Approfondimenti sui Approfondimenti sui Microsoft Security Bulletin Microsoft Security Bulletin ottobre 2005ottobre 2005

Andrea Piazza -Andrea Piazza - Mauro CornelliMauro CornelliPremier Center Premier Center for Securityfor SecurityMicrosoft ServicesMicrosoft ServicesItaliaItalia

AgendaAgenda Bollettini sulla Sicurezza di ottobre 2005Bollettini sulla Sicurezza di ottobre 2005 Informazioni sul rilevamento e il Informazioni sul rilevamento e il

deploymentdeployment Malicious Software Removal ToolsMalicious Software Removal Tools Security NewsSecurity News

Bollettini di SicurezzaBollettini di SicurezzaOttobre 2005Ottobre 2005

MAXIMUM SEVERITYMAXIMUM SEVERITY BULLETIN NUMBERBULLETIN NUMBER PRODUCTS AFFECTEDPRODUCTS AFFECTED IMPACTIMPACT

CriticalCritical MS05-050MS05-050 Microsoft Windows, Microsoft Windows, DirectXDirectX Remote Code ExecutionRemote Code Execution

CriticalCritical MS05-051MS05-051 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

CriticalCritical MS05-052MS05-052 Microsoft Windows , Microsoft Windows , Internet ExplorerInternet Explorer

Remote Code ExecutionRemote Code Execution

ImportantImportant MS05-046MS05-046 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

ImportantImportant MS05-047MS05-047 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

ImportantImportant MS05-048MS05-048 Microsoft Windows, Microsoft Windows, ExchangeExchange

Remote Code ExecutionRemote Code Execution

ImportantImportant MS05-049MS05-049 Microsoft WindowsMicrosoft Windows Remote Code ExecutionRemote Code Execution

ModerateModerate MS05-044MS05-044 Microsoft WindowsMicrosoft Windows TamperingTampering

ModerateModerate MS05-045MS05-045 Microsoft WindowsMicrosoft Windows Denial of ServiceDenial of Service

Dettaglio per prodottoDettaglio per prodotto

98/SE/ME

Windows 2000 Service Pack 4

Windows XP Service Pack 1

Windows XP Service Pack 2

Windows Server 2003

Windows Server 2003 SP1

Exchange 2000

MS05-044

Not Affected Moderate Moderate Not Affected Moderate Not Affected N/A

MS05-045

Not Affected Moderate Moderate Low Moderate Low N/A

MS05-046

Not Affected Important Important Important Important Important N/A

MS05-047

Not Affected Important Important Important

Not Affected Not Affected N/A

MS05-048

Not Affected Important Moderate Moderate Moderate Moderate Important

MS05-049

Not Affected Important Important Important Important Important N/A

MS05-050 Critical Critical Critical Critical Critical Critical N/A

MS05-051

Not Affected Critical Critical Important Important Important N/A

MS05-052 Critical Critical Critical Critical Moderate Moderate N/A

MS05-044: IntroduzioneMS05-044: Introduzione Vulnerability in the Windows FTP Client Could Allow Vulnerability in the Windows FTP Client Could Allow

File Transfer Location Tampering (905495)File Transfer Location Tampering (905495) Livello di gravità massimoLivello di gravità massimo: Moderata: Moderata Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Windows XP Service Pack 1 Microsoft Windows XP Service Pack 1 Microsoft Windows Server 2003Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itanium-based SystemsMicrosoft Windows Server 2003 for Itanium-based Systems

Componente interessato:Componente interessato: Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000

Service Pack 4Service Pack 4

www.microsoft.com/technet/security/bulletin/ms05-www.microsoft.com/technet/security/bulletin/ms05-044.mspx044.mspx

MS05-044: vulnerabilitàMS05-044: vulnerabilità FTP Client Vulnerability - CAN-2005-2126FTP Client Vulnerability - CAN-2005-2126

Il client Windows FTP non convalida in modo corretto i file name ricevuti dai Il client Windows FTP non convalida in modo corretto i file name ricevuti dai server FTP.server FTP.

Modalità di attaccoModalità di attacco Non Eseguibile da remotoNon Eseguibile da remoto

File su un server FTP con un nome appositamente predisposto. Il nome file creato in File su un server FTP con un nome appositamente predisposto. Il nome file creato in modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a modo tale da eludere la convalida del nome file fornita dal client FTP e associarlo a un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi un percorso valido sul computer degli utenti. L'utente malintenzionato potrebbe poi indurre l'utente a scaricare tale file.indurre l'utente a scaricare tale file.

Attacco autenticato: NoAttacco autenticato: No Tipologia: TamperingTipologia: Tampering

Impatti di un attacco riuscitoImpatti di un attacco riuscito TamperingTampering

Tale vulnerabilità può consentire a un utente malintenzionato di modificare il Tale vulnerabilità può consentire a un utente malintenzionato di modificare il percorso di destinazione specificato per il trasferimento di file, quando un client ha percorso di destinazione specificato per il trasferimento di file, quando un client ha scelto di trasferire un file mediante FTP. scelto di trasferire un file mediante FTP.

Le vulnerabilità era pubblicaLe vulnerabilità era pubblica L’exploit è pubblicoL’exploit è pubblico

MS05-044: Fattori mitigantiMS05-044: Fattori mitiganti È necessaria l'interazione dell'utente prima che i file È necessaria l'interazione dell'utente prima che i file

possano essere trasferiti al sistema interessato.possano essere trasferiti al sistema interessato.

Il file viene salvato solo se l'utente ne consente il Il file viene salvato solo se l'utente ne consente il salvataggio dopo aver ricevuto il messaggio di avviso.salvataggio dopo aver ricevuto il messaggio di avviso.

Per impostazione predefinita, l'impostazione di Internet Per impostazione predefinita, l'impostazione di Internet Explorer "Attiva la visualizzazione della cartella per i siti Explorer "Attiva la visualizzazione della cartella per i siti FTP" è disabilitata su tutte le versioni del sistema FTP" è disabilitata su tutte le versioni del sistema operativo interessato.operativo interessato.

MS05-044: Soluzioni alternativeMS05-044: Soluzioni alternative

Non scaricare file da server FTP non Non scaricare file da server FTP non attendibiliattendibili È possibile ridurre il rischio di attacco È possibile ridurre il rischio di attacco

scaricando i file solo da server FTP scaricando i file solo da server FTP attendibili.attendibili.

MS05-045: IntroduzioneMS05-045: Introduzione Vulnerability in Network Connection Manager Could Allow Denial Vulnerability in Network Connection Manager Could Allow Denial

of Service (905414)of Service (905414) Livello di gravità massimoLivello di gravità massimo: Moderato: Moderato Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Windows 2000 Service Pack 4Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service

Pack 2 Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Microsoft Windows Server 2003 and Microsoft Windows Server 2003

Service Pack 1Service Pack 1 Software non interessatoSoftware non interessato

Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 for Itanium-based Systems and

Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Microsoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE),

and Microsoft Windows Millennium Edition (ME) and Microsoft Windows Millennium Edition (ME) www.microsoft.com/technet/security/bulletin/ms05-045.mspxwww.microsoft.com/technet/security/bulletin/ms05-045.mspx

MS05-045: vulnerabilitàMS05-045: vulnerabilità

Network Connection Manager Vulnerability - CAN-2005-2307Network Connection Manager Vulnerability - CAN-2005-2307 Un buffer non controllato in Network Connection Manager è causa di Un buffer non controllato in Network Connection Manager è causa di

vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager vulnerabilità ad attacchi di tipo Denial of Service. Network Connection Manager è un componente del sistema operativo che consente di controllare le è un componente del sistema operativo che consente di controllare le connessioni di rete.connessioni di rete.

Modalità di attaccoModalità di attacco Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una Un utente malintenzionato può tentare di sfruttare la vulnerabilità creando una

richiesta appositamente predisposta e inviandola al componente interessato.richiesta appositamente predisposta e inviandola al componente interessato. Attacco autenticato: SiAttacco autenticato: Si Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1) Sfruttabile da Remoto: No (per WinXP SP2 e Win2003 SP1)

Impatti di un attacco riuscitoImpatti di un attacco riuscito Negazione del servizio (Denial of Service)Negazione del servizio (Denial of Service)

Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al Un utente malintenzionato potrebbe sfruttare la vulnerabilità per impedire al componente responsabile della gestione delle connessioni di rete e di accesso componente responsabile della gestione delle connessioni di rete e di accesso remoto di rispondere.remoto di rispondere.

Le vulnerabilità era pubblicaLe vulnerabilità era pubblica L’exploit è pubblicoL’exploit è pubblico

MS05-045: Fattori mitigantiMS05-045: Fattori mitiganti

In Windows XP Service Pack 2 e Windows Server 2003 Service In Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, il componente interessato non è disponibile da remoto.Pack 1, il componente interessato non è disponibile da remoto. Necessario disporre di credenziali di accesso valide, ed essere Necessario disporre di credenziali di accesso valide, ed essere

in grado di accedere localmente al sistema.in grado di accedere localmente al sistema.

Le configurazioni predefinite standard dei firewall perimetrali Le configurazioni predefinite standard dei firewall perimetrali consentono di proteggere le reti da attacchi esterni.consentono di proteggere le reti da attacchi esterni.

MS05-045: Soluzioni alternativeMS05-045: Soluzioni alternative Bloccare le seguenti porte a livello di firewall Bloccare le seguenti porte a livello di firewall

della rete perimetrale aziendale:della rete perimetrale aziendale: Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139,

445 e 593445 e 593

Tutto il traffico in ingresso non richiesto sulle porte Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024successive alla 1024

Qualsiasi altra porta RPC specificamente Qualsiasi altra porta RPC specificamente configurataconfigurata

Il componente Servizio Internet COM (CIS) o RPC Il componente Servizio Internet COM (CIS) o RPC su http (se installato), in ascolto sulle porte 80 e su http (se installato), in ascolto sulle porte 80 e 443443

MS05-046: IntroduzioneMS05-046: Introduzione Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution Vulnerability in the Client Service for NetWare Could Allow Remote Code Execution

(899589)(899589) Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Microsoft Windows 2000 Service Pack 4Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2Microsoft Windows XP Service Pack 1 and Microsoft Windows XP Service Pack 2 Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1

Software non interessatoSoftware non interessato

Microsoft Windows XP Professional x64 EditionMicrosoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server

2003 with SP1 for Itanium-based Systems2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 EditionMicrosoft Windows Server 2003 x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows

Millennium Edition (ME)Millennium Edition (ME) Windows Services for NetwareWindows Services for Netware

www.microsoft.com/technet/security/bulletin/ms05-046.mspxwww.microsoft.com/technet/security/bulletin/ms05-046.mspx

MS05-046: vulnerabilitàMS05-046: vulnerabilità

Client Service for NetWare Vulnerability - CAN-2005-1985Client Service for NetWare Vulnerability - CAN-2005-1985 Il Servizio client per NetWare (CSNW) consente a un client di accedere ai Il Servizio client per NetWare (CSNW) consente a un client di accedere ai

servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizi NetWare per file, stampa e directory. Un buffer non controllato nel servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo servizio client per NetWare (CSNW) genera una vulnerabilità ad attacchi di tipo Remote Code ExecutionRemote Code Execution

Modalità di attaccoModalità di attacco Una serie di messaggi di rete appositamente predisposti e inviati al sistema Una serie di messaggi di rete appositamente predisposti e inviati al sistema

interessato. I messaggi possono quindi costringere il sistema interessato a interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice.eseguire codice.

Attacco autenticato: NO (tranne che per Win2003 sp1)Attacco autenticato: NO (tranne che per Win2003 sp1) Sfruttabile da Remoto: SI (tranne che per Win2003 sp1) Sfruttabile da Remoto: SI (tranne che per Win2003 sp1)

Impatti di un attacco riuscitoImpatti di un attacco riuscito Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere

il pieno controllo del sistema interessato.il pieno controllo del sistema interessato. Una serie di messaggi di rete appositamente predisposti e inviati al sistema Una serie di messaggi di rete appositamente predisposti e inviati al sistema

interessato. I messaggi potrbbero quindi costringere il sistema interessato a interessato. I messaggi potrbbero quindi costringere il sistema interessato a eseguire codice.eseguire codice.

Privilegi ottenibili: Utente autenticatoPrivilegi ottenibili: Utente autenticato

MS05-046: Fattori mitigantiMS05-046: Fattori mitiganti

Windows XP Home Edition non presenta il componente Windows XP Home Edition non presenta il componente vulnerabile.vulnerabile.

Servizio client per NetWare non è installato su nessuna Servizio client per NetWare non è installato su nessuna versione dei sistemi operativi interessativersione dei sistemi operativi interessati

Windows Server 2003 SP1: Con questa versione del Windows Server 2003 SP1: Con questa versione del sistema operativo, la vulnerabilità non può essere sistema operativo, la vulnerabilità non può essere sfruttata in remoto o da utenti anonimi.sfruttata in remoto o da utenti anonimi.

Le configurazioni predefinite standard dei firewall Le configurazioni predefinite standard dei firewall consentono di proteggere le reti dagli attacchi sferrati consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendaledall'esterno del perimetro aziendale

MS05-046: Soluzioni alternativeMS05-046: Soluzioni alternative Rimuovere il Servizio client per NetWare Rimuovere il Servizio client per NetWare

se non lo si utilizza. se non lo si utilizza.

Bloccare le porte TCP 139 e 445 a livello Bloccare le porte TCP 139 e 445 a livello del firewalldel firewall CSNW è generalmente associato ai CSNW è generalmente associato ai

protocolli Internetwork Packet Exchange protocolli Internetwork Packet Exchange (IPX) e Sequenced Packet Exchange (SPX). (IPX) e Sequenced Packet Exchange (SPX).

MS05-047: IntroduzioneMS05-047: Introduzione Vulnerability in Plug and Play Could Allow Remote Vulnerability in Plug and Play Could Allow Remote

Code Execution and Local Elevation of Privilege Code Execution and Local Elevation of Privilege (905749)(905749)

Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Windows 2000 SP4 (Server e Professional)Windows 2000 SP4 (Server e Professional) Windows XP SP1 e SP2Windows XP SP1 e SP2

Componente interessato:Componente interessato: Plug&PlayPlug&Play

www.microsoft.com/technet/security/bulletin/ms05-047.www.microsoft.com/technet/security/bulletin/ms05-047.mspxmspx

MS05-047: VulnerabilitàMS05-047: Vulnerabilità Plug and Play Vulnerability - CAN-2005-2120Plug and Play Vulnerability - CAN-2005-2120

causata dalla errata validazione dei dati forniti causata dalla errata validazione dei dati forniti dall’utentedall’utente

Modalità di attaccoModalità di attacco Su 2000 e XP SP1Su 2000 e XP SP1

Eseguibile da remoto inviando pacchetti malformatiEseguibile da remoto inviando pacchetti malformati Attacco autenticatoAttacco autenticato

Su XP SP2Su XP SP2 Eseguibile solo localmente, tramite applicazione Eseguibile solo localmente, tramite applicazione

malformatamalformata Local Elevation of PrivilegeLocal Elevation of Privilege

Privilegi ottenibili: Local SystemPrivilegi ottenibili: Local System La vulnerabilità non era pubblicaLa vulnerabilità non era pubblica Non vi sono exploit noti al momentoNon vi sono exploit noti al momento

MS05-047: Fattori mitigantiMS05-047: Fattori mitiganti

Su XP XP2: necessaria Su XP XP2: necessaria l’autenticazione e il logon localel’autenticazione e il logon locale

Su 2000 (Su 2000 (se è già installato MS05-se è già installato MS05-039039) e XP SP1: necessaria ) e XP SP1: necessaria l’autenticazionel’autenticazione

I firewall perimetrali normalmente I firewall perimetrali normalmente sono configurati per bloccare le sono configurati per bloccare le porte usate da plug&play (139, 445)porte usate da plug&play (139, 445)

MS05-047: Soluzioni alternativeMS05-047: Soluzioni alternative Bloccare le porte 139 e 445 sul firewall Bloccare le porte 139 e 445 sul firewall

perimetraleperimetrale Abilitare Internet Connection Firewall su Abilitare Internet Connection Firewall su

XP SP1XP SP1 Abilitare advanced TCP/IP filteringAbilitare advanced TCP/IP filtering Abilitare IPSecAbilitare IPSec

MS05-047: ulteriori informazioniMS05-047: ulteriori informazioni L’aggiornamento di sicurezzaL’aggiornamento di sicurezza

Rimpiazza MS05-039 (Zotob)Rimpiazza MS05-039 (Zotob) Richiede il riavvio del sistemaRichiede il riavvio del sistema

MS05-048: IntroduzioneMS05-048: Introduzione Vulnerability in the Microsoft Collaboration Data Objects Could Vulnerability in the Microsoft Collaboration Data Objects Could

Allow Remote Code Execution (907245)Allow Remote Code Execution (907245) Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Windows Server 2003 SP1Windows Server 2003 SP1 Windows Server 2003Windows Server 2003 Windows Server 2003 x64 EditionWindows Server 2003 x64 Edition Windows Server 2003 SP1 per ItaniumWindows Server 2003 SP1 per Itanium Windows Server 2003 per ItaniumWindows Server 2003 per Itanium Windows 2000 SP4Windows 2000 SP4 Windows XP SP2Windows XP SP2 Windows XP SP1Windows XP SP1 Windows XP Pro x64 EditionWindows XP Pro x64 Edition Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004Exchange 2000 SP3 con Post-SP3 Update Rollup di Agosto 2004

Componente interessato:Componente interessato: Collaboration Data ObjectsCollaboration Data Objects

www.microsoft.com/technet/security/bulletin/ms05-048.mspxwww.microsoft.com/technet/security/bulletin/ms05-048.mspx

MS05-048: vulnerabilitàMS05-048: vulnerabilità

Collaboration Data Objects Vulnerability - CAN-2005-Collaboration Data Objects Vulnerability - CAN-2005-19871987 causata da un unchecked buffer in CDOcausata da un unchecked buffer in CDO

Modalità di attaccoModalità di attacco Eseguibile da remotoEseguibile da remoto

Inviando un messaggio opportunamente malformato che venga Inviando un messaggio opportunamente malformato che venga processato da cdosys (Windows) o cdoex (Exchange) processato da cdosys (Windows) o cdoex (Exchange)

Il trasporto più comune è SMTPIl trasporto più comune è SMTP Attacco autenticato: NoAttacco autenticato: No Privilegi ottenibili: Local SystemPrivilegi ottenibili: Local System

La vulnerabilità non era pubblicaLa vulnerabilità non era pubblica L’exploit è disponibileL’exploit è disponibile

MS05-048: Fattori mitigantiMS05-048: Fattori mitiganti

SMTP di IIS 5.0 e SMTP di Exchange 2000 Server di default non usano event sinks, che fanno uso di Cdosys.dll e Cdoex.dll;

IIS 6.0 è disabilitato di default su Windows Server 2003;

SMTP è disabilitato di default, se IIS 6.0 è abilitato.

MS05-048: Soluzioni alternativeMS05-048: Soluzioni alternative Disabilitare tutti gli event sinks

tramite smtpreg.vbs (reperibile nell’SDK di Exchange o da http://msdn.microsoft.com//library/en-us/smtpevt/html/6b7a017e-981e-45a1-8690-17ff26682bc7.asp cscript.exe smtpreg.vbs /enum per visualizzare tutti gli event sink registrati; cscript.exe smtpreg.vbs /disable per disabilitare tutti gli event sink

Impatto malfunzionamento di applicazioni che fanno uso dell’event sink sino alla

riabilitazione. Deregistrare le dll vulnerabili

Cdoex.dll e Cdosys.dll su Exchange 2000 Server Cdosys.dll su IIS:

Regsvr32.exe “C:\Program Files\Common Files\Microsoft Shared\CDO\cdoex.dll” /u

Regsvr32.exe %windir%\system32\cdosys.dll /uImpatto malfunzionamento di programmi che dipendono da Cdosys.dll o

Cdoex.dll.

MS05-048: ulteriori informazioniMS05-048: ulteriori informazioni RiavvioRiavvio

Normalmente non necessarioNormalmente non necessario Potrebbe essere richiesto se i file in questione sono in usoPotrebbe essere richiesto se i file in questione sono in uso

L’aggiornamento per Exchange riavvia:L’aggiornamento per Exchange riavvia: IISIIS SMTPSMTP Exchange Server Information Store ServiceExchange Server Information Store Service File Transfer Protocol (FTP)File Transfer Protocol (FTP) Network News Transfer Protocol (NNTP)Network News Transfer Protocol (NNTP)

Su Exchange Server 2000 è necessario applicare sia Su Exchange Server 2000 è necessario applicare sia l’aggiornamento per Windows che per Exchangel’aggiornamento per Windows che per Exchange

Su Exchange Server 2003 è necessario applicare Su Exchange Server 2003 è necessario applicare l’aggiornamento per Windowsl’aggiornamento per Windows

MS05-049: IntroduzioneMS05-049: Introduzione Vulnerabilities in Windows Shell Could Allow Remote Code Vulnerabilities in Windows Shell Could Allow Remote Code

Execution (900725)Execution (900725) Livello di gravità massimoLivello di gravità massimo: Importante: Importante Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Windows Server 2003 SP1Windows Server 2003 SP1 Windows Server 2003Windows Server 2003 Windows Server 2003 x64 EditionWindows Server 2003 x64 Edition Windows Server 2003 SP1 per ItaniumWindows Server 2003 SP1 per Itanium Windows Server 2003 per ItaniumWindows Server 2003 per Itanium Windows 2000 SP4Windows 2000 SP4 Windows XP SP2Windows XP SP2 Windows XP SP1Windows XP SP1 Windows XP Pro x64 EditionWindows XP Pro x64 Edition

Componente interessato:Componente interessato: Windows ShellWindows Shell

www.microsoft.com/technet/security/bulletin/ms05-049.mspxwww.microsoft.com/technet/security/bulletin/ms05-049.mspx

MS05-049: vulnerabilitàMS05-049: vulnerabilità Shell Vulnerability - CAN-2005-2122Shell Vulnerability - CAN-2005-2122

Causata da un problema nella gestione dei file .lnkCausata da un problema nella gestione dei file .lnk Shell Vulnerability - CAN-2005-2118Shell Vulnerability - CAN-2005-2118

Causata da un problema nella gestione delle proprietà dei file .lnkCausata da un problema nella gestione delle proprietà dei file .lnk Web View Script Injection Vulnerability - CAN-2005-2117Web View Script Injection Vulnerability - CAN-2005-2117

Causata da un problema di validazione dei caratteri HTML nei documentiCausata da un problema di validazione dei caratteri HTML nei documenti Modalità di attaccoModalità di attacco

Da remoto (non autenticato)Da remoto (non autenticato) Inducendo un utente ad aprire un file .lnk o a visualizzarne le proprietàInducendo un utente ad aprire un file .lnk o a visualizzarne le proprietà Inviando una mail con attachment .lnkInviando una mail con attachment .lnk

Locale (autenticato): aprendo un file .lnk o visualizzandone le proprietàLocale (autenticato): aprendo un file .lnk o visualizzandone le proprietà Inducendo l’utente a visualizzare la preview di un file malformatoInducendo l’utente a visualizzare la preview di un file malformato Privilegi ottenibili: Privilegi ottenibili:

Local System per le prime due vulnerabilitàLocal System per le prime due vulnerabilità Utente loggato per la terza vulnerabilitàUtente loggato per la terza vulnerabilità

Le vulnerabilità non erano pubblicheLe vulnerabilità non erano pubbliche Non vi sono exploit noti al momentoNon vi sono exploit noti al momento

MS05-049: Fattori mitigantiMS05-049: Fattori mitiganti

È richiesta l’interazione dell’utente: È richiesta l’interazione dell’utente: l’attacco non è automatizzabilel’attacco non è automatizzabile Aprire o visualizzare proprietà di file .lnkAprire o visualizzare proprietà di file .lnk Aprire attachmentAprire attachment

Per l’exploit locale è richiesta Per l’exploit locale è richiesta l’autenticazionel’autenticazione

L’exploit della terza vulnerabilità fornisce L’exploit della terza vulnerabilità fornisce solo i privilegi dell’utente loggatosolo i privilegi dell’utente loggato

MS05-049: Soluzioni alternativeMS05-049: Soluzioni alternative Non aprire file con estensione .lnk provenienti Non aprire file con estensione .lnk provenienti

da sconosciutida sconosciuti Non visualizzare le proprietà di file .lnk Non visualizzare le proprietà di file .lnk

provenienti da sconosciutiprovenienti da sconosciuti Disabilitare Web ViewDisabilitare Web View

Usare Windows classic foldersUsare Windows classic folders Impostabile tramite GPOImpostabile tramite GPOImpattoImpatto Non viene visualizzata la barra delle attivitàNon viene visualizzata la barra delle attività

Bloccare le porte 139 e 445 sul firewall Bloccare le porte 139 e 445 sul firewall perimetraleperimetrale

MS05-049: ulteriori informazioniMS05-049: ulteriori informazioni L’aggiornamento di sicurezzaL’aggiornamento di sicurezza

Rimpiazza MS05-016 e MS05-024Rimpiazza MS05-016 e MS05-024 Richiede il riavvio del sistemaRichiede il riavvio del sistema

MS05-050: IntroduzioneMS05-050: Introduzione Vulnerability in DirectShow Could Allow Remote Code Execution (904706)Vulnerability in DirectShow Could Allow Remote Code Execution (904706) Livello di gravità massimoLivello di gravità massimo: Critica: Critica Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Windows Server 2003 SP1Windows Server 2003 SP1 Windows Server 2003Windows Server 2003 Windows Server 2003 x64 EditionWindows Server 2003 x64 Edition Windows Server 2003 SP1 per ItaniumWindows Server 2003 SP1 per Itanium Windows Server 2003 per ItaniumWindows Server 2003 per Itanium Windows 2000 SP4Windows 2000 SP4 Windows XP SP2Windows XP SP2 Windows XP SP1Windows XP SP1 Windows XP Pro x64 EditionWindows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft

Windows Millennium Edition (Me)Windows Millennium Edition (Me) DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000DirectX 8.0, 8.0a, 8.1, 8.1a, 8.1b, 8.2, 9.0, 9.0a, 9.0b, e 9.0c su Windows 2000 DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows XP DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003DirectX 9.0, 9.0a, 9.0b, and 9.0c su Windows Server 2003

Componente interessato:Componente interessato: DirectX (DirectShow)DirectX (DirectShow)

www.microsoft.com/technet/security/bulletin/ms05-050.mspxwww.microsoft.com/technet/security/bulletin/ms05-050.mspx

MS05-050: vulnerabilitàMS05-050: vulnerabilità DirectShow Vulnerability - CAN-2005-2128DirectShow Vulnerability - CAN-2005-2128

causata da un unchecked buffer in DirectShow causata da un unchecked buffer in DirectShow nell’elaborazione dei file AVInell’elaborazione dei file AVI

Modalità di attaccoModalità di attacco Eseguibile da remotoEseguibile da remoto

Inviando una email in formato HTML che viene visualizzata Inviando una email in formato HTML che viene visualizzata dal client dell’utentedal client dell’utente

Inducendo l’utente ad accedere a una pagine web Inducendo l’utente ad accedere a una pagine web contenente un file AVIcontenente un file AVI

Attacco autenticato: NoAttacco autenticato: No Privilegi ottenibili: Utente loggatoPrivilegi ottenibili: Utente loggato

La vulnerabilità non era pubblicaLa vulnerabilità non era pubblica Non vi sono exploit noti al momentoNon vi sono exploit noti al momento

MS05-050: Fattori mitigantiMS05-050: Fattori mitiganti

I privilegi ottenibili sono quelli I privilegi ottenibili sono quelli dell’utente loggatodell’utente loggato

MS05-050: Soluzioni alternativeMS05-050: Soluzioni alternative Se si usano Outlook ed Exchange, bloccare le Se si usano Outlook ed Exchange, bloccare le

estensioni .avi tramite Outlook E-mail estensioni .avi tramite Outlook E-mail Security Administrator (837388)Security Administrator (837388)

Aggiungere .avi alla lista dei tipi di file bloccati Aggiungere .avi alla lista dei tipi di file bloccati da Outlook da Outlook (http://office.microsoft.com/en-us/assistance/(http://office.microsoft.com/en-us/assistance/HA011402971033.aspx)HA011402971033.aspx)

Usare ISA SMTP screener per bloccare le mail Usare ISA SMTP screener per bloccare le mail in arrivo con attachment AVIin arrivo con attachment AVI

Usare il filtro HTTP di ISA 2004 con ‘deny Usare il filtro HTTP di ISA 2004 con ‘deny signature’ per bloccare contenuto HTML signature’ per bloccare contenuto HTML contenente riferimenti a file AVI.contenente riferimenti a file AVI.

MS05-050: ulteriori informazioniMS05-050: ulteriori informazioni L’aggiornamento di sicurezzaL’aggiornamento di sicurezza

Rimpiazza MS03-030Rimpiazza MS03-030 Normalmente il riavvio del sistema non è richiestoNormalmente il riavvio del sistema non è richiesto

Potrebbe essere necessario se i file in questione sono in Potrebbe essere necessario se i file in questione sono in usouso

È necessario usare l’aggiornamento per il È necessario usare l’aggiornamento per il sistema operativo (affected software) se si ha sistema operativo (affected software) se si ha la versione di DirectX installata col SOla versione di DirectX installata col SO

Va installato l’aggiornamento standalone Va installato l’aggiornamento standalone (affected component)se si ha una versione più (affected component)se si ha una versione più recente di DirectXrecente di DirectX

Usare dxdiag per identificare la versione Usare dxdiag per identificare la versione presentepresente

MS05-51: IntroduzioneMS05-51: Introduzione Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Vulnerabilities in MSDTC and COM+ Could Allow Remote Code

Execution (902400) Execution (902400) Livello di gravità massimoLivello di gravità massimo: Critica: Critica Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Windows Server 2003 SP1Windows Server 2003 SP1 Windows Server 2003Windows Server 2003 Windows Server 2003 x64 EditionWindows Server 2003 x64 Edition Windows Server 2003 SP1 per ItaniumWindows Server 2003 SP1 per Itanium Windows Server 2003 per ItaniumWindows Server 2003 per Itanium Windows 2000 SP4Windows 2000 SP4 Windows XP SP2Windows XP SP2 Windows XP SP1Windows XP SP1 Windows XP Pro x64 EditionWindows XP Pro x64 Edition

Componente interessato:Componente interessato: MSDTC, COM+MSDTC, COM+

www.microsoft.com/technet/security/bulletin/ms05-001.mspxwww.microsoft.com/technet/security/bulletin/ms05-001.mspx

MS05-051: vulnerabilitàMS05-051: vulnerabilità MSDTC Vulnerability - CAN-2005-2119MSDTC Vulnerability - CAN-2005-2119

Causata da un unchecked buffer in MSDTCCausata da un unchecked buffer in MSDTC COM+ Vulnerability - CAN-2005-1978COM+ Vulnerability - CAN-2005-1978

Causata dal processo usato da COM+ per creare e usare strutture in memoriaCausata dal processo usato da COM+ per creare e usare strutture in memoria TIP Vulnerability - CAN-2005-1979TIP Vulnerability - CAN-2005-1979

Causata dal Causata dal processo usato da DTC per validare le richieste TIPprocesso usato da DTC per validare le richieste TIP Distributed TIP Vulnerability - CAN-2005-1980Distributed TIP Vulnerability - CAN-2005-1980

Causata dal Causata dal processo usato da DTC per validare le richieste TIPprocesso usato da DTC per validare le richieste TIP Modalità di attaccoModalità di attacco

Windows 2000: da remoto (non autenticato)Windows 2000: da remoto (non autenticato) XP SP1, 2003: XP SP1, 2003:

localmente (autenticato) se MSDTC non è avviatolocalmente (autenticato) se MSDTC non è avviato Da remoto (non autenticato) se MSDTC è avviato o è abilitato per Network AccessDa remoto (non autenticato) se MSDTC è avviato o è abilitato per Network Access

XP SP2, 2003 SP1: localmente (autenticato)XP SP2, 2003 SP1: localmente (autenticato) Privilegi ottenibili: Privilegi ottenibili:

Local System per le prime due vulnerabilitàLocal System per le prime due vulnerabilità Lo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of ServiceLo sfruttamento della terza e quarta vulnerabilità porta ad un Denial Of Service

Le vulnerabilità non erano pubblicheLe vulnerabilità non erano pubbliche Non vi sono exploit noti al momentoNon vi sono exploit noti al momento

MS05-051: Fattori mitigantiMS05-051: Fattori mitiganti Windows XP Service Pack 2 e Windows Server Windows XP Service Pack 2 e Windows Server

2003 Service Pack 1 non sono affetti dalla prima 2003 Service Pack 1 non sono affetti dalla prima vulnerabilitàvulnerabilità

DI default, su Windows Server 2003, MSDTC è avviato, DI default, su Windows Server 2003, MSDTC è avviato, ma Network DTC Access non è abilitatoma Network DTC Access non è abilitato

Di default, su Windows XP Service Pack 1, Di default, su Windows XP Service Pack 1, MSDTC non è avviatoMSDTC non è avviato

Su XP SP2, 2003, e 2003 SP1 servono credenziali valide Su XP SP2, 2003, e 2003 SP1 servono credenziali valide e il logon locale per sfruttare la seconda vulnerabilitàe il logon locale per sfruttare la seconda vulnerabilità

Il protocollo TIP di default è disabilitatoIl protocollo TIP di default è disabilitato Le best practices sui firewall perimetrali normalmente Le best practices sui firewall perimetrali normalmente

bloccano le porte relative a questi attacchibloccano le porte relative a questi attacchi

MS05-051: Soluzioni alternativeMS05-051: Soluzioni alternative Disabilitare il servizio MSDTC (manualmente o tramite GPO)Disabilitare il servizio MSDTC (manualmente o tramite GPO)

Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, o Message Queuingo Message Queuing

Disabilitare Network DTC Access Disabilitare Network DTC Access Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server, Impatto: potrebbe essere usato da SQL Server, BizTalk Server, Exchange Server,

o Message Queuingo Message Queuing Bloccare sul firewall:Bloccare sul firewall:

Tutto il traffico unsolicited inbound su porte superiori alla 1024Tutto il traffico unsolicited inbound su porte superiori alla 1024 Ogni altra porta specificamente configurata per RPCOgni altra porta specificamente configurata per RPC

Abilitare il Personal FirewallAbilitare il Personal Firewall Abilitare advanced TCP/IP filteringAbilitare advanced TCP/IP filtering Abilitare IPSECAbilitare IPSEC Per la seconda vulnerabilità:Per la seconda vulnerabilità:

Disabilitare COM+ Disabilitare COM+ Bloccare sul firewall:Bloccare sul firewall:

Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593Porte UDP 135, 137, 138, e 445, e porte TCP 135, 139, 445, e 593 Se è installato, Se è installato, CIS o RPC over HTTP, che ascolta sulle porte 80 e 443CIS o RPC over HTTP, che ascolta sulle porte 80 e 443

Disabilitare DCOMDisabilitare DCOM Per bloccare TIPPer bloccare TIP

Bloccare sul firewall la porta TCP 3372Bloccare sul firewall la porta TCP 3372

MS05-051: ulteriori informazioniMS05-051: ulteriori informazioni L’aggiornamento di sicurezzaL’aggiornamento di sicurezza

rimpiazza rimpiazza MS03-010, MS03-026, MS03-039, MS03-010, MS03-026, MS03-039, MS04-012, MS05-012 MS04-012, MS05-012

richiede il riavvio del sistemarichiede il riavvio del sistema Introduce delle modifiche di funzionalità:Introduce delle modifiche di funzionalità:

Disabilita il protocollo TIP su Windows 2000Disabilita il protocollo TIP su Windows 2000 Introduce 4 chiavi di registry per controllare il Introduce 4 chiavi di registry per controllare il

funzionamento di TIPfunzionamento di TIP

MS05-052: IntroduzioneMS05-052: Introduzione Cumulative Security Update for Internet Explorer (896688)Cumulative Security Update for Internet Explorer (896688) Livello di gravità massimoLivello di gravità massimo: Critica: Critica Software interessato dalla vulnerabilitàSoftware interessato dalla vulnerabilità: :

Windows Server 2003 SP1Windows Server 2003 SP1 Windows Server 2003Windows Server 2003 Windows Server 2003 x64 EditionWindows Server 2003 x64 Edition Windows Server 2003 SP1 per ItaniumWindows Server 2003 SP1 per Itanium Windows Server 2003 per ItaniumWindows Server 2003 per Itanium Windows 2000 SP4Windows 2000 SP4 Windows XP SP2Windows XP SP2 Windows XP SP1Windows XP SP1 Windows XP Pro x64 EditionWindows XP Pro x64 Edition Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me)Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), e Microsoft Windows Millennium Edition (Me)

Componente interessato:Componente interessato: Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 5.01 Service Pack 4 su Microsoft Windows 2000 Service Pack 4 Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 Internet Explorer 6 Service Pack 1 su Windows 2000 SP4 o su XP SP1 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 for Microsoft Windows XP Service Pack 2 Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1Internet Explorer 6 for Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 Internet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for ItaniumInternet Explorer 6 for Windows Server 2003 for Itanium e Windows Server 2003 SP1 for Itanium Internet Explorer 6 for Microsoft Windows Server 2003 x64 EditionInternet Explorer 6 for Microsoft Windows Server 2003 x64 Edition Internet Explorer 6 for Microsoft Windows XP Professional x64 EditionInternet Explorer 6 for Microsoft Windows XP Professional x64 Edition Internet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium EditionInternet Explorer 5.5 Service Pack 2 su Microsoft Windows Millennium Edition Internet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium EditionInternet Explorer 6 Service Pack 1 su Microsoft Windows 98, 98 SE, o Windows Millennium Edition

www.microsoft.com/technet/security/bulletin/ms05-001.mspxwww.microsoft.com/technet/security/bulletin/ms05-001.mspx

MS05-052: vulnerabilitàMS05-052: vulnerabilità COM Object Instantiation Memory Corruption COM Object Instantiation Memory Corruption

Vulnerability - CAN-2005-2127Vulnerability - CAN-2005-2127 causata dalla possibilità che oggetti COM istanziati da IE causata dalla possibilità che oggetti COM istanziati da IE come come

controlli ActiveX possano corrompere la memoria di sistema controlli ActiveX possano corrompere la memoria di sistema permettendo l’esecuzione di codice arbitrariopermettendo l’esecuzione di codice arbitrario

Modalità di attaccoModalità di attacco Eseguibile da remotoEseguibile da remoto

Creando un’opportuna pagina Web o compromettendo un sito Creando un’opportuna pagina Web o compromettendo un sito Web per fare in modo che presenti una pagina Web dannosa o Web per fare in modo che presenti una pagina Web dannosa o tramite un banner pubblicitariotramite un banner pubblicitario

Inviando una e-mail HTML opportunaInviando una e-mail HTML opportuna Attacco autenticato: NoAttacco autenticato: No Privilegi ottenibili: quelli dell’utente loggatoPrivilegi ottenibili: quelli dell’utente loggato

La vulnerabilità era pubblicaLa vulnerabilità era pubblica L’exploit è pubblicoL’exploit è pubblico

MS05-052: Fattori mitigantiMS05-052: Fattori mitiganti Nello scenario web è richiesta l’interazione Nello scenario web è richiesta l’interazione

dell’utentedell’utente I privilegi ottenibili sono quelli dell’utente I privilegi ottenibili sono quelli dell’utente

loggatologgato L’apertura delle mail nella zona Restricted sites L’apertura delle mail nella zona Restricted sites

(default in Outlook Express 6, Outlook 2002, e (default in Outlook Express 6, Outlook 2002, e Outlook 2003) limita gli attacchi via mailOutlook 2003) limita gli attacchi via mail

Di default, Internet Explorer su Windows Server Di default, Internet Explorer su Windows Server 2003 è eseguito in modalità Enhanced Security 2003 è eseguito in modalità Enhanced Security Configuration, il che mitiga questa vulnerabilitàConfiguration, il che mitiga questa vulnerabilità

MS05-052: Soluzioni alternativeMS05-052: Soluzioni alternative Impostare il livello di protezione delle aree Internet e Impostare il livello di protezione delle aree Internet e

Intranet locale su "Alta“ o richiedere conferma Intranet locale su "Alta“ o richiedere conferma all'esecuzione di controlli ActiveX e pluginsall'esecuzione di controlli ActiveX e plugins

Limitare i siti Web ai soli siti attendibiliLimitare i siti Web ai soli siti attendibili Installare Outlook E-mail Security Update se si utilizza Installare Outlook E-mail Security Update se si utilizza

Outlook 2000 SP1 o versione precedenteOutlook 2000 SP1 o versione precedente Installare l'aggiornamento descritto nel bollettino Installare l'aggiornamento descritto nel bollettino

MS04-018 se si utilizza Outlook Express 5.5 SP2MS04-018 se si utilizza Outlook Express 5.5 SP2 Leggere la posta elettronica in formato solo testo, se Leggere la posta elettronica in formato solo testo, se

si utilizza Outlook 2002 e versioni successive o si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successiveOutlook Express 6 SP1 e versioni successive

MS05-052: ulteriori informazioniMS05-052: ulteriori informazioni L’aggiornamento di sicurezzaL’aggiornamento di sicurezza

Richiede il riavvioRichiede il riavvio Sostituisce MS05-037 e ms05-038Sostituisce MS05-037 e ms05-038 Introduce controlli addizionali prima di eseguire Introduce controlli addizionali prima di eseguire

oggetti COM in IEoggetti COM in IE Migliora la funzionalità di Internet Explorer Pop-up Migliora la funzionalità di Internet Explorer Pop-up

Blocker (Windows XP Service Pack 2 e Windows Blocker (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1)Server 2003 Service Pack 1)

Migliora la funzionalità di Internet Explorer Add-on Migliora la funzionalità di Internet Explorer Add-on Manager (Windows XP Service Pack 2 e Windows Manager (Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1Server 2003 Service Pack 1

Imposta il kill bit per l’oggetto ADODB.StreamImposta il kill bit per l’oggetto ADODB.Stream

Strumenti per il rilevamentoStrumenti per il rilevamento

http://support.microsoft.com/kb/908921 http://support.microsoft.com/kb/908921 è l’articolo di KB a cui far riferimentoè l’articolo di KB a cui far riferimento

MBSA 2.0MBSA 2.0 Rileva tutti i sistemi che richiedono gli Rileva tutti i sistemi che richiedono gli

aggiornamentiaggiornamenti MBSA 1.2.1MBSA 1.2.1

Rileva tutti i sistemi che richiedono gli Rileva tutti i sistemi che richiedono gli aggiornamenti tranne i seguenti per cui è aggiornamenti tranne i seguenti per cui è necessario Enterprise Scan Toolnecessario Enterprise Scan Tool MS05-044 su Windows2000MS05-044 su Windows2000 MS05-050 su Windows 2000, XP SP1, 2003MS05-050 su Windows 2000, XP SP1, 2003

Strumenti per il deploymentStrumenti per il deployment WSUSWSUS

consente il deploy di tutti gli update e di MSRTconsente il deploy di tutti gli update e di MSRT Tramite i report consente di verificare la compliance di tutti Tramite i report consente di verificare la compliance di tutti

i sistemii sistemi SUSSUS

Consente di deployare tutti gli update ad eccezione di Consente di deployare tutti gli update ad eccezione di MS05-048 per Exchange che va installato manualmenteMS05-048 per Exchange che va installato manualmente

Utilizzare MBSA per verificare la compliance (vedi slide Utilizzare MBSA per verificare la compliance (vedi slide precedente)precedente)

SMS 2003 SP1SMS 2003 SP1 Usare ITMU per verificare gli update richiestiUsare ITMU per verificare gli update richiesti

SMS 2003 o 2.0SMS 2003 o 2.0 Usare Security Update Inventory Tool per gli update Usare Security Update Inventory Tool per gli update

rilevabili da MBSA 1.2.1rilevabili da MBSA 1.2.1 Usare Extended Security Update Inventory Tool per gli Usare Extended Security Update Inventory Tool per gli

update rilevabili da ESTupdate rilevabili da EST

Malicious Software Removal Malicious Software Removal ToolTool Versione (1.9) aggiunge la rimozione di:Versione (1.9) aggiunge la rimozione di:

Win32/Antinny Win32/Antinny - - Moderate Moderate Win32/Gibe Win32/Gibe - - Moderate Moderate Win32/Mywife Win32/Mywife - - Moderate Moderate Win32/Wukill Win32/Wukill - - Moderate Moderate

Maggiori informazioni sono disponibili Maggiori informazioni sono disponibili nell’articolo KB 890830 nell’articolo KB 890830 ((http://http://support.microsoft.comsupport.microsoft.com//kbkb/890830/890830))

Malicious Software Removal Malicious Software Removal Tool Tool (2)(2) Disponibilità:Disponibilità:

Download dal Microsoft Download Center Download dal Microsoft Download Center http://http://go.microsoft.com/fwlink/?linkidgo.microsoft.com/fwlink/?linkid=40587=40587

Per gli utenti con Windows XP, 2003 o 2000 come Per gli utenti con Windows XP, 2003 o 2000 come aggiornamento critico da Microsoft Update, Windows aggiornamento critico da Microsoft Update, Windows Update o Automatic UpdateUpdate o Automatic Update

Come controllo ActiveX al sito Come controllo ActiveX al sito www.microsoft.com/malwareremove/default.aspxwww.microsoft.com/malwareremove/default.aspx

Offerto da WSUS (non da SUS 1.0)Offerto da WSUS (non da SUS 1.0) Note:Note:

Informazioni sul deployment del tool nelle realtà Informazioni sul deployment del tool nelle realtà enterprise sono disponibili nell’articolo KB 891716 enterprise sono disponibili nell’articolo KB 891716 ((http://support.microsoft.com/kb/891716http://support.microsoft.com/kb/891716))

Security NewsSecurity News A Monaco Steve Ballmer ha annunciato:A Monaco Steve Ballmer ha annunciato:

Microsoft Client ProtectionMicrosoft Client Protection Protezione integrata contro virus, spyware, rootkits e altre Protezione integrata contro virus, spyware, rootkits e altre

forme di malwareforme di malware Una versione beta verrà resa disponibile ad alcuni clienti per Una versione beta verrà resa disponibile ad alcuni clienti per

la fine dell’annola fine dell’anno Microsoft AntigenMicrosoft Antigen

protezione antivirus e anti-spam per server di messaging e protezione antivirus e anti-spam per server di messaging e collaboration (Exchange, Sharepoint, LCS) collaboration (Exchange, Sharepoint, LCS)

Disponibile nel primo trimestre del 2006Disponibile nel primo trimestre del 2006 SecureIT Alliance: collaborazione tra partner di SecureIT Alliance: collaborazione tra partner di

sicurezza per sviluppare soluzioni su piattaforma sicurezza per sviluppare soluzioni su piattaforma Microsoft.Microsoft. VeriSign, Trend Micro, Symantec e altri 15 membriVeriSign, Trend Micro, Symantec e altri 15 membri