-
Microsoft kondigde 11 veiligheidsbulletins aan die 26 kwetsbaarheden aanpakken als deel van het maandelijkse veiligheidsbulletin van 14 April, 2015. Een samenvatting van deze bulletins vindt u op de Microsoft-website op http://technet.microsoft.com/en-us/security/bulletin/ms15-apr. Dit document biedt identificatie- en onderdrukkingstechnieken die beheerders op Cisco-netwerkapparaten kunnen implementeren.
De kwetsbaarheden die een de aanvalsvector hebben van de cliëntsoftware, kunnen plaatselijk op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing, en web-based e-mailbedreigingen) of e-mailgehechtheid, of de dossiers die op netwerkaandelen worden opgeslagen zijn in de volgende lijst: De kwetsbaarheden die een netwerkmatiging, met inbegrip van Web en e-mailveiligheidskwesties hebben, zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor de kwetsbaarheden van een netwerkaanvalsvector, die later in dit document in detail wordt besproken. Daarnaast maken meerdere Cisco-producten gebruik van Microsoft-besturingssystemen als hun basisbesturingssysteem. Cisco-producten die kunnen worden beïnvloed door de kwetsbaarheden die in de Microsoft Advisories met referenties worden beschreven, worden gedetailleerd in de tabel "Bijbehorende producten" in de sectie "Productsets".
-
MS15-033, Vulnerabilities in Microsoft Office Kan RCE (3038314) toestaan: Deze kwetsbaarheden zijn toegewezen de Gemeenschappelijke Kwetsbaarheid en Blootstellingen (CVE) identificatoren CVE-2015-1639, CVE-2015-1641, CVE-2015-1649, CVE-2015-1650, en CVE-2015-1651. Deze kwetsbaarheden kunnen op afstand worden geëxploiteerd zonder verificatie en vereisen gebruikersinteractie.
Succesvolle benutting van de kwetsbaarheid die is geassocieerd met CVE-2015-1639 kan willekeurige code uitvoering toestaan. De aanvalsvector voor de exploitatie van CVE-2015-1639 is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en poort 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken. Vanwege de aard van kwetsbaarheden voor cross-site scripting zal in dit bericht geen aanvullende informatie worden gepresenteerd.
Raadpleeg voor extra informatie over aanvallen met cross-site scripting en de methoden die zijn gebruikt om deze kwetsbaarheden te exploiteren het Cisco Applied Mitigation Bulletin Understanding Cross-Site Scripting (XSS) Threat Vectors.
MS15-035, Vulnerability in Microsoft Graphics Component zou RCE (3046306) kunnen toestaan: Deze kwetsbaarheid is toegewezen gemeenschappelijke kwetsbaarheid en blootstellingen (CVE) identificatiecode CVE-2015-1645. Deze kwetsbaarheid kan op afstand worden geëxploiteerd zonder authenticatie en vereist gebruikersinteractie. Als deze kwetsbaarheid met succes wordt benut, kan willekeurige code worden uitgevoerd. De aanvalsvector voor de exploitatie van deze kwetsbaarheid is via HTTP- en HTTPS-pakketten die doorgaans TCP-poort 80 en poort 443 gebruiken, maar ook TCP-poorten 3128, 8000, 8010, 8080, 8888 en 24326 kunnen gebruiken.
-
Informatie over getroffen en onaangetaste producten is beschikbaar in de respectieve Microsoft Advisories en de Cisco Alerts die worden vermeld in Cisco Event Response: Microsoft Security Bulletin release voor april 2015.
-
De kwetsbaarheden die een client software aanvalsvector hebben, kunnen lokaal op het kwetsbare apparaat worden geëxploiteerd, vereisen gebruikersinteractie, of kunnen worden geëxploiteerd met behulp van web-based aanvallen (deze omvatten maar zijn niet beperkt tot cross-site scripting, phishing, en web-based e-mailbedreigingen) of e-mailbijlagen, of bestanden die zijn opgeslagen op netwerkaandelen zijn in de volgende lijst: Deze kwetsbaarheden worden het meest succesvol op het eindpunt verzacht door software-updates, gebruikersonderwijs, best practices voor desktopbeheer en endpointbeveiligingssoftware zoals Host Inbraakpreventiesystemen (HIPS) of antivirusproducten.
De kwetsbaarheden die een netwerkmatiging, met inbegrip van Web en e-mailveiligheidskwesties hebben, zijn in de volgende lijst. Cisco-apparaten bieden verschillende tegenmaatregelen voor deze kwetsbaarheden. In dit gedeelte van het document wordt een overzicht van deze technieken gegeven. Effectieve explosiepreventie en explosidentificatie kunnen ook worden geleverd door de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, Cisco Catalyst 6500 Series ASA servicesmodule (ASM) en de Firewall Services Module (FWSM) voor Cisco Catalyst 6500 Series Switches en Cisco 7600 Series routers met Application Layer Protocol Inspectie.
De Cisco ACE-applicatie en module voor Application Control Engine kunnen ook een effectieve bescherming bieden door gebruik te maken van toepassingsprotocolinspectie.
Deze beschermingsmechanismen filteren en droppen pakketten die proberen deze kwetsbaarheden te exploiteren.
Effectief gebruik van de gebeurtenisacties van Cisco Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.
Effectief gebruik van de gebeurtenissen van het Sourcefire Inbraakpreventiesysteem (IPS) biedt zichtbaarheid in en bescherming tegen aanvallen die proberen deze kwetsbaarheden te exploiteren.
Effectief gebruik van de eventacties van Cisco Web Security Appliance biedt zichtbaarheid in en bescherming tegen aanvallen die proberen de kwetsbaarheden te exploiteren die een aanvalsvector over het web hebben.
Effectief gebruik van de Cisco Email Security Applicatie kan bescherming bieden tegen aanvallen die proberen de kwetsbaarheden te exploiteren die een e-mailaanvalsvector hebben.
Effectief gebruik van de gebeurtenissen van Cisco Cloud Web Security biedt zichtbaarheid in en bescherming tegen aanvallen die proberen te profiteren van kwetsbaarheden die een aanvalsvector over het web hebben.
-
Organisaties wordt aangeraden hun standaard risicobeoordelings- en risicobeperkingsprocessen te volgen om de potentiële impact van deze kwetsbaarheden te bepalen. Triage verwijst naar het sorteren van projecten en het prioriteren van inspanningen die waarschijnlijk het meest succesvol zullen zijn. Cisco heeft documenten geleverd die organisaties kunnen helpen bij de ontwikkeling van een op risico gebaseerde triagecapaciteit voor hun informatieveiligheidsteams. Risico Triage voor Security Vulnerability aankondigingen en Risk Triage en Prototyping kunnen organisaties helpen herhaalbare security evaluatie- en reactieprocessen te ontwikkelen.
-
Apparaatspecifieke beperking en identificatie
Waarschuwing: de effectiviteit van elke mitigatietechniek hangt af van specifieke klantsituaties, zoals productmix, netwerktopologie, verkeersgedrag en organisatorische missie. Zoals bij elke configuratiewijziging, evalueer het effect van deze configuratie voordat u de wijziging toepast.
Voor deze hulpmiddelen is specifieke informatie over beperking en identificatie beschikbaar:- Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
- Cisco ACE
- Cisco-inbraakpreventiesysteem
- Sourcefire inbraakpreventiesysteem
- Cisco Web- en e-mailbeveiliging
- Cisco Cloud-webbeveiliging
Cisco ASA, Cisco ASM en Cisco FWSM-firewalls
Beperking: Application Layer Protocol Inspectie
Toepassingslaagprotocolinspectie is beschikbaar vanaf Cisco IOS-softwarerelease 7.2(1) voor de Cisco ASA 5500 en 5500-X Series adaptieve security applicatie, IOS-softwarerelease 8.5 voor Cisco Catalyst 6500 Series ASA-servicesmodule en in IOS-softwarerelease 4.0(1) voor de Cisco Firewall Services module. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat door de firewall loopt. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast. Toepassingsinspectie inspecteert zowel IPv4- als IPv6-pakketten die op de klassekaart van het beleid zijn afgestemd.
Aanvullende informatie over Application Layer Protocol inspection en het Modular Policy Framework (MPF) is in de sectie Getting Started with Application Layer Protocol Inspection van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.2.
Waarschuwing: Application Layer Protocol inspection verlaagt de prestaties van de firewall. Beheerders wordt aangeraden om de invloed op de prestaties te testen in een laboratoriumomgeving voordat deze functie wordt geïmplementeerd in productieomgevingen.
HTTP-toepassingsinspectie
Voor MS15-035 kunnen beheerders met de HTTP-inspectieengine op de Cisco ASA 5500- en 5500-X Series adaptieve security applicaties, Cisco 6500 Series ASA-servicesmodules en Cisco Firewall Services Module reguliere expressies (regexes) configureren voor patroonmatching en kaarten van inspectieklasse en kaarten van inspectiebeleid. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van HTTP-toepassingsinspectie gebruikt het Cisco Modular Policy Framework (MPF) om een beleid te maken voor inspectie van verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326. Dit zijn de standaardpoorten voor de variabele Cisco IPS #WEBPORTS. Het beleid van de de toepassingsinspectie van HTTP zal verbindingen laten vallen waar het HTTP- reactielichaam om het even welke regexes bevat die worden gevormd om de controle aan te passen ActiveX die met deze kwetsbaarheid wordt geassocieerd.
Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de hoofdtekst van een HTML-respons aan. Er dient voor te worden gezorgd dat legitieme zakelijke toepassingen die bijpassende tekststrings gebruiken, niet worden beïnvloed. De extra informatie over syntaxis regex is in het Creëren van een Reguliere Expressie.
! ! !-- Configure regexes that look for the .emf file !-- extension that is typically used to exploit !-- the vulnerability associated with MS15-035 !-- ! regex MS15-035 "\.[Ee][Mm][Ff]" ! !-- Configure a regex class to match on the regular !-- expressions that are configured above ! class-map type regex match-any MS15-035_regex_class match regex MS15-035 ! !-- Configure an object group for the default ports that !-- are used by the Cisco IPS #WEBPORTS variable, which !-- are TCP ports 80 (www), 3128, 8000, 8010, 8080, 8888, !-- and 24326 ! object-group service WEBPORTS tcp port-object eq www port-object eq 3128 port-object eq 8000 port-object eq 8010 port-object eq 8080 port-object eq 8888 port-object eq 24326 ! !-- Configure an access list that uses the WEBPORTS object !-- group, which will be used to match TCP packets that !-- are destined to the #WEBPORTS variable that is used !-- by a Cisco IPS device ! access-list Webports_ACL extended permit tcp any any object-group WEBPORTS ! !-- Configure a class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map Webports_Class match access-list Webports_ACL ! !-- Configure an HTTP application inspection policy that !-- identifies, drops, and logs connections that contain !-- the regexes that are configured above ! policy-map type inspect http MS_Apr_2015_policy parameters ! !-- "body-match-maximum" indicates the maximum number of !-- characters in the body of an HTTP message that !-- should be searched in a body match. The default value is !-- 200 bytes. A large number such as shown here may have an !-- impact on system performance. Administrators are advised !-- to test performance impact in a lab environment before !-- this command is deployed in production environments. ! body-match-maximum 1380 match response body regex class MS15-035_regex_class drop-connection log ! !-- Add the above-configured "Webports_Class" that matches !-- TCP packets that are destined to the default ports !-- that are used by the Cisco IPS #WEBPORTS variable to !-- the default policy "global_policy" and use it to !-- inspect HTTP traffic that transits the firewall ! policy-map global_policy class Webports_Class inspect http MS_Apr_2015_policy ! !-- By default, the policy "global_policy" is applied !-- globally, which results in the inspection of !-- traffic that enters the firewall from all interfaces ! service-policy global_policy global
Voor extra informatie over de configuratie en het gebruik van objectgroepen raadpleegt u de sectie Objecten en ACL’s van Boek 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.2.
Aanvullende informatie over HTTP-toepassingsinspectie en de MPF is in de sectie HTTP-inspectie van Boek 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.2.
Raadpleeg voor informatie over het gebruik van de Cisco Firewall CLI om de effectiviteit van toepassingsinspectie te meten de Cisco Security white paper Identification of Security Exploits met Cisco ASA, Cisco ASM en Cisco FWSM Firewalls.Cisco ACE
Beperken: Application Protocol Inspection
Application Protocol inspection is beschikbaar voor de Cisco ACE-applicatie en module voor Application Control Engine. Deze geavanceerde beveiligingsfunctie voert een diepe pakketinspectie uit van verkeer dat het Cisco ACE-apparaat doorvoert. De beheerders kunnen een inspectiebeleid voor toepassingen construeren die speciale behandeling door de configuratie van de kaarten van de inspectieklasse en de kaarten van het inspectiebeleid vereisen, die via een globaal of interfacebeleid worden toegepast.
Aanvullende informatie over inspectie van toepassingsprotocollen vindt u in het gedeelte Configuration Application Protocol Inspection van de Security Guide vA5(1.0), Cisco ACE Application Control Engine.
HTTP-pakketcontrole voor diep gebruik
Om HTTP-diepe pakketinspectie voor MS15-035 uit te voeren, kunnen beheerders reguliere expressies (regexes) configureren voor patroonmatching en inspectieklasse-kaarten en inspectiebeleidskaarten samenstellen. Deze methodes kunnen helpen tegen specifieke kwetsbaarheden, zoals die beschreven in dit document, en andere bedreigingen beschermen die met HTTP-verkeer kunnen worden geassocieerd. De volgende configuratie van de inspectie van het toepassingsprotocol van HTTP inspecteert verkeer op TCP-poorten 80, 3128, 8000, 8010, 8080, 8888 en 24326, die de standaardpoorten zijn voor de variabele Cisco IPS #WEBPORTS.
Waarschuwing: de geconfigureerde regexes kan tekststrings op elke locatie in de inhoud van een HTML-pakket aan elkaar koppelen. Er dient voor te worden gezorgd dat legitieme zakelijke toepassingen die bijpassende tekststrings gebruiken, niet worden beïnvloed.
! !-- Configure an HTTP application inspection class that !-- looks for HTTP packets that contain a combination of !-- the .emf file extension that is typically used to exploit !-- the vulnerability associated with MS15-035 ! class-map type http inspect match-any MS15-035_class
2 match content ".*\.[Ee][Mm][Ff].*" policy-map type inspect http all-match MS_Apr_2015 class MS15-035_class
reset log ! !-- Configure an access list that matches TCP packets !-- that are destined to the #WEBPORTS variable that is !-- used by a Cisco IPS device ! access-list WEBPORTS line 8 extended permit tcp any any eq www access-list WEBPORTS line 16 extended permit tcp any any eq 3128 access-list WEBPORTS line 24 extended permit tcp any any eq 8000 access-list WEBPORTS line 32 extended permit tcp any any eq 8010 access-list WEBPORTS line 40 extended permit tcp any any eq 8080 access-list WEBPORTS line 48 extended permit tcp any any eq 8888 access-list WEBPORTS line 56 extended permit tcp any any eq 24326 ! !-- Configure a Layer 4 class that uses the above-configured !-- access list to match TCP packets that are destined !-- to the ports that are used by the Cisco IPS #WEBPORTS !-- variable ! class-map match-all L4_http_class match access-list WEBPORTS ! !-- Configure a Layer 4 policy that applies the HTTP application !-- inspection policy configured above to TCP packets that !-- are destined to the ports that are used by the Cisco IPS !-- #WEBPORTS variable ! policy-map multi-match L4_MS_Apr_2015 class L4_http_class inspect http policy MS_Apr_2015 ! !-- Apply the configuration globally across all interfaces, !-- which results in the inspection of all traffic that enters !-- the ACE ! service-policy input L4_MS_Apr_2015
Raadpleeg voor informatie over het gebruik van de ACE-CLI om de effectiviteit van de toepassingsinspectie te meten de Cisco Security white paper Identification of Malicious Traffic met Cisco ACE.Cisco-inbraakpreventiesysteem
Beperken: acties voor Cisco IPS-handtekeningen
Beheerders kunnen de Cisco IPS-apparaten en servicesmodules gebruiken om bedreigingsdetectie te bieden en pogingen te voorkomen om verschillende van de kwetsbaarheden te exploiteren die in dit document worden beschreven. De volgende tabel geeft een overzicht van de CVE-identificatiecodes en de respectieve Cisco IPS-handtekeningen die gebeurtenissen op potentiële pogingen om deze kwetsbaarheden te exploiteren zullen activeren.
CVE-id Handtekeningrelease Handtekening-ID Handtekeningnaam Ingeschakeld Ernst Fidelity* CVE-2015-1635 S862-software
6043-0 Microsoft HTTP.sys Remote Code uitvoeren Ja Hoog 90 CVE-2015-1640 S862-software
5232-0 URL met XSS Ja Hoog 80 CVE-2015-1641 S862-software
6035-0 Microsoft Office-geheugencorruptie Ja Hoog 80 CVE-2015-1645 S862-software
6034-0 Microsoft EMF Processing Remote Code uitvoeren Ja Hoog 80 CVE-2015-1648 S862-software
6044-0 Microsoft .NET Framework Informatie Openbaarmaking Ja Laag 80 CVE-2015-1651 S862-software
6036-0 Microsoft Office RTF dubbele gratis fout Ja Hoog 85 CVE-2015-1652 S862-software 6019-0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 85 CVE-2015-1653 S862-software
5232-0 URL met XSS Ja Hoog 80 CVE-2015-1657 S862-software
6018-0 Microsoft Internet Explorer Informatieverschaffing Ja Hoog 85 CVE-2015-1660 S862-software
6021-0 Microsoft Internet Explorer Memory Corruptie Ja Hoog 85 CVE-2015-1661 S862-software
6033-0 Microsoft Internet Explorer Memory Corruptie Kwetsbaarheid Ja Hoog 75 CVE-2015-1665 S862-software
6010-0 Uitvoeren van Microsoft Internet Explorer-code Ja Hoog 80 CVE-2015-166 S862-software
6006-0 Uitvoeren van Microsoft Internet Explorer-code Ja Hoog 80 CVE-2015-1667 S862-software
6038-0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 85 CVE-2015-1668 S862-software
6042-0 Microsoft Internet Explorer Remote Code uitvoeren Ja Hoog 85
* Fidelity wordt ook aangeduid als Signature Fidelity Rating (SFR) en is de relatieve maat van de nauwkeurigheid van de handtekening (vooraf gedefinieerd). De waarde varieert van 0 tot 100 en wordt ingesteld door Cisco Systems, Inc.
Beheerders kunnen Cisco IPS-sensoren configureren om een gebeurtenisactie uit te voeren wanneer een aanval wordt gedetecteerd. De geconfigureerde gebeurtenisactie voert preventieve of afschrikkende controles uit om te helpen beschermen tegen een aanval die probeert de kwetsbaarheden te exploiteren die in de vorige tabel zijn vermeld.
Cisco IPS-sensoren zijn het meest effectief wanneer ze worden ingezet in inline beschermingsmodus in combinatie met het gebruik van een gebeurtenisactie. Automatische bedreigingspreventie voor Cisco IPS 7.x- en 6.x-sensoren die in de inline-beschermingsmodus worden geïmplementeerd, biedt bedreigingspreventie tegen een aanval die probeert te profiteren van de kwetsbaarheid die in dit document wordt beschreven. De preventie van de bedreiging wordt bereikt door een standaardopheffing die een gebeurtenisactie voor teweeggebrachte handtekeningen met een riskRatingValue groter dan 90 uitvoert.
Voor aanvullende informatie over de risicorating en de berekening van de dreigingswaardering, de referentie Risicorating en de dreigingswaardering: Vereenvoudig IPS-beleidsbeheer.
Zie Identificatie van kwaadaardig verkeer met Cisco Security Manager voor informatie over het gebruik van Cisco Security Manager om de activiteit van een Cisco IPS -sensor te bekijken.Informatie over Sourcefire-handtekeningen
De volgende Sourcefire Snort handtekeningen zijn beschikbaar voor de Microsoft April 2015 Security Update.
Microsoft Advisory ID Microsoft Adviserende Naam Toepasselijke regels MS15-032 Cumulatieve security update voor Internet Explorer (3038314) 1:32442, 1:32443, 1:34059, 1:34060, 1:34064, 1:34065, 1:34068 t/m 1:34071, 1:34074 t/m 1:34077, 1:34084, 1:34085, 1:34089 en 1:34090 MS15-033 De kwetsbaarheden in Microsoft Office konden de Verre Uitvoering van de Code toestaan (3048019) 1:34062, 1:34063, 1:34066, 1:34067, 1:34086, 1:34087, 1:34093 en 1:34094 MS15-034 Kwetsbaarheid in HTTP.sys kan Remote Code Execution (3042553) toestaan 1:34061 MS15-035 De kwetsbaarheid in de component van de Grafiek van Microsoft kon de Uitvoering van de Code op afstand toestaan (3046306) 1:34082 en 1:34083 MS15-036 De kwetsbaarheid in Microsoft SharePoint Server zou de Verhoging van Voorrecht (3052044) kunnen toestaan 1:34099 MS15-037 Kwetsbaarheid in Windows Task Scheduler kan Verhoging van rechten toestaan (3046269) 1:34091 en 1:34092 MS15-038 De kwetsbaarheid in Microsoft Windows zou Verhoging van Voorrecht kunnen toestaan (3049576) 1:34078 door 1:34081, 1:34095 en 1:34096 MS15-039 Kwetsbaarheid in XML-kernservices kan security functieomzeiling (3046482) toestaan 1:34097 en 1:34099 MS15-041 De kwetsbaarheid in .NET Kader kon Informatieonthulling (3048010) toestaan 1:34088 Voor informatie over het gebruik van Sourcefire Snort en Sourcefire IPS van de volgende generatie, referentie Sourcefire Next-generation security.
Cisco Web en e-mail security applicatie
Beperken: Web security
Cisco Web Security Appliances (WSA) kunnen bedrijfsnetwerken filteren en beschermen tegen webgebaseerde malware en spyware-programma's die de bedrijfsbeveiliging in gevaar kunnen brengen en intellectuele eigendom kunnen blootstellen. Ze opereren als een proxy en kunnen gebruikers- en groepsbeleid bieden dat bepaalde URL-categorieën, web content, web applicatie zichtbaarheid en controle (AVC), websites gebaseerd op web reputatie en malware content filteren. De WSA kan ook geïnfecteerde clients detecteren en voorkomen dat kwaadaardige activiteiten buiten het bedrijfsnetwerk gaan met behulp van de L4 Traffic Monitor (L4TM). Het beleid kan worden geconfigureerd met een web GUI. Een CLI kan ook worden gebruikt. De WSA bevat bescherming voor standaard communicatieprotocollen, zoals HTTP, HTTPS, FTP en SOCKS.
Om met netwerkapparaten zoals routers en firewalls te werken, gebruikt de WSA Web Cache Communication Protocol (WCCP). Met WCCP worden inhoudsverzoeken op transparante wijze doorgestuurd naar de WSA, die handelt op basis van zijn configuratie. Gebruikers hoeven geen web-proxy in hun browsers te configureren. In Cisco IOS-software is WCCP ingeschakeld met de opdrachten ip wcp en in Cisco ASA met de opdrachten wcp.
Cisco WSA kan worden gebruikt om MS15-035 te beperken door webverkeer te filteren op basis van de volgende factoren:- URL-bestemmingen met een lage reputatie;
- .emf bestandstypen
Beperken: e-mail security
Cisco Email Security applicaties (ESA) elimineren e-mail spam en virussen, handhaven het bedrijfsbeleid en beveiligen de netwerkperimeter. Ze opereren als een SMTP-gateway, ook wel bekend als een e-mailwisselaar of MX. Ze kunnen uitbraken van virussen, spam en phishing filteren. Ze bieden ook e-mailencryptie, berichtfiltering, anti-spam diensten, antivirus diensten en nog veel meer.
Cisco ESA kan worden gebruikt om MS15-035 te verminderen door berichten te filteren op basis van een bijlagetype van .emf.
Filteracties maken het mogelijk om berichten te laten vallen, bounced, archiveren, blinde koolstof gekopieerd of gewijzigd. Filters kunnen ook meldingen genereren.
Raadpleeg de configuratiehandleiding voor Cisco AsyncOS e-mail (PDF) voor meer informatie.Cisco Cloud-webbeveiliging
Beperken: Cloud Web Security
Cisco Cloud Web Security (CWS) analyseert elk webverzoek en elke reactie om te bepalen of inhoud kwaadaardig, ongepast of acceptabel is op basis van het gedefinieerde beveiligingsbeleid. Dit biedt een effectieve bescherming tegen bedreigingen, inclusief bedreigingen van nul dagen die anders succesvol zouden zijn. Cisco CWS kan gebruikers- en groepsbeleid bieden dat bepaalde URL-categorieën, webcontent, bestanden en bestandstypen, webtoepassingen (AVC), websites op basis van webreputatie en malware filtert. Het kan zowel HTTP- als HTTPS-verkeer controleren.
Vanaf Cisco IOS 15.2MT op ISR-G2 routers en Cisco ASA softwarerelease 9.0 kan Cisco CWS transparant integreren met Cisco IOS en Cisco ASA. Daarnaast kunnen CWS, beginnend met AnyConnect 3.0, worden geïmplementeerd met de AnyConnect-client. CWS kan ook op eindhosts worden geïmplementeerd als een Cisco Cloud Connector-toepassing.
Cisco CWS kan worden gebruikt om MS15-035 te beperken door webverkeer te filteren op basis van het volgende:- URL-bestemmingen met een lage reputatie
- .emf bestandstypen
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM DIT DOCUMENT TE ALLEN TIJDE TE WIJZIGEN OF TE ANNULEREN.
-
Versie Beschrijving doorsnede Datum 2 Dit Toegepaste Beperkingsbulletin is bijgewerkt met Sourcefire handtekeningsinformatie. 2015-april-14 20:40 GMT 1 Cisco Applied Mitigation Bulletin eerste publieke release 2015-april-14 17:19 GMT
-
Volledige informatie over het melden van beveiligingskwetsbaarheden in Cisco-producten, het verkrijgen van assistentie bij beveiligingsincidenten en het registreren om beveiligingsinformatie van Cisco te ontvangen, is beschikbaar op de wereldwijde website van Cisco op https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html. Dit omvat instructies voor persvragen over Cisco-beveiligingsmeldingen. Alle Cisco-beveiligingsadviezen zijn beschikbaar op http://www.cisco.com/go/psirt.
-
De beveiligingskwetsbaarheid is van toepassing op de volgende combinaties van producten.
Primaire producten Microsoft, Inc. .NET Framework 1.1 (SP1) | 2,0 SP2 | 3,0 (SP2) | 3,5 (basis) | 3.5.1 (Basis) | 4,0 (basis) | 4,5 (Basis) | 4.5.1 (Basis) | 4.5.2 (Basis) Active Directory Federation Services (ADFS) 3,0 (basis) Internet Explorer 6,0 (basis) | 7,0 (basis) | 8,0 (basis) | 9,0 (basis) | 10,0 (basis) | 11,0 (basis) Kantoor 2010 (SP2) Office-compatibiliteitspakket SP3 (basis) Office voor Mac 2011 (basis) Projectserver 2010 (SP2) | 2013 (SP1) Windows 7 voor 32-bits systemen (Base, SP1) | voor op x64 gebaseerde systemen (Base, SP1) Windows 8 voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base) Windows 8.1 voor 32-bits systemen (Base) | voor op x64 gebaseerde systemen (Base) Windows RT Oorspronkelijke release (basis) | 8.1 (Basis) Windows Server 2003 Datacenter Edition (SP2) | Datacenter Edition, 64-bits (Itanium) (SP2) | Datacenter Edition x64 (AMD/EM64T) (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (Itanium) (SP2) | Enterprise Edition x64 (AMD/EM64T) (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (Itanium) (SP2) | Standard Edition x64 (AMD/EM64T) (SP2) | Web Edition (SP2) Windows Server 2008 Datacenter Edition (SP2) | Datacenter Edition, 64-bits (SP2) | Itanium-gebaseerde Systems Edition (SP2) | Enterprise Edition (SP2) | Enterprise Edition, 64-bits (SP2) | Essential Business Server Standard (SP2) | Essential Business Server Premium (SP2) | Essential Business Server Premium, 64-bits (SP2) | Standard Edition (SP2) | Standard Edition, 64-bits (SP2) | Webserver (SP2) | Webserver, 64-bits (SP2) Windows Server 2008 R2 x64-gebaseerde Systems Edition (SP1) | Itanium-gebaseerde Systems Edition (SP1) Windows Server 2012 Oorspronkelijke release (basis) Windows Server 2012 R2 Oorspronkelijke release (basis) Windows Vista Home Basic (SP2) | Home Premium (SP2) | Bedrijfsleven (SP2) | Ondernemingen (SP2) | Uiteindelijk (SP2) | Home Basic x64 Edition (SP2) | Home Premium x64 Edition (SP2) | Business x64 Edition (SP2) | Enterprise x64 Edition (SP2) | Ultieme x64-editie (SP2) Woord 2007 (SP3) | 2010 (SP2) | 2013 (RT, SP1) Word-webapps Oorspronkelijke release (basis) Word voor Mac 2011 (basis) Word-viewer Oorspronkelijke release (basis) SharePoint Foundation-software 2010 (SP2) | 2013 (SP1) Word-automatiseringsservices 2010 (basis) | 2013 (basis)
Verwante producten Microsoft, Inc. Windows 7 voor 32-bits systemen | voor op x64 gebaseerde systemen Windows 8 voor 32-bits systemen | voor op x64 gebaseerde systemen Windows 8.1 voor 32-bits systemen | voor op x64 gebaseerde systemen Windows RT Oorspronkelijke release | 8.1 Windows Server 2003 Datacenter Edition | Datacenter Edition, 64-bits (Itanium) | Datacenter Edition x64 (AMD/EM64T) | Enterprise Edition | Enterprise Edition, 64-bits (Itanium) | Enterprise Edition x64 (AMD/EM64T) | Standaarduitgave | Standard Edition, 64-bits (Itanium) | Standard Edition x64 (AMD/EM64T) | Webex Edition Windows Server 2008 Datacenter Edition | Datacenter Edition, 64-bits | Itanium-gebaseerde systeemeditie | Enterprise Edition | Enterprise Edition, 64-bits | Essential Business Server-standaard | Essential Business Server Premium | Essential Business Server Premium, 64-bits | Standaarduitgave | Standard Edition, 64-bits | Webserver | Webserver, 64-bits Windows Server 2008 R2 x64-gebaseerde Systems Edition | Itanium-gebaseerde systeemeditie Windows Server 2012 Oorspronkelijke release Windows Server 2012 R2 Oorspronkelijke release Windows Vista Home Basic | Home Premium | Bedrijfsactiviteiten | Ondernemingen | Uiteindelijk | Home Basic x64 Edition | Home Premium x64 Edition | Business x64 Edition | Enterprise x64 Edition | Ultieme x64-editie SharePoint Enterprise Server 2013 (SP1)
-
DIT DOCUMENT WORDT AANGEBODEN OP EEN ‘AS IS’-BASIS EN IMPLICEERT GEEN ENKEL SOORT GARANTIE, MET INBEGRIP VAN GARANTIES VAN VERKOOPBAARHEID OF GESCHIKTHEID VOOR EEN BEPAALD DOEL. UW GEBRUIK VAN DE INFORMATIE IN HET DOCUMENT OF DE MATERIALEN GEKOPPELD AAN HET DOCUMENT IS GEHEEL OP EIGEN RISICO. CISCO BEHOUDT ZICH HET RECHT VOOR OM WAARSCHUWINGEN TE ALLEN TIJDE TE WIJZIGEN OF BIJ TE WERKEN.
Een standalone kopie of parafrase van de tekst van dit document die de distributie-URL weglaat, is een ongecontroleerde kopie en kan belangrijke informatie missen of feitelijke fouten bevatten. De informatie in dit document is bedoeld voor eindgebruikers van Cisco-producten