home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / win2k / win2k.0503
Encoding:
Text File  |  2002-05-27  |  18.5 KB  |  412 lines
  1.  
  2.  
  3. **********************************************************
  4. WINDOWS 2000 MAGAZINE SECURITY UPDATE 
  5. **Watching the Watchers**
  6. The weekly Windows 2000 and Windows NT security update newsletter brought 
  7. to you by Windows 2000 Magazine and NTSecurity.net
  8. http://www.win2000mag.com/update/ 
  9. **********************************************************
  10.  
  11. This week's issue sponsored by
  12.  
  13. Trend Micro -- Your Internet VirusWall 
  14. http://www.antivirus.com/mayflowers.htm
  15.  
  16. FREE Managed Security Services WebCast 
  17. http://www.win2000mag.com/jump.cfm?ID=28
  18. (Below SECURITY ROUNDUP) 
  19.  
  20. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  21. May 3, 2000 - In this issue:
  22.  
  23. 1. IN FOCUS
  24.      - Peek Under the Hood of Distributed Denial of Service Attack 
  25. Software
  26.  
  27. 2. SECURITY RISKS
  28.      - Cassandra NNTPServer Subject to Denial of Service Attacks
  29.      - Cart32 Software Contains Backdoor
  30.  
  31. 3. ANNOUNCEMENTS
  32.      - Training & Certification UPDATE--Free Email Newsletter
  33.  
  34. 4. SECURITY ROUNDUP
  35.      - News: New Distributed Denial of Service Software Discovered
  36.      - News: More Derogatory Netscape References
  37.      - HowTo: Advanced Security in Exchange 2000, Part 1
  38.      - Review: SFProtect 2.0 
  39.  
  40. 5. NEW AND IMPROVED
  41.      - Authentication Solution for Windows 2000
  42.      - New Standards Will Aid in Underwriting Internet Risks
  43.  
  44. 6. HOT RELEASE (ADVERTISEMENT)
  45.      - WebTrends Security Analyzer 3.5 - 1,000+ Tests
  46.  
  47. 7. SECURITY TOOLKIT
  48.      - Book Highlight: IPSec: The New Security Standard for the Internet, 
  49. Intranets, and Virtual Private Networks
  50.      - Tip: Enable Auditing in Windows 2000
  51.      - Windows 2000 Security: New Rights in Win2K
  52.      - Ultimate Security Toolkit: CyberCop 5.5
  53.  
  54. 8. HOT THREADS 
  55.      - Windows 2000 Magazine Online Forums
  56.          VPN Token Security
  57.      - Win2KSecAdvice Mailing List
  58.          NewDSN.EXE DoS Attack--Low Risk
  59.          Windows 2000 NUL Bug
  60.      - HowTo Mailing List
  61.          Recover a Hard Disk After FDISK
  62.          One-way Trust Fails
  63.  
  64. ~~~~ SPONSOR: TREND MICRO -- YOUR INTERNET VIRUSWALL ~~~~
  65. April showers brought May flowers, and you can keep your network servers in 
  66. bloom with Trend Micro's reliable antivirus software. A world leader in 
  67. antivirus and content security technologies, Trend Micro's centrally 
  68. web-managed Internet gateway, Notes and Exchange email server, desktop 
  69. machine and network server protection--forms a protective, content security 
  70. VirusWall around your entire enterprise network.  
  71. http://www.antivirus.com/mayflowers.htm
  72.  
  73. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  74. Want to sponsor Windows 2000 Magazine Security UPDATE? Contact Jim Langone 
  75. (Western Advertising Sales Manager) at 800-593-8268 or jim@win2000mag.com, 
  76. OR Tanya T. TateWik (Eastern and International Advertising Sales Manager) 
  77. at 877-217-1823 or ttatewik@win2000mag.com.
  78. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  79.  
  80. 1. ========== IN FOCUS ==========
  81.  
  82. Hello everyone,
  83.  
  84. Last week was quiet on the Windows security front. There was little 
  85. excitement, unless you consider yet another piece of Distributed Denial of 
  86. Service (DDoS) attack software to be a form of excitement.
  87.    The new code, "mstream," was found on a compromised computer at a major 
  88. university. The discovery means that now a total of seven well-known DDoS 
  89. tools are available on the Internet. Those seven packages include two 
  90. versions of Tribal Flood Network (TFN), trinoo, two versions of 
  91. stacheldraht, shaft, and the newly discovered mstream software.
  92.    When some of these DDoS tools surfaced late last year, consultant David 
  93. Dittrich (who currently works at the University of Washington) performed 
  94. detailed analyses of the tools and published his findings on the Internet. 
  95. His findings helped everyone quickly learn how the attacks work, which is 
  96. paramount for learning how to shut them down. In more recent efforts, 
  97. Dittrich led a team that analyzed the mstream software and found that the 
  98. code, although effective at disrupting a network, is still in an early 
  99. development stage. We can expect that with the source code now published, 
  100. mstream will be further developed and even morphed into similar attack 
  101. tools.
  102.    It's relevant to point out that developing simple client/server 
  103. applications is no longer beyond the reach of even novice programmers. With 
  104. development platforms that come with sample client/server code and snap-in 
  105. component packages that can perform almost any function imaginable, anyone 
  106. vaguely familiar with socket-based development can create DDoS attack 
  107. software. We can expect to discover more DDoS attack-oriented packages down 
  108. the road, and we can expect more code analysis once those packages are 
  109. discovered.
  110.    Analysis of these code sets helps us understand how a particular attack 
  111. works overall, helps us identify the attack in the future, and might even 
  112. help us recognize other vulnerabilities before someone exploits them. So in 
  113. the future when a router starts rebooting or a server becomes very 
  114. sluggish, an intrusion-detection system might be able to recognize an 
  115. attack against those systems and minimize any possible effects.
  116.    If you haven't read the recently published mstream analysis, perhaps you 
  117. should peek under the hood of this DDoS attack software (see the news item 
  118. "New Distributed Denial of Service Software Discovered" in this issue of 
  119. the newsletter). The information will help you understand what you're up 
  120. against when trying to defend against DDoS attacks and trying to prevent 
  121. your systems from becoming agents of a DDoS attack against a remote 
  122. network. Until next time, have a great week.
  123.  
  124. Sincerely,
  125. Mark Joseph Edwards, News Editor
  126. mark@ntsecurity.net
  127.  
  128. 2. ========== SECURITY RISKS =========
  129. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  130.  
  131. * CASSANDRA NNTPSERVER SUBJECT TO DENIAL OF SERVICE ATTACKS
  132. The Network News Transfer Protocol (NNTP) service, which listens on port 
  133. 119, contains an unchecked buffer that can let an attacker crash the 
  134. service. By sending a large buffer of approximately 10,000 characters in 
  135. conjunction with the AUTHINFO command, the NNTP service can be made to 
  136. crash.
  137.    http://www.ntsecurity.net/go/load.asp?iD=/security/cassandra-1.htm
  138.  
  139. * CART32 SOFTWARE CONTAINS A BACKDOOR
  140. Cerberus Information Security discovered a backdoor in McMurtrey/Whitaker & 
  141. Associates' Cart32 software. An intruder can use the backdoor to gain 
  142. access to sensitive information such as passwords and credit card 
  143. information. In addition, the intruder can run arbitrary commands on a 
  144. remote server and change the administrative password without knowing the 
  145. current administrative password.
  146.    http://www.ntsecurity.net/go/load.asp?iD=/security/cart32-1.htm
  147.  
  148. 3. ========== ANNOUNCEMENTS ==========
  149.  
  150. * TRAINING & CERTIFICATION UPDATE--FREE EMAIL NEWSLETTER
  151. If you're preparing for a certification exam, it's important to get advice 
  152. and tips from the people who've been there. Sign up for our latest email 
  153. newsletter at our Training & Certification site and start getting hints to 
  154. help you pass your exams on the first try:
  155. http://www.win2000mag.net/training/index.html
  156.  
  157. 4. ========== SECURITY ROUNDUP ==========
  158.  
  159. * NEWS: NEW DISTRIBUTED DENIAL OF SERVICE SOFTWARE DISCOVERED
  160. Researchers discovered a new Distributed Denial of Service (DDoS) attack 
  161. software on a compromised server recently. Shortly thereafter, the source 
  162. code was published at several well-known security information outlets. Soon 
  163. after the code was published, David Dittrich, who had previously analyzed 
  164. other DDoS software (such as trin00, TFN, stacheldraht, and shaft) analyzed 
  165. the code and published his findings.
  166.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=127&TB=news
  167.  
  168. * NEWS: MORE DEROGATORY NETSCAPE REFERENCES
  169. The "Netscape engineers are weenies" reference found in Microsoft Visual 
  170. InterDev 1.0 earlier this month might not be an isolated incident. In 
  171. Microsoft Security Bulletin MS00-025, Microsoft mentions only Visual 
  172. InterDev 1.0 and the associated file dvwssr.dll as containing the 
  173. now-famous phrase. However, a readerÆs sharp eye has discovered that the 
  174. reference appears in two other DLLs that install with Visual InterDev 6.0, 
  175. Visual Studio (VS) 6.0, and VS 97.
  176.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=126&TB=news
  177.  
  178. * HOWTO: ADVANCED SECURITY IN EXCHANGE 2000, PART 1
  179. Microsoft Exchange Server has always provided the Advanced Security 
  180. subsystem to let users secure their mail messages. Advanced Security 
  181. guarantees confidentiality and message content integrity and verifies the 
  182. senderÆs authenticity. Advanced Security provides end-to-end message 
  183. security from the moment the sender signs and encrypts the message until 
  184. the receiver reads it.
  185.    http://www.ntsecurity.net/go/2c.asp?f=/howto.asp?IDF=103&TB=h
  186.  
  187. * REVIEW: SFPROTECT 2.0
  188. Scanning your systems for security vulnerabilities is a crucial task, so 
  189. selecting an appropriate security scanner for your network is important. If 
  190. you're looking for an agent-based system security scanner, SFProtect 2.0 
  191. might be your solution. To find out, read the product review on our Web 
  192. site.
  193.    http://www.ntsecurity.net/go/2c.asp?f=/reviews.asp?IDF=103&TB=r
  194.  
  195. ~~~~ SPONSOR: FREE MANAGED SECURITY SERVICES WEBCAST ~~~~
  196. AXENT, with its subsidiary SNCi, presents its "Everything You Need to Know 
  197. About Managed Security Services" WebCast. The WebCast teaches you what to 
  198. look for from your security services provider, to help effectively protect 
  199. your e-business infrastructure.
  200. Space is limited - register today at 
  201. http://www.win2000mag.com/jump.cfm?ID=28 to reserve your spot.
  202. AXENT* is the leading provider of e-security solutions for your business, 
  203. delivering integrated products and expert services to 45 of the Fortune 50 
  204. companies.
  205.  
  206. 5. ========== NEW AND IMPROVED ==========
  207. (contributed by Judy Drennen, products@win2000mag.com)
  208.  
  209. * AUTHENTICATION SOLUTION FOR WINDOWS 2000
  210. RSA Security released its two-factor user-authentication solution for 
  211. controlling access to Windows 2000 networks, IIS Web servers, and desktops. 
  212. The free RSA ACE/Agent 1.0 for Windows 2000 is included on the Win2K CD-ROM 
  213. and is designed to reduce risks associated with conducting e-business. RSA 
  214. Security extends the native security in Win2K with RSA SecurID 
  215. authenticators.
  216.    RSA ACE/Agent 1.0 for Windows 2000 is a free, value-added component of 
  217. the RSA SecurID solution. The RSA ACE/Agent is shipping with the US English 
  218. version of Win2K. The Agent is also available for free download on RSA 
  219. Security's Web site.
  220.    http://www.rsasecurity.com/downloads.
  221.  
  222. * NEW STANDARDS WILL AID IN UNDERWRITING INTERNET RISKS
  223. Marsh, Internet Security Systems, and Protegrity are working to establish 
  224. new security assessment standards for e-business designed to protect 
  225. crucial information of firms using the Internet. The new standards will 
  226. affect businesses seeking to purchase insurance to cover e-business 
  227. exposures. You can find more information and a white paper on e-business 
  228. insurance at
  229. http://www.iss.net.  
  230.  
  231. 6. ========== HOT RELEASE (ADVERTISEMENT) ==========
  232.  
  233. * WEBTRENDS SECURITY ANALYZER 3.5 - 1,000+ TESTS
  234. WebTrends Security Analyzer 3.5 provides complete security vulnerability 
  235. analysis with over 1,000 tests for Windows 95, 98, NT, 2000, Red Hat and VA 
  236. Linux, and Solaris systems. Get the FREE 10 System Edition for immediate 
  237. download.
  238. http://www.webtrends.com/redirect/securityupdate1.htm
  239.  
  240. 7. ========== SECURITY TOOLKIT ==========
  241.  
  242. BOOK HIGHLIGHT: IPSEC: THE NEW SECURITY STANDARD FOR THE INTERNET, 
  243. INTRANETS, AND VIRTUAL PRIVATE NETWORKS
  244. By Naganand Doraswamy and Dan Harkins
  245. Online Price: $44.99
  246. Hardcover; 300 Pages
  247. Published by Prentice Hall, July 1999
  248. ISBN 0130118982
  249.  
  250. Here's a guide to IPSec, straight from two leading authorities in IPSec 
  251. standardization and implementation. "The New Security Standard for The 
  252. Internet, Intranets, and Virtual Private Networks" reviews the fundamentals 
  253. of computer and network security and the tradeoffs associated with 
  254. implementing security at each layer of the IP stack. Then it walks through 
  255. IPSec's architecture and components.
  256.  
  257. For Windows 2000 Magazine Security UPDATE readers only--Receive an 
  258. additional 10 percent off the online price by typing WIN2000MAG in the 
  259. discount field on the Shopping Basket Checkout page. To order this book, go 
  260. to
  261.  
  262. http://www.fatbrain.com/shop/info/0130118982?from=win2000mag
  263.  
  264. Or visit the Windows 2000 Magazine Network Bookstore at
  265.  
  266. http://www1.fatbrain.com/store.cl?p=win2000mag&s=97772
  267.  
  268. * TIP: ENABLE AUDITING IN WINDOWS 2000
  269. (contributed by http://www.jsiinc.com/reghack.htm)
  270.  
  271. To track security-related events, you must enable auditing on the system to 
  272. be monitored. To enable auditing on Windows 2000 systems, open Control 
  273. Panel, select Administrative Tools, Local Security Policy, then Audit 
  274. Policy. In the right window of the dialog box, double-click each policy to 
  275. ensure it reflects your tracking preference. Select the Success item to 
  276. write an event log entry for successful events, and select Fail to write an 
  277. event log entry for failed events.
  278.  
  279. * WINDOWS 2000 SECURITY: NEW RIGHTS IN WIN2K
  280. Although Windows 2000 has most of the same user rights as Windows NT 4.0, 
  281. several new rights can help you control some of Win2KÆs new functions and 
  282. handle logon restrictions. In his Web column this week, Randy Franklin 
  283. Smith introduces you to these new rights and shows you why they are 
  284. important to security.
  285.    http://www.ntsecurity.net/go/win2ksec.asp
  286.  
  287. * ULTIMATE SECURITY TOOLKIT: CYBERCOP 5.5
  288. Out of the box, Network Associates' (NAI) CyberCop Scanner scans for 732 
  289. different security vulnerabilities, and you can use the softwareÆs Auto 
  290. Update feature to increase the number of vulnerabilities it scans for. NAI 
  291. releases program updates monthly. In addition to vulnerability assessment, 
  292. CyberCop Scanner also audits your security policy settings and tests for 
  293. Intrusion Detection Systems.
  294.    Be sure to read Steve Manzuik's review on our Web site.
  295.    http://www.ntsecurity.net/go/ultimate.asp
  296.  
  297. 8. ========== HOT THREADS ==========
  298.  
  299. * WINDOWS 2000 MAGAZINE ONLINE FORUMS
  300.  
  301. The following text is from a recent threaded discussion on the Windows 
  302. 2000 Magazine online forums (http://www.win2000mag.com/support). 
  303.  
  304. April 28, 2000, 02:06 A.M. 
  305. VPN Token Security 
  306.  
  307. Does anyone have a good suggestion on what token system to use to allow for 
  308. an extra authentication (username+passwd+token) when establishing a VPN 
  309. connection to a RRAS server (NT4 SP6/W2000). All I want is to be sure that 
  310. only those certain users carrying the token generators will be allowed 
  311. access. I have tried RSA ACE/Server SecureID, but found this product to be 
  312. unsatisfactorily integrated into the NT (security) subsystems (double user 
  313. administration), and the system was not (yet) prepared to handle PPTP 
  314. tunnels.
  315.    I know Microsoft has made it easier in Win2K by implementing an IETF 
  316. extension to PPP called EAP (Extensible Authentication Protocol). 
  317. Preferably, I would like a system that runs both under NT4.0 and Win2K, but 
  318. I would settle for one of them.
  319.  
  320. Thread continues at
  321. http://www.win2000mag.com/support/Forums/Application/Index.cfm?CFApp=69&Message_ID=100998.
  322.  
  323. * WIN2KSECADVICE MAILING LIST
  324. Each week we offer a quick recap of some of the highlights from the
  325. Win2KSecAdvice mailing list. The following threads are in the spotlight
  326. this week:
  327.  
  328. 1. NewDSN.EXE DoS Attack--Low Risk
  329. Under certain conditions, Internet Information Server is vulnerable to a 
  330. Denial of Service attack. This is a low-risk, conditional attack that is 
  331. hard to exploit.
  332. http://www.ntsecurity.net/go/w.asp?A2=IND0004E&L=WIN2KSECADVICE&P=748
  333.  
  334. 2. Windows 2000 NUL Bug
  335. If you open a DOS command window and type NUL at the command line, you get 
  336. a screen with a list of programs that can be used to open nul.pif and from 
  337. there you may be able to access other parts of the system.
  338. http://www.ntsecurity.net/go/w.asp?A2=IND0004E&L=WIN2KSECADVICE&P=90
  339.  
  340. Follow this link to read all threads for April, Week 5:
  341.    http://www.ntsecurity.net/go/w.asp?A1=ind0004e&L=win2ksecadvice
  342.  
  343. * HOWTO MAILING LIST
  344. Each week we offer a quick recap of some of the highlights from the
  345. HowTo for Security mailing list. The following threads are in the
  346. spotlight this week:
  347.  
  348. 1. Recover a Hard Disk after FDISK
  349. A user has formatted a hard disk (20GB Fat32) only with FDISK. Is it 
  350. possible to get back the lost data with a tool? Believe it or not, there is 
  351. a way to recover!
  352. http://www.ntsecurity.net/go/L.asp?A2=IND0004e&L=HOWTO&P=81
  353.  
  354. 2. One-way Trust Fails
  355. I've set up a one-way trust between two NT 4.0 domains with Sp6a PDC's. 
  356. Domain A is a DMZ with IIS 4/Proxy 2.0 with SP1 on a PDC. Domain A is 
  357. configured to trust the LAN on Domain B, but the trust fails. 
  358. http://www.ntsecurity.net/go/L.asp?A2=IND0004e&L=HOWTO&P=848
  359.  
  360. Follow this link to read all threads for April, Week 5:
  361.    http://www.ntsecurity.net/go/l.asp?A1=ind0004e&L=howto
  362.  
  363. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  364.  
  365. WINDOWS 2000 MAGAZINE SECURITY UPDATE STAFF
  366. News Editor - Mark Joseph Edwards (mje@win2000mag.com)
  367. Ad Sales Manager (Western) - Jim Langone (jim@win2000mag.com)
  368. Ad Sales Manager (Eastern) - Tanya T. TateWik (ttatewik@win2000mag.com)
  369. Associate Publisher/Network - Martha Schwartz (mschwartz@win2000mag.com)
  370. Editor - Gayle Rodcay (gayle@win2000mag.com)
  371. New and Improved û Judy Drennen (products@win2000mag.com)
  372. Copy Editor û Judy Drennen (jdrennen@win2000mag.com)
  373.  
  374. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  375.  
  376. ========== GET UPDATED! ==========
  377. Receive the latest information about the Windows 2000 and Windows NT 
  378. topics of your choice, including Win2K Pro, Exchange Server, thin-client, 
  379. training and certification, SQL Server, IIS administration, XML, 
  380. application service providers, and more. Subscribe to our other FREE email 
  381. newsletters at
  382. http://www.win2000mag.com/sub.cfm?code=up00inxwnf.
  383.  
  384.  
  385.  
  386.  
  387. SUBSCRIBE/UNSUBSCRIBE/CHANGE ADDRESS
  388.  
  389. Thank you for reading Windows 2000 Magazine Security UPDATE.
  390.  
  391. You are currently subscribed to securityupdate as: packet@PACKETSTORM.SECURIFY.COM
  392.  
  393. To subscribe, go to the UPDATE home page at
  394. http://www.win2000mag.com/update
  395. or send a blank email to join-securityupdate@list.win2000mag.net.
  396.  
  397. To remove yourself from the list, send a blank email to
  398. leave-securityupdate-120275L@list.win2000mag.net.
  399.  
  400. To change your email address, send a message with the sentence
  401.  
  402. set securityupdate email="new email address"
  403.  
  404. as the message text to lyris@list.win2000mag.net. Replace the words "new email address" with your new email address (include the quotes).
  405.  
  406. If you have questions or problems with your UPDATE subscription, please contact securityupdate@win2000mag.com. We will address your questions or problems as quickly as we can, but please allow 2 issues for resolution.
  407.  
  408. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|
  409.  
  410. Copyright 2000, Windows 2000 Magazine
  411.  
  412.