lo scorso 4 novembre

20042004 Si tratta di fornire in anticipo alcune informazioni Si tratta di fornire in anticipo alcune informazioni

relative ai rilasci mensili dei bollettini di sicurezza, e in relative ai rilasci mensili dei bollettini di sicurezza, e in particolare:particolare: Numero dei bollettini di sicurezzaNumero dei bollettini di sicurezza Livelli di gravitàLivelli di gravità Famiglie di prodotto interessateFamiglie di prodotto interessate

L’obiettivo è fornire elementi per pianificare L’obiettivo è fornire elementi per pianificare adeguatamente l’impegno nei piani di aggiornamentoadeguatamente l’impegno nei piani di aggiornamento

La pubblicazione avverrà 3 giorni lavorativi prima del La pubblicazione avverrà 3 giorni lavorativi prima del classico 2° martedì di ogni meseclassico 2° martedì di ogni mese

www.microsoft.com/technet/security/bulletin/advance.mspxwww.microsoft.com/technet/security/bulletin/advance.mspx

Riepilogo delle risorse per tenersi Riepilogo delle risorse per tenersi informati sui bollettini di sicurezzainformati sui bollettini di sicurezza Preavviso sul web nell’area Technet/SecurityPreavviso sul web nell’area Technet/Security

www.microsoft.com/technet/security/bulletin/advance.mspxwww.microsoft.com/technet/security/bulletin/advance.mspx Invio delle notifiche sui bollettiniInvio delle notifiche sui bollettini

http://www.microsoft.com/technet/security/bulletin/notify.mspxhttp://www.microsoft.com/technet/security/bulletin/notify.mspx Microsoft Security Notification ServiceMicrosoft Security Notification Service MS Security Notification Service: Comprehensive VersionMS Security Notification Service: Comprehensive Version

Modificate il vostro profilo Passport iscrivendovi alle newsletter Modificate il vostro profilo Passport iscrivendovi alle newsletter con il titolo indicatocon il titolo indicato

Ricezione news via RSS Ricezione news via RSS RSS Security Bulletin FeedRSS Security Bulletin Feed

http://www.microsoft.com/technet/security/bulletin/secrssinfo.mspxhttp://www.microsoft.com/technet/security/bulletin/secrssinfo.mspx

Ricerca di un bollettinoRicerca di un bollettino www.microsoft.com/technet/security/current.aspxwww.microsoft.com/technet/security/current.aspx

Webcast di approfondimentoWebcast di approfondimento http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx

Rights Management Services Rights Management Services SP1 BetaSP1 Beta Pensata per estendere l’utilizzo di RMS in Pensata per estendere l’utilizzo di RMS in

nuovi scenari di businessnuovi scenari di business I miglioramenti di funzionalità previsti nel I miglioramenti di funzionalità previsti nel

Service Pack 1 includono:Service Pack 1 includono: Offline server enrollmentOffline server enrollment Autenticazione e certificazione più sicura, basata su Autenticazione e certificazione più sicura, basata su

Smartcard Smartcard Role-based security semplificataRole-based security semplificata

Pianificata per la prima metà del 2005Pianificata per la prima metà del 2005 Maggiori informazioni: Maggiori informazioni: rmssp1qa@microsoft.comrmssp1qa@microsoft.com

Patch Management Using SMS Patch Management Using SMS 2003 Solution Accelerator v3.0 2003 Solution Accelerator v3.0 Fornisce esempi di script e report per assistere gli amministratori Fornisce esempi di script e report per assistere gli amministratori

dei sistemi nell’automatizzare il processo di patch management, e dei sistemi nell’automatizzare il processo di patch management, e in particolare i quattro passi in cui si articola tale in particolare i quattro passi in cui si articola tale processo: ”Assessing”, ”Identifying”, “Evaluating and Planning”, processo: ”Assessing”, ”Identifying”, “Evaluating and Planning”, e “Deploying software updates con SMS 2003” e “Deploying software updates con SMS 2003”

La nuova versione si focalizza sui temi seguenti:La nuova versione si focalizza sui temi seguenti: Virtual Server 2005 e Virtual PC 2004 Virtual Server 2005 e Virtual PC 2004 Microsoft SQL Server™ 2000 Microsoft SQL Server™ 2000 Dettagli a supporto dell’aggiornamento dei componenti Microsoft Dettagli a supporto dell’aggiornamento dei componenti Microsoft

Office  (XP, 2000, 2003) Office  (XP, 2000, 2003) L’aggiornamento dei sistemi attualmente non supportati da MBSA L’aggiornamento dei sistemi attualmente non supportati da MBSA

http://go.microsoft.com/fwlink/?linkid=36647http://go.microsoft.com/fwlink/?linkid=36647

Risorse utiliRisorse utili Sito Sicurezza Sito Sicurezza

IngleseInglesehttp://www.microsoft.com/security/default.mspxhttp://www.microsoft.com/security/default.mspx

ItalianoItalianohttp://www.microsoft.com/italy/security/default.mspxhttp://www.microsoft.com/italy/security/default.mspx

Security Guidance CenterSecurity Guidance Center IngleseInglese

www.microsoft.com/security/guidancewww.microsoft.com/security/guidance ItalianoItaliano

www.microsoft.com/italy/security/guidancewww.microsoft.com/italy/security/guidance Security Newsletter Security Newsletter

www.microsoft.com/technet/security/secnews/dwww.microsoft.com/technet/security/secnews/default.mspx efault.mspx

Windows XP Service Pack 2 Windows XP Service Pack 2 www.microsoft.com/technet/winxpsp2www.microsoft.com/technet/winxpsp2

Prossimi EventiProssimi Eventi

Registratevi per i prossimi Webcast di Registratevi per i prossimi Webcast di approfondimento sui Security Bulletinapprofondimento sui Security Bulletin Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17 Ogni venerdì successivo al 2° martedì di ogni mese (prossimo: 17

dicembre)dicembre) http://www.microsoft.com/italy/technet/community/webcast/default.mspxhttp://www.microsoft.com/italy/technet/community/webcast/default.mspx Webcast già erogati:Webcast già erogati: http://www.microsoft.com/italy/technet/community/webcast/passati.mspxhttp://www.microsoft.com/italy/technet/community/webcast/passati.mspx

www.microsoft.com/security360www.microsoft.com/security360 16 Novembre 16 Novembre Social Engineering – The Human FactorSocial Engineering – The Human Factor