Cisco Applied Mitigation Bulletin-
Microsoft ha annunciato sette bollettini sulla sicurezza che affrontano 23 vulnerabilità come parte del bollettino mensile sulla sicurezza rilasciato il 9 dicembre 2014. Un riepilogo di questi bollettini è disponibile sul sito Web Microsoft all'indirizzo https://technet.microsoft.com/library/security/ms14-dec. Questo documento fornisce le tecniche di identificazione e mitigazione che gli amministratori possono distribuire sui dispositivi di rete Cisco.
Le vulnerabilità che hanno un vettore di attacco software client, possono essere sfruttate localmente sul dispositivo vulnerabile, richiedono l'interazione dell'utente o possono essere sfruttate mediante attacchi basati sul Web (questi includono, ma non sono limitati a, attacchi tramite script da altri siti, phishing e minacce e-mail basate sul Web) o allegati e-mail, sono elencate di seguito:
Nell'elenco seguente è indicata la vulnerabilità che presenta un'attenuazione della rete, inclusi i problemi di protezione del Web e dell'e-mail. I dispositivi Cisco forniscono diverse contromisure per la vulnerabilità che ha un vettore di attacco alla rete, che verranno discusse in dettaglio più avanti in questo documento.
Le informazioni sui prodotti interessati e non interessati sono disponibili nei rispettivi avvisi Microsoft e negli avvisi Cisco a cui si fa riferimento in Cisco Event Response: Microsoft Security Bulletin Release per dicembre 2014.
Inoltre, diversi prodotti Cisco utilizzano i sistemi operativi Microsoft come sistema operativo di base. I prodotti Cisco che possono essere interessati dalle vulnerabilità descritte negli avvisi Microsoft a cui si fa riferimento sono descritti in dettaglio nella tabella "Prodotti associati" della sezione "Set di prodotti".
-
MS14-080, Cumulative Security Update of Internet Explorer (3008923): A queste vulnerabilità sono stati assegnati gli identificatori CVE-2014-6327, CVE-2014-6328, CVE-2014-6329, CVE-2014-6330, CVE-2014-6330 363, CVE-2014-6365, CVE-2014-6366, CVE-2014-6368, CVE-2014-6369, CVE-2014-6373, CVE-2014-6374, CVE-2014-6375, CVE-2014 e CVE-2014-8966. Queste vulnerabilità possono essere sfruttate in remoto senza autenticazione e richiedono l'interazione dell'utente. L'utilizzo efficace di queste vulnerabilità può consentire l'esecuzione arbitraria del codice. Il vettore di attacco per lo sfruttamento di queste vulnerabilità è tramite i pacchetti HTTP e HTTPS che in genere utilizzano la porta TCP 80 e la porta 443 ma possono anche utilizzare le porte TCP 3128, 8000, 8010, 8080, 8888 e 24326.
Per sfruttare queste vulnerabilità potrebbero essere utilizzati anche lo scripting e il phishing su più siti. Per ulteriori informazioni sugli attacchi tramite script da altri siti e sui metodi utilizzati per sfruttare queste vulnerabilità, consultare il documento Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
-
Informazioni sul software vulnerabile, non interessato e fisso sono disponibili nel Microsoft Security Bulletin Summary per dicembre 2014, disponibile al seguente link: https://technet.microsoft.com/library/security/ms14-dec
-
Le vulnerabilità che hanno un vettore di attacco software client, possono essere sfruttate localmente sul dispositivo vulnerabile, richiedono l'interazione dell'utente o possono essere sfruttate mediante attacchi basati sul Web (questi includono, ma non sono limitati a, attacchi tramite script da altri siti, phishing e minacce e-mail basate sul Web) o allegati e-mail, sono elencate di seguito:
Queste vulnerabilità vengono risolte in modo più efficace all'endpoint tramite aggiornamenti software, formazione degli utenti, best practice per l'amministrazione dei desktop e software di protezione degli endpoint, ad esempio Host Intrusion Prevention Systems (HIPS) o prodotti antivirus.
La vulnerabilità che presenta una mitigazione della rete, inclusi i problemi di sicurezza del Web e dell'e-mail, è inclusa nell'elenco seguente. I dispositivi Cisco forniscono diverse contromisure per questa vulnerabilità. In questa sezione del documento viene fornita una panoramica di queste tecniche.
L'uso efficace delle azioni evento di Cisco Intrusion Prevention System (IPS) offre visibilità e protezione dagli attacchi che tentano di sfruttare queste vulnerabilità.
L'uso efficace delle azioni di eventi IPS (Sourcefire Intrusion Prevention System) fornisce visibilità e protezione contro gli attacchi che tentano di sfruttare queste vulnerabilità.
-
Le organizzazioni sono invitate a seguire i processi standard di valutazione e mitigazione dei rischi per determinare l'impatto potenziale di queste vulnerabilità. Triage si riferisce all'ordinamento dei progetti e all'assegnazione delle priorità agli sforzi che hanno maggiori probabilità di avere successo. Cisco ha fornito documenti che possono aiutare le organizzazioni a sviluppare una funzionalità di triage basata sui rischi per i team addetti alla sicurezza delle informazioni. Valutazione dei rischi per la vulnerabilità della sicurezza Gli annunci e la valutazione dei rischi e la creazione di prototipi possono aiutare le organizzazioni a sviluppare processi ripetibili di valutazione della sicurezza e di risposta.
-
Attenzione: l'efficacia di qualsiasi tecnica di mitigazione dipende dalle situazioni specifiche del cliente, come il mix di prodotti, la topologia di rete, il comportamento del traffico e la missione organizzativa. Come per qualsiasi modifica apportata alla configurazione, valutare l'impatto della configurazione prima di applicare la modifica.
Per questi dispositivi sono disponibili informazioni specifiche sulla mitigazione e l'identificazione:
Cisco Intrusion Prevention System
Attenuazione: azioni evento firma Cisco IPS
Gli amministratori possono utilizzare gli accessori e i moduli servizi IPS Cisco per rilevare le minacce e contribuire a prevenire i tentativi di sfruttare alcune delle vulnerabilità descritte più avanti nel documento. Nella tabella seguente viene fornita una panoramica degli identificatori CVE e delle rispettive firme IPS Cisco che attiveranno eventi su potenziali tentativi di sfruttare queste vulnerabilità.
ID CVE Release della firma Signature ID Nome firma Attivato Gravità Fedeltà* CVE-2014-6327 S840 4832/0 Memoria di Microsoft Internet Explorer danneggiata Sì Alta 85 CVE-2014-6328 S840 4819/0 Ignora filtro Microsoft Internet Explorer XSS Sì Alta 80 CVE-2014-6329 S840 4824/0 Memoria di Microsoft Internet Explorer danneggiata Sì Alta 80 CVE-2014-6330 S840 4826/0 Memoria di Microsoft Internet Explorer 11 danneggiata Sì Alta 85 CVE-2014-6365 S840 4833/0 Vulnerabilità degli script intersito di Microsoft Internet Explorer Sì Alta 85 CVE-2014-6366 S840 4821/0 Vulnerabilità danneggiamento memoria di Microsoft Internet Explorer Sì Alta 85 CVE-2014-6369 S840 4813/0 Memoria di Microsoft Internet Explorer danneggiata Sì Alta 85 CVE-2014-6373 S840 4817/0 Memoria di Microsoft Internet Explorer danneggiata Sì Alta 80 CVE-2014-6374 S840 4814/0 Esecuzione codice remoto di Microsoft Internet Explorer Sì Alta 80 CVE-2014-6376 S840 4815/0 Esecuzione codice remoto di Microsoft Internet Explorer Sì Alta 80 CVE-2014-8966 S840 4816/0 Esecuzione codice remoto di Microsoft Internet Explorer Sì Alta 80 CVE-2014-6325 S840 4787/0 Ignora funzionalità di protezione di Microsoft Exchange Server Sì Alta 80 CVE-2014-6326 S840 4785/0 Ignora funzionalità di protezione di Microsoft Exchange Server Sì Alta 85 CVE-2014-6355 S840 4825/0 Informazioni sui componenti grafici Microsoft Sì Bassa 80 CVE-2014-6357 S840 4823/0 Utilizzo di Microsoft Office Word dopo la disponibilità Sì Alta 80
* Fidelity è anche noto come Signature Fidelity Rating (SFR) ed è la misura relativa della precisione della firma (predefinito). Il valore è compreso tra 0 e 100 ed è impostato da Cisco Systems, Inc.
Gli amministratori possono configurare i sensori Cisco IPS in modo da eseguire un'azione evento quando viene rilevato un attacco. L'azione evento configurata esegue controlli preventivi o deterrenti per contribuire alla protezione da un attacco che tenta di sfruttare le vulnerabilità elencate nella tabella precedente.
I sensori Cisco IPS sono più efficaci se installati in modalità di protezione inline combinata con l'uso di un'azione evento. La funzione di prevenzione automatica delle minacce per i sensori Cisco IPS 7.x e 6.x implementati in modalità di protezione inline fornisce una prevenzione delle minacce contro gli attacchi che tentano di sfruttare la vulnerabilità descritta in questo documento. La prevenzione delle minacce viene ottenuta tramite un override predefinito che esegue un'azione evento per le firme attivate con un valore riskRatingValue maggiore di 90.
Per ulteriori informazioni sul calcolo del rating di rischio e della minaccia, fare riferimento a Rating di rischio e Rating di minaccia: Semplificare la gestione delle policy IPS.
Per informazioni sull'utilizzo di Cisco Security Manager per visualizzare l'attività da un sensore Cisco IPS, vedere il white paper Identificazione del traffico dannoso con Cisco Security Manager.
Informazioni sulla firma Sourcefire
Le seguenti firme Sourcefire Snort sono disponibili per l'aggiornamento della protezione di Microsoft dicembre 2014.
ID advisory Microsoft Nome advisory Microsoft CVE Regole applicabili MS14-075 Le vulnerabilità di Microsoft Exchange Server possono consentire l'elevazione dei privilegi CVE-2014-6319, CVE-2014-6325, CVE-2014-6326, CVE-2014-6336 1:32681, 1:32682, 1:32705 MS14-080 Aggiornamento cumulativo della protezione per Internet Explorer da CVE-2014-6327 a CVE-2014-6330, CVE-2014-6363, CVE-2014-6365, CVE-2014-6366, CVE-2014-6368, CVE-2014-6369, CVE-2014-637 da 3 a CVE-2014-6376 e CVE-2014-8966 1:32679, 1:32680, 1:32685, 1:32686, 1:32689 fino a 1:32694, 1:32703, 1:32704, 1:32709 1:32710, 1:32713 fino a 1:32717 e 1:32 da 720 a 1:32725 MS14-081 Le vulnerabilità in Microsoft Word e Office Web Apps potrebbero consentire l'esecuzione remota del codice CVE-2014-6356 e CVE-2014-6357 1:32707, 1:32708, 1:32711 e 1:32712 MS14-082 Le vulnerabilità di Microsoft Office potrebbero consentire l'esecuzione di codice remoto CVE-2014-6364 1:32687 e 1:32688 MS14-083 Le vulnerabilità di Microsoft Excel potrebbero consentire l'esecuzione di codice remoto CVE-2014-6360 e CVE-2014-6361 1:32683, 1:32684, 1:32718 e 1:32719 MS14-084 Vulnerabilità nel motore di scripting di VBScript che potrebbe consentire l'esecuzione remota del codice CVE-2014-6363 1:32709 MS14-085 La vulnerabilità dei componenti grafici Microsoft potrebbe consentire la divulgazione delle informazioni CVE-2014-6355 da 1:32695 a 1:32702
Per informazioni sull'utilizzo di Sourcefire Snort e Sourcefire Next-Generation IPS, fare riferimento a Sourcefire Next-Generation Security.
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE IL PRESENTE DOCUMENTO IN QUALSIASI MOMENTO.
-
Mostra menoVersion Descrizione Sezione Data 2 Le informazioni sulla firma di Sourcefire sono disponibili per i Microsoft Security Bulletin di dicembre 2014. 2014-dicembre-09 22:23 GMT 1 Pubblicazione iniziale del Bollettino sulla mitigazione applicata di Cisco 2014-dicembre-09 19:01 GMT
-
Le informazioni complete sulla segnalazione delle vulnerabilità della sicurezza nei prodotti Cisco, su come ottenere assistenza in caso di incidenti relativi alla sicurezza e su come registrarsi per ricevere informazioni sulla sicurezza da Cisco, sono disponibili sul sito Web di Cisco all'indirizzo https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Ciò include istruzioni per le richieste della stampa relative agli avvisi di sicurezza Cisco. Tutti gli avvisi sulla sicurezza Cisco sono disponibili all'indirizzo http://www.cisco.com/go/psirt.
-
La vulnerabilità della sicurezza si applica alle seguenti combinazioni di prodotti.
Prodotti principali Microsoft, Inc. Server Exchange 2007 (SP3) | 2010 (SP3) | 2013 (CU6, SP1) Internet Explorer 6.0 (Base, SP1, SP2) | 7,0 (base) | 8,0 (base) | 9,0 (base) | 10,0 (base) | 11,0 (base) Visualizzatore di Microsoft Office Excel 2007 (Base, SP1, SP2) Microsoft VBScript 5,8 (base) Ufficio 2007 (SP3) | 2010 (SP1, SP2) | 2013 (edizioni a 32 bit, edizioni a 32 bit Service Pack 1, edizioni a 64 bit, edizioni a 64 bit Service Pack 1) | 2013 RT (Base, Service Pack 1) Office Compatibility Pack Versione originale (SP3) | SP3 (base) Office per Mac 2011 (base) Windows 7 per sistemi a 32 bit (SP1) | per sistemi x64 (SP1) Windows 8 per sistemi a 32 bit (base) | per sistemi x64 (base) Windows 8.1 per sistemi a 32 bit (base) | per sistemi x64 (base) Windows RT Versione originale (base) | 8.1 (Base) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64 bit (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Edizione Enterprise (SP2) | Enterprise Edition, 64 bit (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64 bit (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Edizione Web (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64 bit (SP2) | Itanium-Based Systems Edition (SP2) | Edizione Enterprise (SP2) | Enterprise Edition, 64 bit (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64 bit (SP2) | Standard Edition (SP2) | Standard Edition, 64 bit (SP2) Server Web | (SP2) | Server Web, 64 bit (SP2) Windows Server 2008 R2 x64-Based Systems Edition (SP1) | Itanium-Based Systems Edition (SP1) Windows Server 2012 Versione originale (base) Windows Server 2012 R2 Versione originale (base) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Imprese (SP2) | Imprese (SP2) | Ultimate (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultimate x64 Edition (SP2) Visualizzatore di Word Versione originale (base) SharePoint Foundation 2010 (SP2) | 2013 (Base, SP1) Office Web Apps 2010 (SP2) | 2013 (Base, SP1)
Prodotti associati Microsoft, Inc. Windows 7 per sistemi a 32 bit | per sistemi x64 Windows 8 per sistemi a 32 bit | per sistemi x64 Windows 8.1 per sistemi a 32 bit | per sistemi x64 Windows RT Release originale | 8,1 Windows Server 2003 Datacenter Edition | Datacenter Edition, 64 bit (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Edizione Enterprise | Enterprise Edition, 64 bit (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standard | Standard Edition, 64 bit (Itanium) | Standard Edition x64 (AMD/EM64T) | Web Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64 bit | Itanium-Based Systems Edition | Edizione Enterprise | Enterprise Edition, 64 bit | Server aziendale essenziale standard | Essential Business Server Premium | Essential Business Server Premium, a 64 bit | Standard | Standard Edition, 64 bit Server Web | | Server Web, 64 bit Windows Server 2008 R2 x64-Based Systems Edition | Itanium-Based Systems Edition Windows Server 2012 Release originale Windows Server 2012 R2 Release originale Windows Vista Home Basic | Home Premium | Imprese | Imprese | Ultimate | Home Basic edizione x64 | Home Premium edizione x64 | Business x64 Edition | Edizione Enterprise x64 | Ultimate x64 Edition
-
IL PRESENTE DOCUMENTO VIENE FORNITO "COSÌ COM'È" E NON IMPLICA ALCUNA GARANZIA O CONCESSIONE, INCLUSE LE GARANZIA DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO DA PARTE DELL'UTENTE DELLE INFORMAZIONI CONTENUTE NEL DOCUMENTO O NEI MATERIALI ACCESSIBILI DAL DOCUMENTO AVVIENE A PROPRIO RISCHIO. CISCO SI RISERVA IL DIRITTO DI MODIFICARE O AGGIORNARE GLI AVVISI IN QUALSIASI MOMENTO.
Una copia standalone o una parafrasi del testo di questo documento che omette l'URL di distribuzione è una copia non controllata e può non contenere informazioni importanti o contenere errori materiali. Le informazioni di questo documento sono destinate agli utenti finali dei prodotti Cisco