-
Microsoft ha annunciato quattro bollettini sulla sicurezza che affrontano 42 vulnerabilità come parte del bollettino mensile sulla sicurezza rilasciato il 9 settembre 2014. Un riepilogo di questi bollettini è disponibile sul sito Web Microsoft all'indirizzo http://technet.microsoft.com/en-us/security/bulletin/ms14-sep. Questo documento fornisce le tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
Le vulnerabilità che hanno un vettore di attacco software client, possono essere sfruttate localmente sul dispositivo vulnerabile, richiedono l'interazione dell'utente o possono essere sfruttate mediante attacchi basati sul Web (questi includono, tra l'altro, script cross-site, phishing e minacce e-mail basate sul Web) o allegati e-mail, sono elencate di seguito:
Di seguito sono elencate le vulnerabilità che presentano un'attenuazione dei problemi di rete, inclusi i problemi relativi alla protezione del Web e dell'e-mail. I dispositivi Cisco forniscono diverse contromisure per le vulnerabilità che hanno un vettore di attacco alla rete, che verranno discusse in dettaglio più avanti in questo documento.
Le informazioni sui prodotti interessati e non interessati sono disponibili nei rispettivi avvisi Microsoft e negli avvisi Cisco a cui si fa riferimento in Cisco Event Response: Microsoft Security Bulletin Release per settembre 2014.
Inoltre, diversi prodotti Cisco utilizzano i sistemi operativi Microsoft come sistema operativo di base. I prodotti Cisco che possono essere interessati dalle vulnerabilità descritte negli avvisi Microsoft a cui si fa riferimento sono descritti in dettaglio nella tabella "Prodotti associati" della sezione "Set di prodotti".
-
MS14-052, Cumulative Security Update for Internet Explorer (2977629): A queste vulnerabilità sono stati assegnati gli identificatori CVE-2013-7331, CVE-2014-2799, CVE-2014-4059, CVE-2014-4065 e CVE-2014 da CVE-2014-4111. Queste vulnerabilità possono essere sfruttate in remoto senza autenticazione e richiedono l'interazione dell'utente. Il vettore di attacco per lo sfruttamento di queste vulnerabilità è sui pacchetti HTTP e HTTPS che in genere usano le porte TCP 80 e 443 ma possono usare anche le porte TCP 3128, 8000, 8010, 8080, 8888 e 24326. L'utilizzo efficace di queste vulnerabilità può consentire l'esecuzione arbitraria del codice, che potrebbe consentire all'autore di un attacco di prendere il controllo del dispositivo interessato.
MS14-055, Vulnerabilità in Microsoft Lync Server Potrebbe consentire la negazione del servizio (2990928): a queste vulnerabilità sono stati assegnati gli identificatori CVE (Common Vulnerabilities and Exposures) CVE-2014-4068, CVE-2014-4070 e CVE-2014-4071. Queste vulnerabilità possono essere sfruttate in remoto senza autenticazione e possono richiedere l'interazione dell'utente. Il vettore di attacco per lo sfruttamento di queste vulnerabilità è sui pacchetti SMTP che usano la porta TCP 25 e i pacchetti HTTP e HTTPS che in genere usano la porta TCP 80 e la porta 443 ma possono usare anche le porte TCP 3128, 8000, 8010, 8080, 8888 e 24326. L'utilizzo corretto di queste vulnerabilità può determinare una condizione DoS (Denial of Service) o consentire la divulgazione delle informazioni, che consente all'autore dell'attacco di ottenere informazioni sul dispositivo interessato. A causa della natura delle vulnerabilità degli script tra siti, in questo bollettino non verranno presentate ulteriori informazioni.
Per ulteriori informazioni sugli attacchi tramite script da altri siti e sui metodi utilizzati per sfruttare queste vulnerabilità, consultare il documento Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
-
Informazioni sul software vulnerabile, non interessato e fisso sono disponibili nel Microsoft Security Bulletin Summary per settembre 2014, disponibile al seguente link: http://www.microsoft.com/technet/security/bulletin/ms14-sep
-
Le vulnerabilità che hanno un vettore di attacco software client, possono essere sfruttate localmente sul dispositivo vulnerabile, richiedono l'interazione dell'utente o possono essere sfruttate mediante attacchi basati sul Web (questi includono, tra l'altro, script cross-site, phishing e minacce e-mail basate sul Web) o allegati e-mail, sono elencate di seguito:
Queste vulnerabilità vengono risolte in modo più efficace all'endpoint tramite aggiornamenti software, formazione degli utenti, best practice per l'amministrazione dei desktop e software di protezione degli endpoint, ad esempio Host Intrusion Prevention Systems (HIPS) o prodotti antivirus.
Di seguito sono elencate le vulnerabilità che presentano un'attenuazione della rete. I dispositivi Cisco forniscono diverse contromisure per queste vulnerabilità. In questa sezione del documento viene fornita una panoramica di queste tecniche.
L'uso efficace delle azioni evento di Cisco Intrusion Prevention System (IPS) offre visibilità e protezione dagli attacchi che tentano di sfruttare queste vulnerabilità.
L'uso efficace delle azioni di eventi IPS (Sourcefire Intrusion Prevention System) fornisce visibilità e protezione contro gli attacchi che tentano di sfruttare queste vulnerabilità.
-
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di queste vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, ad esempio il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione dell'organizzazione. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
Cisco Intrusion Prevention System
Attenuazione: azioni evento firma Cisco IPS
Gli amministratori possono utilizzare gli accessori e i moduli servizi IPS Cisco per rilevare le minacce e contribuire a prevenire i tentativi di sfruttare alcune delle vulnerabilità descritte più avanti nel documento. Nella tabella seguente viene fornita una panoramica degli identificatori CVE e delle rispettive firme IPS Cisco che attiveranno eventi su potenziali tentativi di sfruttare queste vulnerabilità.
ID CVE Release della firma Signature ID Nome firma Attivato Gravità Fedeltà* CVE-2014-2799 S819 4550/0 Utilizzo di Microsoft Internet Explorer dopo l'esecuzione gratuita di codice remoto Sì Alta 85 CVE-2014-4065 S819 4631/0 Vulnerabilità danneggiamento memoria di Microsoft Internet Explorer Sì Alta 85 CVE-2014-4080 S819 4634/0 Vulnerabilità danneggiamento memoria di Microsoft Internet Explorer Sì Alta 85 CVE-2014-4081 S819 4629/0 Esecuzione codice remoto di Microsoft Internet Explorer Sì Alta 85 CVE-2014-4084 S819 4627/0 Memoria di Microsoft Internet Explorer danneggiata Sì Alta 85 CVE-2014-4087 S819 4624/0 Esecuzione codice remoto di Microsoft Internet Explorer Sì Alta 85 CVE-2014-4088 S819 4633/0 Esecuzione codice remoto di Microsoft Internet Explorer Sì Media 75 CVE-2014-4089 S819 4628/0 Memoria di Microsoft Internet Explorer danneggiata Sì Alta 85 CVE-2014-4092 S819 4626/0 Utilizzo di Microsoft Internet Explorer dopo la vulnerabilità gratuita Sì Alta 85 CVE-2014-4094 S819 4630/0 Utilizzo di Microsoft Internet Explorer dopo la vulnerabilità gratuita Sì Alta 80 CVE-2014-4095 S819 4635/0 Utilizzo di Microsoft Internet Explorer dopo la vulnerabilità gratuita Sì Alta 80 * Fidelity è anche noto come Signature Fidelity Rating (SFR) ed è la misura relativa della precisione della firma (predefinito). Il valore è compreso tra 0 e 100 ed è impostato da Cisco Systems, Inc.
Gli amministratori possono configurare i sensori Cisco IPS in modo da eseguire un'azione evento quando viene rilevato un attacco. L'azione evento configurata esegue controlli preventivi o deterrenti per contribuire alla protezione da un attacco che tenta di sfruttare le vulnerabilità elencate nella tabella precedente.
I sensori Cisco IPS sono più efficaci se installati in modalità di protezione inline combinata con l'uso di un'azione evento. La funzione di prevenzione automatica delle minacce per i sensori Cisco IPS 7.x e 6.x implementati in modalità di protezione inline fornisce una prevenzione delle minacce contro gli attacchi che tentano di sfruttare la vulnerabilità descritta in questo documento. La prevenzione delle minacce viene ottenuta tramite un override predefinito che esegue un'azione evento per le firme attivate con un valore riskRatingValue maggiore di 90.Per ulteriori informazioni sul calcolo del rating di rischio e della minaccia, fare riferimento a Rating di rischio e Rating di minaccia: Semplificare la gestione delle policy IPS.
Per informazioni sull'utilizzo di Cisco Security Manager per visualizzare l'attività da un sensore Cisco IPS, vedere il white paper Identificazione del traffico dannoso con Cisco Security Manager.
Informazioni sulla firma Sourcefire
Le seguenti firme Sourcefire Snort sono disponibili per l'aggiornamento della protezione di Microsoft settembre 2014.
ID bollettino Microsoft Nome advisory Microsoft Regole applicabili 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:29821 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:29822 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:30110 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:30111 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:30112 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:30113 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31782 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31783 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31784 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31785 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31786 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31787 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31788 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31789 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31790 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31791 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31792 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31793 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31794 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31795 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31796 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31797 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31799 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31800 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31801 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31802 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31811 2977629 Aggiornamento cumulativo della protezione per Internet Explorer 1:31812 Per informazioni sull'utilizzo di Sourcefire Snort e Sourcefire Next-Generation IPS, fare riferimento a Sourcefire Next-Generation Security.
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Mostra meno
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali Microsoft, Inc. .NET Framework 1.1 (SP1) | 2,0 (SP2) | 3,0 (SP2) | 3,5 (Base) | 3.5.1 (Base) | 4,0 (base) | 4.5 (Base) | 4.5.1 (Base) | 4.5.2 (Base) Internet Explorer 6.0 (base) | 7,0 (base) | 8,0 (base) | 9,0 (base) | 10,0 (base) | 11,0 (base) Windows 7 per sistemi a 32 bit (SP1) | per sistemi x64 (SP1) Windows 8 per sistemi a 32 bit (base) | per sistemi x64 (base) Windows 8.1 per sistemi a 32 bit (base) | per sistemi x64 (base) Windows RT Versione originale (base) | 8.1 (Base) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64 bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Edizione Enterprise (SP2) | Enterprise Edition, 64 bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64 bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Edizione Web (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64 bit (SP2) | Itanium-Based Systems Edition (SP2) | Edizione Enterprise (SP2) | Enterprise Edition, 64 bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64 bit (SP2) | Standard Edition (SP2) | Standard Edition, 64 bit (SP2) Server Web | (SP2) | Server Web, 64 bit (SP2) Windows Server 2008 R2 x64-Based Systems Edition (SP1) | Itanium-Based Systems Edition (SP1) Windows Server 2012 Versione originale (base) Windows Server 2012 R2 Versione originale (base) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Imprese (SP2) | Imprese (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2) Lync Server 2010 (base) | 2013 (Base)
Prodotti associati Microsoft, Inc. Windows 7 per sistemi a 32 bit | per sistemi x64 Windows 8 per sistemi a 32 bit | per sistemi x64 Windows 8.1 per sistemi a 32 bit | per sistemi x64 Windows RT Release originale | 8,1 Windows Server 2003 Datacenter Edition | Datacenter Edition, 64 bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Edizione Enterprise | Enterprise Edition, 64 bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard | Standard Edition, 64 bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64 bit | Itanium-Based Systems Edition | Edizione Enterprise | Enterprise Edition, 64 bit | Server aziendale essenziale standard | Essential Business Server Premium | Essential Business Server Premium, a 64 bit | Standard | Standard Edition, 64 bit Server Web | | Server Web, 64 bit Windows Server 2008 R2 x64-Based Systems Edition | Itanium-Based Systems Edition Windows Server 2012 Release originale Windows Server 2012 R2 Release originale Windows Vista Home Basic | Home Premium | Imprese | Imprese | Ultimate | Home Basic edizione x64 | Home Premium edizione x64 | Business x64 Edition | Enterprise x64 Edition (base) | Ultimate x64 Edition
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco