Transcript 41731_bollettino_nr1_2003

STATO MAGGIORE DIFESA
Reparto Informazioni e Sicurezza
Ufficio Sicurezza Difesa
BOLLETTINO
DI
SICUREZZA
INFORMATICA
N°1/2003
SISTEMI OPERATIVI : - FALLA PER WINDOWS XP ATTRAVERSO FILE AUDIO Pag.1
- FALLA IN MACROMEDIA FLASH PLAYER
Pag.3
FOCUS ON….:(MBSA) MICROSOFT BASELINE SECURITY ANALYZER E HFNETCHK
(HOT FIX CHECKER)
Pag.5
Pag.12
………………………..W32.LIRVA
SICUREZZA DELLA RETE: - LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(QUINTA PARTE).
Pag.14
PER CONTATTI : TEL. 06/46917156 – FAX 06/36000904
E-MAIL : [email protected]
FALLA PER WINDOWS XP ATTRAVERSO FILE AUDIO
Una grave falla riscontrata sul sistema operativo Windows XP scoperta dalla
Foundstone (www.foundstone.com) e inserita immediatamente nel Microsoft Security
Bulletin (www.microsoft.com/technet/security/bulletin/ms02-072.asp?frame=true)
parla di un “unchecked buffer” riscontrato nelle funzioni usate dalla windows shell al
momento di estrarre gli attributi del file .MP3 (MPEG ver.3) o .WMA (Windows
Media Audio). In pratica Windows XP mostra all’utente gli attributi di un qualsiasi
file .MP3 O .WMA al solo passaggio del mouse sull’icona corrispondente (vedere
figura).
Artista : The Eagles
Titolo Album : CNN Showbiz Today
Anno : 1999
Numero Brano : 32
Durata : 0.02.55
Tipo : Audio Formato MP3
Velocità in bit : 64Kbps
Dimensione : 1,34 MB
Di conseguenza un hacker potrebbe, creando un file .MP3 o .WMA con degli attributi
modificati “ad hoc”, e sfruttando questa vulnerabilità, innescare al momento del passaggio del
mouse i suoi codici.
I metodi tradizionali di propagazione di questi tipi di file sono i seguenti:
- allocando i file su un sito web;
- allocando i file su una network share (o reti peer-to-peer);
- o mandandolo come un HTML email.
Nei primi due casi l’innesco può avvenire sia in rete sia una volta scaricato il file sull’hard disk
locale, mentre per l’ultimo caso l’innesco del “malicious code” avviene all’atto della preview
dell’e-mail.
I sistemi operativi vulnerabili sono :
 Windows XP Home Edition;
 Windows XP Professional;
 Windows XP Tablet PC Edition;
 Windows XP Media Center Edition;
Praticamente tutti quei sistemi operativi dove la windows shell prevede la comparsa degli
attributi dei file .MP3 o .WMA al passaggio del mouse; tutte le altre versioni di Windows
Pagina 1
invece, risultano immuni.
Invece altri file audio e video come .WAV - .AVI - .MPEG non risultano affetti.
Per quanto riguarda i programmi per la posta elettronica come Outlook, le versioni che
risultano immuni risultano i seguenti :
• Outlook 98 e Outlook 2000 (dopo aver installato l’Outlook Email Security Update);
• Outlook 2002;
• Outlook 6 Express
I prodotti sopracitati risultano immuni, in quanto, leggono l’ e-mail nella Restricted Sites
zone (vedi figura),avendo come risultato che tutti questi programmi disabilitano
effettivamente i frames nelle e-mail HTML. Questo nuovo comportamento rende
impossibile ad una HTML e-mail di essere aperta automaticamente in nuova finestra o di
lanciare il download di un eseguibile. Risulta evidente però, che se l’utente sceglie di
cliccare l’HTML e-mail manipolata, il “malicious code” sarà attivato.
Per Windows XP il service pack 1 e le recenti “cumulative security patches” di Internet
Explorer 6 fanno si che i frames vengano disabilitati per quelle HTML e-mail aperte nella
Restricted sites zone. La Microsoft inoltre, offre la possibilità di scaricare le patch
riguardante questa vulnerabilità per le versione di Windows XP a 32 bit e 64 bit.
Anche il famoso player “Winamp” prodotto dalla Nullsoft è stato colpito da questa
vulnerabilità, e con un articolo presente sul sito www.winamp.com dal titolo : “Security Fixes
for Winamp : Get the latest and be protected” commentano a loro modo la scoperta di
questa vulnerabilità e propongono di conseguenza delle “new builds” per Winamp ver. 2.81 e
Winamp ver.3.
Pagina 2
FALLA IN MACROMEDIA FLASH PLAYER
Macromedia Flash MX è l’ambiente di programmazione per lo sviluppo di siti Internet
ricchi di grafica. Designer e sviluppatori usano Macromedia Flash MX per sviluppare
interfacce utente rivoluzionarie e ricche di applicazioni per il Web. Macromedia Flash
Player è il client per i siti Web, con questo programma gli utenti Web di tutto il mondo
potranno visualizzare ed utilizzare il contenuto sviluppato in Macromedia Flash MX. Oltre
il 97.8% degli utenti in linea (circa 474 milioni) hanno installato Macromedia Flash Player,
in quanto esso viene preinstallato nella maggior parte dei browser Web e computer; in
Netscape Navigator e tutte le maggiori piattaforme: Windows, Linux,Unix e Macintosh.
Detto questo, si capisce come risulta grave la scoperta di una vulnerabilità di questo
prodotto.
La scoperta di questa vulnerabilità è merito della società di sicurezza eEye Digital
Security (www.eeye.com): un file .SWF (estensione dei file di Macromedia Flash Player)
con un header malformato causa un buffer over-write, il quale potrebbe potenzialmente
condurre all’esecuzione di codici arbitrari. Macromedia ha subito prodotto una versione di
Flash Player, la versione 6.0.65.0, che risulta immune da questa vulnerabilità.
Per controllare (ed eventualmente disinstallare se non coincide con la versione 6.0.65.0) la
versione dei plug-in di Macromedia Flash Player riportiamo un prospetto tratto dal sito
web della Macromedia con l’esatta ubicazione.
Pagina 3
Arrivati sul file, cliccando con il tasto destro entriamo nelle proprietà per vedere una
maschera (nel caso di Windows 98) come in figura :
Versione del file
Nel caso in cui la versione non risulti la ver. 6.0.65.0 si suggerisce di cancellare il file con
la versione precedente sostituendola con la ver. 6.0.65.0 scaricandola dal sito :
www.macromedia.com/go/getflashplayer.
Pagina 4
Microsoft Baseline Security Analyzer (MBSA) e HFNetChk (Hot Fix Checker)
Queste due utility sono state prodotte dalla Microsoft (HFNetChk è stato sviluppato per
conto di Microsoft da Shavlik Technologies LLC), il loro utilizzo riguarda essenzialmente
l’analisi della potenziale sicurezza nei sistemi operativi Windows 2000/XP ed NT4. Mentre il
primo risulta curato con una veste grafica “user-friendly”, HFNetChk funziona sotto DOS,
quindi con linee di comando. Si analizzerà prima MBSA su un sistema operativo Windows XP
Professional inserito in una rete LAN, per vedere come funziona, ed infine si confronterà con
HFNetChk.
Per il corretto funzionamento di MBSA ci sono delle operazioni da fare prima
dell’installazione:
1. Assicurarsi che nelle Proprietà di rete siano state installate le seguenti opzioni
(vedi figura) :
- il Protocollo Internet (TCP/IP), come protocollo;
- la Condivisione file e stampanti per reti Microsoft, come servizi;
- il Client per reti Microsoft, come client.
Il Path per arrivare a
schermata è il seguente :
questa
-Start;
-Risorse di rete;
-Visualizza risorse di rete;
-(con il tasto destro) su connessione
alla rete (LAN)
-Proprietà.
N.B. I componenti sopracitati
devono risultare solo installati, dato
che
la
loro
abilitazione
o
disabilitazione non influirà sul
processo di controllo.
Nel nostro caso sono state installate 4 opzioni, ma solo 2 risultano abilitate.
Nel caso siano state installate opzioni mancanti, dopo aver effettuato l’installazione
premere OK e riavviare il computer.
Pagina 5
2. La seconda operazione da fare è quella di rendere “attivi” determinati servizi.
Per accedere alla maschera (come quella in figura) seguire il path sotto indicato :
C:\documents and settings\all users\menù avvio\programmi\strumenti di amministrazione\servizi
I servizi da rendere attivi sono : Server e Workstation.
Per rendere attivi i servizi sopracitati occorre cliccare sopra con il tasto destro, di
conseguenza se la voce “avvia” (come nella figura sotto) risulta disabilitata il servizio è stato
già avviato, in caso contrario, bisogna cliccare sulla voce “avvia”.
Effettuate queste due operazioni preliminari, possiamo
scaricare dal sito della Microsoft la versione freeware
dell’utility al seguente indirizzo:
http://download.microsoft.com/download/e/5/7/e57f49
8f-2468-4905-aa5f-369252f8b15c/mbsasetup.msi;
N.B. la grandezza di detto file è di 2.73MB
Pagina 6
Una volta scaricato il programma apparirà (dove avete deciso di salvarlo) la seguente
icona :
Cliccare due volte per cominciare l’installazione, dopodichè seguire le
istruzioni indicate dal programma. Alla fine dell’installazione il
programma visualizzerà un icona indicante il collegamento all’eseguibile
(vedasi figura al lato).
Avviato il programma, esso si presenterà con la seguente maschera :
Le possibilità che offre alla partenza sono 3 :
• controllo di un solo computer (Scan a computer);
• controllo di più computer racchiusi in un range di indirizzi IP da indicare (essere sicuri che
il sistema operativo installato sia: Windows 2000 – Windows XP – Windows NT)
(Scan more than one computer);
• la sola visione dei security reports della Microsoft (View existing security reports).
Nel caso in esame analizzeremo il sistema operativo Windows XP in locale, cliccando sulla
voce: “Scan a computer”.
Pagina 7
Facendo partire la scansione senza specificare l’indirizzo IP, la scansione avverrà sul
computer in locale, includendo il controllo di tutte le opzioni scelte. Nel caso in cui, però, il
controllo non avvenga su un web server IIS , oppure su un data base server SQL occorrerà
eliminare le opzioni corrispondenti.
Alla fine della scansione il risultato comparirà in una schermata simile a quella in figura,
indicante tutte le vulnerabilità del sistema operativo.
Pagina 8
Cliccando su “result details” si aprirà un’altra schermata dove saranno evidenziati in maniera
particolareggiata le vulnerabilità, con i relativi link per rintracciare le patch.
Il programma inoltre, prevede anche il controllo sulle seguenti opzioni del sistema operativo :
- local account password test; File system - Guest account - Restrict anonymous;
Administrator – Autologon - Password expiration.
La scansione di MBSA, controlla anche i seguenti prodotti della Microsoft installati sul PC :
-Internet Explorer – Outlook – l’intero “pacchetto” Office.
HFNetChk invece, è un programma che “gira” sotto MS-DOS e la sua dimensione della sua
applicazione una volta scompattato è di soli 738KB; l’ultima release, la 3.86.0.1 può essere
scaricata
dal
sito
della
Shavlik
Technologies
all’indirizzo:
http://hfnetchk.shavlik.com/hfnetchk_3.86.0.1.exe.
Una volta installato seguire le istruzioni per l’allocazione della cartella;
per avviarlo è necessario portarsi al prompt di MS-DOS, nella cartella
dove si è provveduti a installare il programma e trovato il file eseguibile
avviarlo con un doppio clic. L’utility utilizza un file XML (Extensible
Markup Language) contenente informazioni sulla disponibilità di
correzioni rapide per ciascun sistema operativo, questo file è disponibile
per il download dall’Area download Microsoft in formato compresso
(estensione .cab contrassegnato in firma digitale); una volta scompattato
il file .cab analizza il computer o i computer selezionati per verificarne il
sistema operativo e gli eventuali service pack installati, nonché i
programmi in esecuzione. Al termine dell’analisi, le patch disponibili per il
computer che non risultano installate vengono segnalate come “Patch
NOT Found”. (vedasi figura a pagina 10).
Pagina 9
Nel nostro caso, la patch non istallata risulta quella relativa alla vulnerabilità indicata
nel bollettino della Microsoft come MS02-71. Per risalire alla patch ricercare
all’indirizzo www.microsoft.com/technet/security/current.asp il Microsoft Security
Bulletin MS02-71 (dove MS= Microsoft; 02=2002; 71= settantunesima vulnerabilità),
all’interno del quale saranno descritte tutte le caratteristiche di detta vulnerbailità,
comprensivo del link per risalire al download della patch.
Pagina 10
Per visualizzare la sintassi relativa all’utitlity HFNetChk, digitare hfnetchk /? al prompt dei
comandi, di seguito riportiamo alcune sintassi utili per l’utilizzo del programma :
• hfnetchk –h computer1 , computer2 , server1 , server2
specifica il nome del computer NetBIOS da analizzare. La posizione predefinita, (come per
MBSA) è il computer locale;E’ possibile analizzare più computer separando i rispettivi nomi
mediante una virgola;
• hfnetchk –i 155.10.10.5 , 167.123.100.23 , 172.156.12.1
specifica l’indirizzo IP del computer da analizzare. E’ possibile analizzare più indirizzi IP
separandoli con una virgola – questa opzione non è disponibile se si esegue l’analisi da un
computer basato su Windows NT, questa opzione è valida solo per Windows 2000 o Windows
XP;
• hfnetchk –r 155.10.10.5-155.10.10.10
Specifica l’intervallo di indirizzi IP da analizzare, con indirizzoIP1 e indirizzoIP2 incluso;
• hfnetchk –d nomedominio
Specifica il nome del dominio da analizzare. Vengono analizzati tutti i computer del dominio
specificato, che corrispondono a quelli visualizzati in Risorse di rete sotto al nome del dominio
selezionato. In caso di reti TCP/IP è necessario che nella rete locale sia supportato il
protocollo UDP alla porta 137.
Approfondimenti in lingua italiana relative all’uso di questo programma le potrete trovare al
seguente indirizzo :
http://support.microsoft.com/default.aspx?scid=kb;it;303215
Le due utility messe a confronto risultano avere dei lati positivi e dei lati negativi,
entrambi, però, accusano un bug non indifferente, cioè quello di riconoscere solo ed
esclusivamente quelle vulnerabilità riconosciute dalla Microsoft, non prendendo in
considerazione quegli hotfix che non sono direttamente segnalati dal bollettino rilasciato da
Microsoft.
Pagina 11
W32.Lirva
In merito al virus in oggetto, la Symantec, in data 10 gennaio 2003, ha deciso di innalzare il
livello di allerta dal livello 2 al livello 3, considerando il numero dei computer infettati, senza
contare, anche, gli oltre 10 siti web coinvolti. Il worm è stato scritto in C++ ed è compresso
con UPX (tipo di compressore usato solo per file con estensione .exe - .dll, la sua particolarità
consiste nel fatto che anche dopo compressi, detti file rimangono eseguibili), la cui dimensione
una volta aperto è di 100kB. A differenza di altri worm, W32.Lirva (alias : W32/Lirva.B –
W32.Avril.A – W32.Lirva.C@mm - W32.Naith.A – Avril – Avron) non si diffonde solo per
posta elettronica, ma anche attraverso le chat IRC (Internet Relay Chat) e ICQ, nonché
attraverso la rete peer-to-peer KaZaa e tutte le reti aperte di file sharing.
I sistemi affetti risultano : Windows 95 – 98 – NT – 2000 – XP – ME
I sistemi non affetti risultano: Macintosh – OS/2 - Linux.
L’email con cui questo worm si diffonde è formattata come pagina HTML contenente la
vulnerabilità Exploit Iframe che consente, semplicemente aprendo l’email, di eseguire in
automatico l’allegato.
I suoi effetti nel caso si venga colpiti da questo virus sono i seguenti :
• il virus si connette al sito web.host.kz ed effettua il download del famoso trojan “BACK
ORIFICE”;
• reindirizza nei giorni 7, 11 e 24 di ogni mese il browser verso il sito di un celebre cantante
pop : www.avril-lavigne.com;
• termina molti processi antivirus e firewall;
• si autoinvia tramite e-mail a tutti gli indirizzi compresi nella rubrica di Outlook;
• si autoreplica nei file con la seguente estensione : .dbx - .mbx - .wab - .html - .eml - .htm .tbb - .shtml - .nch - .idx;
• Il Lirva ha funzionalità di “password stealing”, per cui se il computer è connesso ad Internet,
esso memorizza tutte le password digitate durante la connessione dall’utente e le invia ad un
indirizzo di posta esterno.
Via e-mail il virus potrebbe arrivare con i seguenti soggetti :
-Fw: Redirection error notification
- Re :Brigada Ocho Free membership
-Re: According to Purge’s Statement
- Fw :Avril Lavigne – CHART ATTACK
-Re: Reply on account for IIS-Security Breach (tftp)
-Re: ACTR/ACCELS Transcription
- Re : IREX admits you take in FSAU 2003
-Fw: Re: Have U requested Avril Lavigne bio ?
-Re: Reply on account for IFRAME-Security breach
-Fw: Prohibited customer
- Re : According to Daos Summit
-Re: The real estate plunger
- Fwd : Re: Admission procedure
-Re: Junior Achievement
- Re : Ha perduto qualcosa signora ?
Pagina 12
Mentre gli Attachment da controllare risultano i seguenti :
-Resume.exe
- Download.exe
- MSO-Patch-0071.exe
-MSO-Patch-0035.exe
- Two-Up-Secretly.exe
- Transcript.exe
-Readme.exe
- AvrilSmiles.exe
- AvrilLavigne.exe
-Complicated.exe
- Singles.exe
- Shopos.exe
-Cogito_Ergo_Sum.exe - CERT-Vuln-Info.exe
- SiamoDiTe.exe
-TrickerTape.exe
- Phantom.exe.
- BioData.exe
Per quanto riguarda la rimozione la Symantec ha provveduto a produrre un tool specifico per
rimuovere il worm Lirva, reperibile presso il seguente indirizzo :
http://securityresponse.symantec.com/avcenter/venc/data/w32.lirva.removal.tool.html;
È necessario prima di eseguire il tool leggere attentamente le istruzioni che vengono date
all’indirizzo sopra indicato.
Pagina 13
LE VENTI VULNERABILITA’ PIU’ CRITICHE
PER LA SICUREZZA IN INTERNET
(QUINTA PARTE)
W2 - ISAPI Extension Buffer Overflow
W2.1 Descrizione:
L'Internet Information Server (IIS) di Microsoft è il software per server web
utilizzato per la maggior parte dei siti web ospitati su server Microsoft Windows NT e
Windows 2000. All'installazione di IIS, vengono anche installate automaticamente
diverse estensioni ISAPI. Le ISAPI, acronimo di Internet Server Application
Programming Interface, consentono agli sviluppatori di aumentare le capacità dei
server IIS mediante l'uso di DLL. Molte DLL, come ad esempio idq.dll, contengono
errori di programmazione che le portano a effettuare controlli inesatti nella rilevazione
degli errori. In particolare queste non bloccano le stringhe di input di lunghezza non
accettabile. In quello che è conosciuto come attacco da buffer overflow, gli aggressori
possono inviare dati alle DLL ed assumere il pieno controllo del server web IIS.
W2.2 Sistemi interessati:
Il buffer overflow di idq.dll interessa il Microsoft Index Server 2.0 e l'Indexing
Service in Windows 2000. Il buffer overflow di .printer interessa Windows 2000
Server, Advanced Server e Server Data Center Edition con IIS 5.0 installato. Questa
DLL vulnerabile è contenuta anche in Windows 2000 Professional, ma non è collegata
come impostazione predefinita. Se possibile, dovreste per precauzione utilizzare i
Criteri di Gruppo per disabilitare la stampa via Web sulle stazioni di lavoro (in
Configurazione Computer:Modelli Amministrativi:Stampanti).
W2.3 Lista CVE:
CVE-1999-0412, CVE-2001-0241, CAN-2000-1147, CAN-2001-0500
W2.4 Come stabilire se siete vulnerabili:
Siete probabilmente vulnerabili se sul vostro server web non è installato almeno il
Service Pack 2. Se non siete sicuri di quali aggiornamenti siano installati, prelevate ed
eseguite hfnetchk da:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools
/hfnetchk.asp
I seguenti aggiornamenti correggono il problema del .printer buffer overflow:
•Q296576 - MS01-023
•Q300972 - MS01-033
•Q301625 - MS01-044
•Windows 2000 SP2
•Q299444 - The Windows NT 4.0 Security Roll-up Package.
Pagina 14
I seguenti aggiornamenti correggono il idq.dll buffer overflow.:
Q300972 - MS01-033
Q301625 - MS01-044
The Windows NT 4.0 Security Roll-up Package.
W2.5 Come proteggersi:
Installate gli ultimi aggiornamenti di Microsoft.
Potete trovarli agli indirizzi:
Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q299444/default.asp
• Windows
2000
Professional,
Server
e
Advanced
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Server:
• Windows 2000 Datacenter Server: gli aggiornamenti per Windows 2000 Datacenter Server
riguardano l'hardware e sono disponibili presso il produttore del dispositivo.
• Windows XP: La vulnerabilità non riguarda Windows XP.
Inoltre, l'amministratore dovrebbe rimuovere le estensioni ISAPI non necessarie. Controllate
regolarmente
che
le
estensioni
non
siano
state
riassegnate.
Ricordando il principio delle autorizzazioni minime indispensabili, il vostro sistema deve
utilizzare il numero minimo di servizi indispensabili al corretto funzionamento.
Sia IIS Lockdown Tool che URLScan sono in grado di proteggervi da questa vulnerabilità. IIS
Lockdown Tool, uno strumento rivolto agli amministratori ed impiegato per isolare un server
IIS, è disponibile presso:
http://www.microsoft.com/technet/security/tools/locktool.asp
URLScan è un analizzatore che può filtrare molti tipi di richieste HTTP. Per esempio, può
essere usato per filtrare richieste contenenti codici di caratteri UTF8. URLScan è reperibile
presso:
http://www.microsoft.com/technet/security/URLScan.asp
Pagina 15
W3 - Vulnerabilità IIS RDS (Microsoft Remote Data Services)
W3.1 Descrizione:
L'Internet Information Server (IIS) di Microsoft è il software per server web utilizzato
per la maggior parte dei siti web ospitati su server Microsoft Windows NT 4.0. Gli utenti
malintenzionati sfruttano i difetti di programmazione presenti nei Remote Data Services
(RDS) di IIS per eseguire comandi remoti con i privilegi di amministratore.
W3.2 Sistemi interessati:
I sistemi Microsoft Windows NT 4.0 con Internet Information Server hanno la directory
virtuale /msadc collegata, e sono con molta probabilità vulnerabili.
W3.3 Annotazioni Lista CVE:
CVE-1999-1011 W3.4 Come stabilire se siete vulnerabili:
Se adoperate un sistema non aggiornato, siete vulnerabili. Una guida eccellente ai punti
deboli di RDS e ai metodi per correggerli può essere trovata in:
http://www.wiretrip.net/rfp/p/doc.asp?id=29&iface=2%20
W3.5 Come proteggersi:
Non è possibile eliminare la vulnerabilità con un aggiornamento. Per proteggersi è
necessario seguire le indicazioni dei seguenti bollettini di sicurezza:
•http://support.microsoft.com/support/kb/articles/q184/3/75.asp
•http://www.microsoft.com/technet/security/bulletin/ms98-004.asp
•http://www.microsoft.com/technet/security/bulletin/ms99-025.asp
In alternativa, potete evitare il problema aggiornando i Microsoft Data Access
Components (MDAC) ad una versione superiore alla 2.1. Le versioni più recenti di MDAC
sono disponibili all'indirizzo:
http://www.microsoft.com/data/download.htm
Pagina 16