Security Blog di Feliciano Intini : 2.5-Windows Server 2008 Security

Nuovi video seminari Technet Spotlight sulla sicurezza

Feliciano Intini — Mon, 04 Aug 2008 13:53:28 GMT

Sia che siate in vacanza, sia che siate ancora/già al lavoro, probabilmente in questo periodo avrete un po' di tempo libero in più del solito. Il mio personale invito è sicuramente quello di usarlo per ritemprarvi nel corpo e nello spirito,...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - luglio 2008

Feliciano Intini — Wed, 09 Jul 2008 11:53:40 GMT

Rieccoci al consueto appuntamento di analisi dei bollettini di sicurezza Microsoft: come già anticipato venerdì scorso , questo mese vede l'emissione di 4 bollettini , tutti con rating Important , che risolvono un totale di 9 vulnerabilità...(read more)

Adobe Reader 9: più sicuro o meno sicuro delle versioni precedenti?

Feliciano Intini — Fri, 04 Jul 2008 14:20:52 GMT

... lascio a voi dare una risposta, dopo aver letto i due post che vi propongo di seguito. Il primo è quello del mio collega Robert Hensing , che ha verificato come la versione di Adobe Reader 9 abbia finalmente incluso il supporto (su Windows Vista...(read more)

4 bollettini di sicurezza Microsoft in arrivo per luglio 2008

Feliciano Intini — Fri, 04 Jul 2008 09:01:34 GMT

Approccio per così dire... semi-estivo... al rilascio dei bollettini di sicurezza Microsoft previsti per il prossimo 8 luglio: sono attesi solo 4 bollettini e solo con rating Important , come potete osservare dalla tabella di sintesi Maggiori dettagli...(read more)

Nuova guida su NAP nella serie delle nuove guide Microsoft Infrastructure Planning & Design (IPD)

Feliciano Intini — Mon, 30 Jun 2008 16:06:55 GMT

In pieno stile serendipity , leggendo l'ultimo post sul blog di NAP non solo ho appreso di una nuova interessante guida che vi aiuta nelle scelte architetturali da prendere di fronte alla progettazione di una soluzione NAP: Selecting the Right NAP Architecture...(read more)

Video e risorse sulla nuova funzionalità "fine-grained password policies" di Windows Server 2008

Feliciano Intini — Mon, 30 Jun 2008 12:52:36 GMT

In questi giorni, per puro caso, mi sono capitate tra le mani una serie di risorse che permettono di approfondire una tra le più attese funzionalità di Active Directory (AD) , finalmente implementata in Windows Server 2008 : la possibilità...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - giugno 2008

Feliciano Intini — Fri, 13 Jun 2008 10:30:50 GMT

Lo so, lo so... vi stavate domandando dove fossi finito e cosa fosse successo di tanto importante da impedirmi di postare la consueta analisi di rischio sui bollettini di sicurezza Microsoft durante la classica notte del secondo martedì del mese....(read more)

7 bollettini di sicurezza Microsoft in arrivo per giugno 2008

Feliciano Intini — Fri, 06 Jun 2008 12:02:36 GMT

Ecco la puntuale anticipazione sui bollettini di sicurezza Microsoft per il mese di giugno, questa volta tutti dedicati alla famiglia Windows (lo so che vi viene facile una battuta: che il team di Office sia andato in vacanza?... :-)), in particolare...(read more)

Nuovi whitepaper su Windows Server 2008 Certificate Services

Feliciano Intini — Mon, 26 May 2008 15:43:41 GMT

Giorgio Malusardi riprende sul suo blog la notizia dei freschissimi whitepaper relativi ai Certificate Services di Windows Server 2008 annunciati sul Windows PKI blog:

A breve verranno aggiunti al mio Microsoft Security Portal (quasi pronta la versione 2.0!!).

Share this post :

Rilasciato il Microsoft Baseline Security Analyzer 2.1

Feliciano Intini — Fri, 16 May 2008 10:27:05 GMT

L'amicollega (ho coniato un neologismo!) Andrea Piazza del mio security team Microsoft Premier Center for Security (PCfS) mi ha segnalato un rilascio importante per gli amministratori di sicurezza su piattaforma Microsoft:

il tool Microsoft Baseline Security Analyzer 2.1

Per coloro che ancora non conoscessero MBSA: è il tool gratuito che permette di operare la scansione remota/locale dei sistemi Windows per individuare le security patch mancanti e per verificare lo stato di alcune importanti configurazioni di sicurezza. Il tool si è evoluto nel tempo migliorando via via la sua integrazione con la contemporanea evoluzione delle soluzioni e dei servizi di Security Patch Management di Microsoft. L'ultima versione rilasciata ha queste novità:

Support for Windows Vista and Windows Server 2008
Updated graphical user interface
Full support for 64-bit platforms and vulnerability assessment (VA) checks against 64-bit platforms and components
Improved support for Windows XP Embedded platform
Improved support for SQL Server 2005 vulnerability assessment (VA) checks
Automatic Microsoft Update registration and agent update (if selected) using the graphical interface or from the command-line tool using the /ia feature
New feature to output completed scan reports to a user-selected directory path or network share (command-line /rd feature)
Windows Server Update Services 2.0 and 3.0 compatibility

Approfittando del ripasso su MBSA ho anche appreso della presenza di una versione gratuita del tool NetChk Limited della Shavlik (MBSA è nato dalla collaborazione con la Shavlik) che permette di operare la scansione di quei prodotti Microsoft che non sono supportati da MBSA 2.0 e successive versioni: segnatevi questo fondamentale articolo 895660 della Microsoft Knowledge Base dove c'è la tabella comparativa dei prodotti supportarti dalla varie versioni MBSA e dal tool integrativo EST (è una tabella da tenere sempre a portata di mano per chi si occupa di Security Patch Management). I prodotti supportati da NetChk Limited sono a questo link.

Share this post :

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008

Feliciano Intini — Tue, 13 May 2008 20:12:08 GMT

Dopo avervi fornito su MClips le considerazioni più generali dell'emissione di bollettini di sicurezza di maggio, eccovi un'analisi più di dettaglio:

MS08-026 su Word: due vulnerabilità Critical di tipo Remote Code Execution relative a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è diverso per le due vulnerabilità: per la prima consiste in file/email di tipo RTF (Rich Text Format), per la seconda consiste in file di Word. In virtù di quanto detto questo bollettino merita una sollecitudine particolare all'aggiornamento da parte degli utenti dotati di Outlook 2007 e Outlook 2007 SP1: queste versioni utilizzano nativamente Word come editor predefinito e quindi sono soggette all'attacco da parte di email malformate ad-hoc in formato RTF se vengono visualizzate (anche in preview) in formato RTF/HTML (in queste situazioni la visualizzazione in formato solo testo è un valido workaround in attesa dell'aggiornamento).
Questo aggiornamento introduce inoltre un miglioramento funzionale di sicurezza: all'utente ora viene chiesta una conferma esplicita prima di procedere all'esecuzione di comandi/query SQL in caso di database Jet inclusi in documenti Word (per irrobustire la protezione da attacchi segnalati dal Security Advisory 950627 e indirizzati dal bollettino MS08-028).
MS08-027 su Publisher: una vulnerabilità Critical di tipo Remote Code Execution relativa a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Publisher malformati ad-hoc.
MS08-028 sul Microsoft Jet 4.0 Database Engine (Jet) in Windows: una vulnerabilità Critical di tipo Remote Code Execution (già nota pubblicamente, e di cui era già nota la presenza di exploit) relativa solo alle versioni meno recenti e meno aggiornate di Windows (Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1) che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'invio di query malformate ad-hoc ad applicazioni che utilizzano JET (il vettore di attacco tipico è l'invio di file MDB, direttamente o inclusi in documenti Word/email; gli utenti dotati di Outlook 2003/2007 sono a rischio anche rispetto alla visualizzazione in HTML in preview).
MS08-029 sul Microsoft Malware Protection Engine incluso in Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT): due vulnerabilità Moderate di tipo Denial of Service che permetterebbero di far smettere di funzionare (e di far ripartire automaticamente) i suddetti prodotti tramite l'invio di un file malformato ad-hoc e sottoposto a scansione da parte del Malware Protection Engine.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :

Windows 2000 più sicuro di Vista? La matematica non è un'opinione...

Feliciano Intini — Mon, 12 May 2008 10:23:33 GMT

La notizia segnalata dal lettore nel commento al mio ultimo post era effettivamente troppo succosa per non essere ripresa da un discreto numero di testate... visto che si poteva mettere in cattiva luce la sicurezza di Vista!

In sintesi: Simon Clausen, il CEO di PC Tools, ha commentato le statistiche di disinfezione del loro strumento anti-malware ThreatFire

"Ironically, the new operating system has been hailed by Microsoft as the most secure version of Windows to date, however, recent research conducted with statistics from over 1.4 million computers within the ThreatFire community has shown that Windows Vista is more susceptible to malware than the eight year old Windows 2000 operating system, and only 37% more secure than Windows XP."

E' un tema che questo mio blog dibatte spesso e volentieri: come si fa a dedurre considerazioni generali sulla sicurezza di un sistema operativo da queste metriche parziali (e spesso opinabili)? Con tutto il rispetto per PC Tools e per i suoi prodotti/servizi di sicurezza, è triste notare come il CEO di un'azienda di rilievo nel panorama informatico si presti a questi atteggiamenti di propaganda: avrei voglia di chiedere a Mr. Clausen, ma lei ci è o ci fa? Se crede davvero a quello che ha detto forse è meglio che si occupi di altro rispetto alla sicurezza, se invece (come credo) ha pensato utile metterla in quel modo per strategia marketing (il fatto che grazie a questa notizia si sia ottenuta pubblicità gratuita ai servizi di sicurezza di PC Tools, non è un risultato da poco...) beh allora... siamo alla frutta!

Questi risultati vanno presi come sono: indicazioni statistiche che possono mostrare dei trend, se l'analisi dei dati viene fatta in modo serio. Qualcuno infatti ha poi recuperato i dati del recente Microsoft Security Intelligence Report trovando addirittura parziale conferma alle affermazioni di PC Tools, dicendo che "...Windows 2000 è ancora più sicuro di un sistema con XP..." !!!

E qui, dopo aver contestato il metodo (induttivo, che usa questa equivalenza: meno malware rilevato = sistema più sicuro), vengo alla contestazione sul merito dei numeri.

Confrontate voi la valenza statistica di una ricerca fatta su 1.4 milioni di PC rispetto a quella Microsoft realizzata su 450 milioni di PC ...
Chi analizza i numeri dovrebbe almeno leggere il report per intero: da un lato i numeri normalizzati riportati da Microsoft sembrano dar adito all'affermazione virgolettata (Windows 2000 meglio di Windows XP), poiché a pag.48 si legge...
Windows Vista = 2,8%
Windows XP SP2 = 7,2%
Windows 2000 SP4 = 5,0%
Windows 2003 SP2 = 1,5%
... ma giusto nella pagina seguente (pag.49) si legge: "The infection rate of Windows 2000 SP4, which includes both server and client editions, falls between the infection rates of the pure server version (Windows Server 2003 SP2) and the client version (Windows XP SP2). Servers are typically accessed directly only by trained system administrators in controlled enterprise environments, so their effective attack surface tends to be much lower than computers running client operating systems".

Ritenete che siano dati confrontabili? Ha senso sparare notizie sensazionalistiche se non si analizzano i dati?

Quanta superficialità sta emergendo nell'informazione... :-((((

Share this post :

Alcune risorse utili sul Security Auditing in Windows Vista e Windows Server 2008

Feliciano Intini — Mon, 21 Apr 2008 11:40:23 GMT

Quando vi ho parlato della nuova proposizione strategica di Microsoft, "End to End Trust", vi ho riportato i due concetti cardine: maggiore Autenticazione e miglior Audit. L'ambito dell'Audit, se lo iniziamo ad osservare dal punto di vista tecnologico, è uno di quelli su cui la piattaforma Windows sta facendo i maggiori progressi rispetto agli albori. All'inizio (ai tempi di Windows NT) la generazione degli eventi di auditing in Windows non è stata pensata per essere esattamente uno strumento a supporto del professionista di sicurezza: l'obiettivo reale era quello di poter tracciare con il maggior livello di dettaglio il comportamento del sistema operativo per poter risolvere i suoi eventuali malfunzionamenti. Solo dopo si è compreso che era necessario modificare alcuni aspetti del meccanismo di event logging anche a favore di una fruibilità in area sicurezza, per realizzare un vero e proprio security auditing.

Windows Vista e Windows Server 2008 rappresentano le versioni su cui questa evoluzione ha raggiunto un livello, tanto atteso, di vera maturità. A questo proposito, quindi, potrebbero interessarvi i riferimenti informativi che stanno già illustrando queste novità:

Il blog "Windows Security Logging and Other Esoterica" del team di Windows Auditing
Il blog "Ask the Directory Services Team" del team Directory Services

Ultima risorsa segnalata è un utilissimo articolo di KB e un foglio Excel in cui sono documentati tutti i circa 360 eventi di sicurezza di Windows Vista e Windows Server 2008.

Buona consultazione!

Share this post :

Security Advisory 951306 relativo al privilegio SeImpersonatePrivilege di Windows

Feliciano Intini — Fri, 18 Apr 2008 10:13:04 GMT

Microsoft ha emesso il "Microsoft Security Advisory (951306) - Vulnerability in Windows Could Allow Elevation of Privilege" per segnalare che vi sono approfondimenti in corso per correggere una vulnerabilità che interessa praticamente tutte le versioni attualmente supportate di Windows tranne Windows 2000 SP4. Potreste aver già letto di questa problematica, in quanto è stata oggetto di una presentazione del ricercatore Cesar Cerrudo ad una recente conferenza di sicurezza a Dubai. Ogni processo dotato del privilegio SeImpersonatePrivilege, se opera in modo da caricare ed eseguire codice fornito dall'utente, potrebbe essere esposto e permettere l'innalzamento dei privilegi fino a quelli LocalSystem. E' indubbiamente un brutto difetto: vanifica, ad esempio, il beneficio dell'uso di un insieme ridotto di privilegi con cui sono stati pensati gli account di servizio NetworkService e LocalService proprio per evitare di fornire l'uso dell'account LocalSystem ai processi che non hanno necessariamente bisogno dei massimi poteri sul sistema.

Il consiglio è naturalmente di approfondire l'advisory per adottare, se necessario, gli accorgimenti di protezione (sezione Suggested Actions-Workarounds) in attesa della correzione del problema.

Share this post :

Analisi di rischio sui Bollettini di sicurezza Microsoft - aprile 2008

Feliciano Intini — Tue, 08 Apr 2008 23:05:08 GMT

L'emissione dei bollettini di questo mese, anche se risulta corposa con i suoi 8 bollettini che risolvono un totale di 10 vulnerabilità, si presenta con caratteristiche di insieme che non rendono lo scenario di rischio diverso dal livello medio (e sinceramente non particolarmente preoccupante) a cui Microsoft ci ha abituato da diversi mesi a questa parte: tutte le vulnerabilità risolte non erano note prima di questo rilascio e nessuna presenta caratteristiche tali da permettere la realizzazione di malware di tipo worm. Inoltre, come già accennato nel preavviso di venerdì scorso, il minor impatto delle versioni più recenti di Windows continua a confermare la validità del processo di Security Development Lifecycle (SDL) di revisione del codice dal punto di vista della sicurezza:

Windows Server 2008 e Windows Vista SP1 interessati da 4 bollettini
Windows Vista RTM interessato da 5 bollettini
Windows XP, Windows Server 2003 e Windows 2000 interessati da 6 bollettini.

Due aspetti meritano di essere segnalati questo mese:

il bollettino MS08-023 rappresenta l'inizio di un nuovo approccio: a partire da questo mese le modifiche dei Kill Bit relativi a controlli ActiveX vulnerabili sia di Microsoft che di terze parti non saranno più incluse nel tipico bollettino cumulativo di Internet Explorer ma distribuiti in un aggiornamento separato che sarà a sua volta cumulativo d'ora in avanti. In questo modo si agevola il cliente nella gestione dei test di compatibilità applicativa e si contribuisce al miglioramento degli aspetti di sicurezza dell'ecosistema delle aziende partner grazie alla possibilità di utilizzare in modo più esteso gli automatismi di aggiornamento per distribuire le segnalazioni di vulnerabilità anche di ActiveX relativi a prodotti non-Microsoft.
il bollettino cumulativo di Internet Explorer (MS08-024) presenta una importante modifica di funzionalità: è stato introdotto l'Automatic Component Activation per rimuovere il comportamento (fastidioso) che richiedeva agli utenti di cliccare sui controlli ActiveX di una pagina web prima di poterli effettivamente utilizzare (modifica introdotta nell'aprile 2006).

Maggiori dettagli sulle vulnerabilità:

MS08-018 su Project: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Project malformati ad-hoc. Le versioni più recenti di Project non sono interessate da questa vulnerabilità.
MS08-019 su Visio: due vulnerabilità di tipo Remote Code Execution che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Visio (per la prima vulnerabilità) e di file di Autocad di tipo .DFX (per la seconda vulnerabilità)malformati ad-hoc. La severity aggregata è Important.
MS08-020 sul DNS Client di Windows: una vulnerabilità Important di tipo Spoofing che permetterebbe di inviare al sistema sotto attacco delle risposte DNS malformate in modo tale da dirottare il traffico Internet verso sistemi illegittimi. Windows Vista SP1 e Windows Server 2008 non sono interessati da questa vulnerabilità.
MS08-021 sul componente GDI di Windows: due vulnerabilità Critical di tipo Remote Code Execution che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di immagini di tipo WMF/EMF (per la prima vulnerabilità) e di immagini di tipo EMF (per la seconda vulnerabilità) malformate ad-hoc.
MS08-022 su VBScript/JScript di Windows: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato, con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco. Windows Vista e Windows Server 2008 non sono interessati da questa vulnerabilità.
MS08-023 sull'ActiveX hxvz.dll in Windows e sull'ActiveX di Yahoo! Music Jukebox: una vulnerabilità Critical di tipo Remote Code Execution che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato, con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
MS08-024 su Internet Explorer in Windows: classica cumulativa che risolve una vulnerabilità Critical di tipo Remote Code Execution, con privilegi sfruttabili pari a quelli dell'utente loggato e con contenuti web acceduti via Internet o fruiti tramite email HTML come vettori di attacco.
MS08-025 sul Kernel di Windows: una vulnerabilità Important di tipo Elevation of Privilege che permetterebbe, ad un utente con valide credenziali di logon sul sistema Windows, di eseguire un'applicazione ad-hoc in grado di essere eseguita con i massimi privilegi.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :