Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Forefront Client Security

In futuro prevarrà la Positive Security?

Feliciano Intini — Mon, 22 Sep 2008 13:27:50 GMT

Alzi la mano chi di voi sa dire al volo cosa sia la " Positive Security ". Io confesso di averlo appreso da pochissimo: anche se il suo significato è abbastanza intuibile, questo termine non sembra ancora molto diffuso (wikipedia non ha...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - settembre 2008

Feliciano Intini — Wed, 10 Sep 2008 00:39:01 GMT

Il rilascio dei bollettini di sicurezza Microsoft di questo mese vede l'emissione di 4 bollettini, con rating Critical , che risolvono un totale di 8 vulnerabilità, tutte non note pubblicamente prima d'ora . Come si potrà notare dalla consueta...(read more)

Versione definitiva del "Microsoft Forefront Integration Kit for Network Access Protection", portale NAP, podcast su Stirling

Feliciano Intini — Thu, 05 Jun 2008 16:07:55 GMT

Riprendo doverosamente il post di Renato che annuncia il rilascio definitivo del " Microsoft Forefront Integration Kit for Network Access Protection " di cui vi avevo parlato in occasione della relativa versione Beta. Come è buona abitudine...(read more)

Nuovo blog e nuove risorse su Forefront Stirling

Feliciano Intini — Tue, 20 May 2008 16:13:44 GMT

Direttamente dal blog generale sulla famiglia Forefront, vi segnalo la nascita di un nuovo blog dedicato alla prossima versione della suite Forefront, code name "Stirling", di cui vi ho parlato in occasione del lancio della beta pubblica durante la scorsa RSA Conference 2008. Il lancio del blog è stata anche l'occasione per la pubblicazione di una nuova serie di whitepaper e risorse utili per l'approfondimento:

TechNet: Stirling information can be accessed from the Stirling TechNet Web site.

Deployment: The Stirling Deployment Guide steps you through installing Stirling and deploying the Stirling client software to the client computers in your lab environment.

Operations: The Stirling Operations Guide has documentation on day-to-day management tasks, as well as feature walkthroughs that you can use in your lab to explore the Stirling features.

Stirling and PowerShell: Stirling utilizes PowerShell for its features, and the cmdlets available with Beta 1 are documented in the PowerShell console and on TechNet. Also - a brief introduction on how Stirling uses PowerShell is included in the Operations guide.

Newsgroups: You can post questions and get more information about Stirling on the Stirling TechNet Community Forums.

Davvero urge l'aggiornamento del mio Microsoft Security Portal... ho un arretrato da paura di link da aggiungere...sorry :-(

Share this post :

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2008

Feliciano Intini — Tue, 13 May 2008 23:12:08 GMT

Dopo avervi fornito su MClips le considerazioni più generali dell'emissione di bollettini di sicurezza di maggio, eccovi un'analisi più di dettaglio:

MS08-026 su Word: due vulnerabilità Critical di tipo Remote Code Execution relative a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco è diverso per le due vulnerabilità: per la prima consiste in file/email di tipo RTF (Rich Text Format), per la seconda consiste in file di Word. In virtù di quanto detto questo bollettino merita una sollecitudine particolare all'aggiornamento da parte degli utenti dotati di Outlook 2007 e Outlook 2007 SP1: queste versioni utilizzano nativamente Word come editor predefinito e quindi sono soggette all'attacco da parte di email malformate ad-hoc in formato RTF se vengono visualizzate (anche in preview) in formato RTF/HTML (in queste situazioni la visualizzazione in formato solo testo è un valido workaround in attesa dell'aggiornamento).
Questo aggiornamento introduce inoltre un miglioramento funzionale di sicurezza: all'utente ora viene chiesta una conferma esplicita prima di procedere all'esecuzione di comandi/query SQL in caso di database Jet inclusi in documenti Word (per irrobustire la protezione da attacchi segnalati dal Security Advisory 950627 e indirizzati dal bollettino MS08-028).
MS08-027 su Publisher: una vulnerabilità Critical di tipo Remote Code Execution relativa a tutte le versioni attualmente supportate di Office che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'apertura di file di Publisher malformati ad-hoc.
MS08-028 sul Microsoft Jet 4.0 Database Engine (Jet) in Windows: una vulnerabilità Critical di tipo Remote Code Execution (già nota pubblicamente, e di cui era già nota la presenza di exploit) relativa solo alle versioni meno recenti e meno aggiornate di Windows (Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1) che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato tramite l'invio di query malformate ad-hoc ad applicazioni che utilizzano JET (il vettore di attacco tipico è l'invio di file MDB, direttamente o inclusi in documenti Word/email; gli utenti dotati di Outlook 2003/2007 sono a rischio anche rispetto alla visualizzazione in HTML in preview).
MS08-029 sul Microsoft Malware Protection Engine incluso in Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT): due vulnerabilità Moderate di tipo Denial of Service che permetterebbero di far smettere di funzionare (e di far ripartire automaticamente) i suddetti prodotti tramite l'invio di un file malformato ad-hoc e sottoposto a scansione da parte del Malware Protection Engine.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :

4 bollettini in arrivo per maggio 2008

Feliciano Intini — Fri, 09 May 2008 13:11:10 GMT

Rieccoci a parlare di bollettini visto che oggi è il venerdì che precede il famigerato Microsoft Patch Tuesday (il 2° martedì di ogni mese):

Recuperando i dettagli che trovate come al solito nella pagina di "Microsoft Security Bulletin Advance Notification for May 2008" si possono aggiungere le seguenti considerazioni:

il bollettini per Word e Publisher interessano tutte le versioni attualmente supportate della suite Office.
il bollettino sul Microsoft Jet 4.0 Database Engine interessa invece solo le versioni meno aggiornate di Windows, in particolare solo Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1 (quindi non sono interessati Windows XP SP3, Windows Vista, Windows Server 2003 SP2 e Windows Server 2008).
l'ultimo bollettino interessa l'intero insieme di prodotti anti-malware, probabilmente per una vulnerabilità nell'engine: sono interessati Windows Live OneCare, Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateway, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security for SharePoint, Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT).

Se avete espresso un... DaRTche??? ... nel leggere del componente Standalone System Sweeper presente in Diagnostics and Recovery Toolset 6.0 (DaRT) che è parte del Microsoft Desktop Optimization Pack (MDOP) 2008, vi raccomando la lettura dei link ai post che ho agganciato alle parole precedenti.

Su questo tema ci diamo appuntamento a martedì notte (o mercoledì mattina) per l'analisi di rischio.

Share this post :

RSA Conference 2008: rilasciata la beta di Forefront Stirling!

Feliciano Intini — Wed, 09 Apr 2008 03:47:06 GMT

E' notte fonda, ho appena mandato in rotativa il consueto mega-post sui bollettini di sicurezza di questo mese, ma non riesco ad andare a dormire se non vi segnalo velocemente questo importante annuncio lanciato in occasione dell'RSA Conference 2008 di San Francisco:

Microsoft Releases Beta of Integrated Security System Forefront “Stirling”

Il sottotitolo del comunicato stampa è significativo per una sintesi di cosa si propone di essere Stirling: una soluzione di sicurezza che integra in modo omogeneo le prossime versioni dei prodotti della linea Forefront (quindi non una semplice suite!), che si integra al meglio con la piattaforma di infrastruttura Microsoft, con una unica comoda console di gestione e di monitoraggio, per una gestione degli aspetti di protezione che si estende dai sistemi client, alle applicazioni server, ai sistemi perimetrali. Con il mio amico e collega Andrea Piazza avevamo già accennato alle prime caratteristiche di Forefront Stirling: ora che la beta è scaricabile si potranno subito approfondire meglio gli aspetti più interessanti e ancora poco noti (come la tecnologia Dynamic Response) sui quali non mancherò di aggiornarvi quanto prima.

L'RSA Conference 2008 è stata anche l'occasione per battezzare con il nuovo nome la prossima versione di ISA Server: Forefront Threat Management Gateway (TMG)! Anche qui: darò maggiori dettagli non appena ci sarà il tempo per assimilare tutta questa marea di novità in area sicurezza...:-)

Dulcis in fundo: cuore della partecipazione Microsoft all'evento RSA (che potete seguire attraverso la pagina/blog dedicata allo scopo) è stato il keynote di Craig Mundie che ha delineato gli elementi della nuova strategia Microsoft in area sicurezza e il lancio di un'importantissimo dibattito pubblico sul tema. Sarà il tema del mio prossimo post (e non solo di quello...;-) quindi vi consiglio di tenere i vostri lettori RSS ben sincronizzati...

Share this post :

Microsoft acquisisce Komoku, azienda specializzata nelle soluzioni anti-rootkit

Feliciano Intini — Fri, 21 Mar 2008 01:36:54 GMT

Le acquisizioni da parte di Microsoft in area Security continuano: dopo la tecnologia U-Prove di Credentica, ora è la volta di Komoku:

Microsoft Acquires Komoku

Come potete leggere dall'annuncio dato direttamente sul blog del team di prodotto, questa azienda è specializzata nelle soluzioni anti-rootkit e quindi va a rafforzare ulteriormente l'area di ricerca e sviluppo dell'engine anti-malware di Microsoft che è alla base di tutte le soluzioni Forefront (per l'ambito aziendale) e di quelle Windows Live OneCare (per l'ambito consumer).

Nonostante sia una startup (è nata nel 2004), è riconosciuta tra le aziende leader in questo specifico ambito, tanto che vanta già una serie significativa di grandi clienti in ambito governativo/militare statunitense caratterizzati da stringenti requisiti di sicurezza: Defense Advanced Research Projects Agency (DARPA), U.S. Navy, Department of Homeland Security (DHS) e Department of Defense (DOD). Niente male come curriculum, no?

In ogni caso è sicuramente un'altra prova di quanto seriamente Microsoft intenda impegnarsi nella realizzazione del miglior anti-malware possibile. C'è naturalmente ancora un po' di strada da fare per raggiungere i livelli di eccellenza che Microsoft si è prefissa di raggiungere, ma si vedono già alcuni progressi significativi: non perdete le considerazioni che ha fatto Jimmy Kuo sui recenti risultati delle analisi AV-Test e AV-Comparatives.

Share this post :

Beta del "Microsoft Forefront Integration Kit for Network Access Protection"

Feliciano Intini — Fri, 14 Mar 2008 14:12:41 GMT

Ecco un nuovo programma beta della serie "Solution Accelerators" (di cui vi ho detto in questo post sul toolkit per Sharepoint). Questa volta il kit si propone di aiutare i professionisti IT delle aziende che hanno sia la soluzione Forefront Client Security (ricordo che FCS è la soluzione anti-malware di Microsoft per le realtà aziendali dedicata ai sistemi operativi di base, sia client che server) sia Windows Server 2008 (per la parte di Network Access Protection - NAP): in questa situazione i clienti hanno già tutto l'occorrente per realizzare una soluzione integrata che permetta di far accedere alla rete aziendale solo i client che risultino conformi alla policy creata ad-hoc sullo stato dell'applicazione anti-malware e di gestire il processo di adeguamento per i client non conformi.

Il kit intende aiutare passo passo nella realizzazione di questa soluzione:

Fase di configurazione: il componente del kit "System Health Validator (SHV)" serve per stabilire le "health policies" che verranno forzate su ogni client dotate di Forefront Client Security. Tipicamente queste sono che FCS sia installato, in esecuzione e con le file di signatures aggiornate.

Fase di verifica: il componente del kit "System Health Agent (SHA)" controlla in tempo reale lo stato di conformità del client FCS rispetto alle policy aziendali impostate nella fase precedente.

Fase di adeguamento: Se il System Health Agent rileva un problema su un computer, a tale client viene inibito l'accesso alla rete per prevenire l'eventuale diffusione di malware verso altri sistemi nella intranet. Sempre il SHA opera per adeguare il client alle policy e dopo tale processo al client viene ridato il permesso di accedere alla rete.

Credo sia davvero interessante iniziare a vedere NAP in azione e questo kit vi aiuta in un paio d'ore a mettere in campo una soluzione subito operativa!

Qui il link per partecipare alla beta e qui il post del blog dei Solution Accelerators di Security & Compliance che ne parla.

Share this post :

Slide del seminario Technet Expert sulla Microsoft Security Strategy e su Forefront

Feliciano Intini — Wed, 30 Jan 2008 13:07:34 GMT

Lo scorso 22 gennaio abbiamo ospitato nella sede Microsoft di Segrate l'evento Technet Expert Tour, interamente dedicato alle soluzioni Forefront, di cui vi avevo accennato in questo post (dove trovate i link ad una serie utile di risorse su questi argomenti). Speaker d'eccezione è stato Ronald Beekelaar, che ho trovato molto chiaro ed esauriente (...peccato dovermi subito assentare per attività urgenti). Io ho avuto la possibilità di fare una rapida (anzi rapidissima... vero?) overview della strategia di Microsoft sulla sicurezza. Soprattutto a beneficio di chi non è riuscito a venire, volevo segnalare che ora sono disponibili le slide Powerpoint di tutte le sessioni della giornata, compresa la mia.

Certo vi siete persi il gusto dell'ascolto live della mia cadenza tipicamente pugliese, ma tranquilli, non mancheranno nuove occasioni!

P.S. Se chi è stato presente volesse darmi un feedback ulteriore sulla mia sessione o sull'evento in generale sarei ben felice, anzi... Feliciano! (E' giornata di freddure, non ci fate caso...).

Risorse su Forefront ed evento Technet Expert Tour

Feliciano Intini — Thu, 03 Jan 2008 13:25:43 GMT

Riprendo volentieri il post dell'amico Renato sul blog Technet per un paio di buoni motivi.

Il primo di questi è l'utile riepilogo di risorse per approfondire il tema Forefront. Renato ha raccolto i diversi webcast in italiano, io ho approfittato per aggiornare il mio Microsoft Security Portal con i link ai diversi TechCenter di Technet sui diversi prodotti Forefront (li trovate cercando [UPD-08-01] nella pagina del portale).

Il secondo è la segnalazione del prossimo evento Technet Expert Tour che ospiteremo il prossimo 22 gennaio nell'Auditorium della nostra sede di Segrate (MI). L'evento sarà una giornata intera dedicata alle soluzioni Forefront, come potete notare dall'elenco delle sessioni in agenda, tenute dal famoso esperto Ronald Beekelaar. Questo implica che le sessioni saranno in inglese (con possibilità di richiedere la traduzione simultanea), tutte tranne una, la prima.

La prima sessione infatti sarà una panoramica della strategia Microsoft per la sicurezza e la terrà un vostro caro amico: Feliciano Intini. Sì, proprio io! Se quindi contate di iscrivervi e venire a trovarci sarà un piacere conoscerci: io mi tratterrò nei paraggi dell'Auditorium per tutta la durata dell'evento in modo da potervi incontrare durante le pause, fatevi avanti, vi aspetto!

Miglioramenti per l'engine di scansione anti-malware Microsoft

Feliciano Intini — Mon, 10 Sep 2007 19:55:47 GMT

Forse qualcuno di voi si starà domandando: perché Microsoft produce anche gli antivirus ? Ebbene sì. Come parte della non troppo recente strategia di sicurezza, Microsoft ha ritenuto opportuno proporsi nel mercato delle soluzioni anti-malware avendo intuito la possibilità di riuscire a competere con i prodotti già esistenti su due aspetti essenziali: la migliore integrazione con il sistema operativo e le applicazioni Microsoft, e una migliore gestibilità di queste soluzioni per semplificare il compito dell'amministratore e dell'operatore dedito al monitoraggio degli eventi. Presa questa direzione, Microsoft ha iniziato ad acquisire know-how su queste soluzioni tramite una serie di acquisizioni di aziende già specializzate. E' un dato di fatto che si sia dovuto creare questo tipo di competenza abbastanza ex-novo (non avendola nativamente pronta in casa), e quindi non mi ha particolarmente sorpreso come i primi risultati nel confronto con gli altri prodotti antivirus operati nei primi mesi del 2007 siano stati a dir poco deludenti. Poi, come spesso succede in casa Microsoft, quei risultati negativi sono serviti per identificare in modo puntuale le aree che avevano bisogno di un serio miglioramento, ed ecco apparire i primi risultati interessanti di tale impegno.

I test realizzati da AV-Test ad agosto (e commentati in questo articolo) hanno visto l'engine anti-malware di Microsoft produrre il 96,42% di capacità di rilevamento rispetto ad un campione di circa 875.000 file virali degli ultimi sei mesi, in un confronto con 29 prodotti: il decimo posto in questa classifica davanti a nomi blasonati è di tutto rispetto se pensiamo all'ultimo posto dell'ultimo confronto.

Sempre in agosto, AVComparatives ha condotto il suo secondo test del 2007 (commentato in questo articolo) sui prodotti anti-virus di tipo consumer (test che copre un set di file virali relativi agli ultimi 3 anni) e ha certificato Windows Live OneCare per essere in grado di rilevare circa il 90,7% del campione malware analizzato, con un miglioramento del 7% rispetto allo scorso test di febbraio.

VI ricordo che l'engine anti-malware di Microsoft è unico e presente sia nel prodotto Windows Live OneCare orientato al consumer sia nelle suite Forefront orientate alla clientela business.

Se continuiamo a lavorare così per migliorarlo, c'è da ben sperare in un prodotto interessante: non so che esperienza abbiate voi, ma nelle mie attività di consulenza succede ormai molto spesso di trovarsi di fronte alla scoperta di nuove varianti di malware e di osservare una preoccupante inadeguatezza da parte dei vendor anti-virus nel fornire supporto completo e tempestivo per aiutare il cliente in questi frangenti. Su questi aspetti Microsoft è in grado di fare la differenza e se il prodotto diventa davvero concorrenziale nelle funzionalità e nella capacità di rilevamento potrebbe diventare una soluzione temibile, come tanti analisti cominciano a segnalare.

Lancio di Forefront e System Center: la sicurezza è nulla senza il controllo

Feliciano Intini — Thu, 03 May 2007 15:36:00 GMT

Ho un lungo backlog di informazioni che premono per diventare dei post, ma l'annuncio di ieri merita una corsia preferenziale: Microsoft ha operato il lancio di due soluzioni, Microsoft® Forefront Client Security e Microsoft System Center Essentials 2007, e lo ha fatto volutamente congiunto per delineare la sua intenzione strategica di integrare le soluzioni di sicurezza con quelle di management, costruite entrambe su una comune piattaforma di gestione dell'infrastruttura. ...(read more)