home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / winsd / nt.security.update.010500.txt next >
Encoding:
Text File  |  2002-05-27  |  17.2 KB  |  386 lines
  1. **********************************************************
  2. WINDOWS NT MAGAZINE SECURITY UPDATE
  3. **Watching the Watchers**
  4. The weekly Windows NT security update newsletter brought to you by
  5. Windows NT Magazine and NTsecurity.net
  6. http://www.winntmag.com/update/
  7. **********************************************************
  8.  
  9. This week's issue sponsored by
  10.  
  11. Trend Micro -- Your Internet Virus Wall
  12. http://www.antivirus.com/welcome/winnt071499.htm
  13.  
  14. Symantec
  15. http://www.symantec.com/specprog/sym/11200e.html
  16. (Below Security Roundup)
  17.  
  18. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  19. January 5, 2000 - In this issue:
  20.  
  21. 1. IN FOCUS
  22.      - Lots of Bark But No Significant Bite
  23.  
  24. 2. SECURITY RISKS
  25.      - AnalogX Server Subject to Buffer Overflow
  26.      - PC-Cillin Subject to Denial of Service
  27.      - CamShot Buffer Overflow
  28.      - CSM Mail Server Denial of Service
  29.  
  30. 3. ANNOUNCEMENTS
  31.      - Enterprise Management Interactive Product Guide
  32.      - Security Poll: Has Your Company Experienced Any Y2K-Related
  33. Problems?
  34.  
  35. 4. SECURITY ROUNDUP
  36.      - News: NT OBJECTives Offers VisualLast for Free
  37.      - News: More than Eight New Viruses Ring in the New Year
  38.      - Clarification: Reflections from 1999 and into 2000
  39.  
  40. 5. NEW AND IMPROVED
  41.      - Access Management for E-Business
  42.      - Strengthen Web-to-Host Security
  43.  
  44. 6. SECURITY TOOLKIT
  45.      - Book Highlight: Microsoft Windows NT 4.0 Essential Reference
  46. Pack
  47.      - Tip: Hiding Unwanted Shares
  48.  
  49. 7. HOT THREADS
  50.      - Windows NT Magazine Online Forums:
  51.         * My Default Admin Share C$ Missing on NT Server
  52.      - Win2KSecAdvice Mailing List:
  53.         * Happy New Year / A Little New Year Rant on Antivirus Software
  54.         * Y2K Bugs Galore
  55.      - HowTo Mailing List:
  56.         * Explorer.exe Exception: Access Violation (0Xc0000005)
  57.  
  58. ~~~~ SPONSOR: TREND MICRO -- YOUR INTERNET VIRUS WALL ~~~~
  59. Think you've seen the REAL Phantom Menace? Imagine a virus attack
  60. holding your network hostage! Protect your empire with Trend's wide
  61. range of antivirus solutions. Trend is a world leader in antivirus
  62. technologies offering protection -- for the Internet gateway, Notes and
  63. Exchange email servers , the desktop and everywhere in between - that
  64. form a protective, virtual VirusWall around your network.
  65. http://www.antivirus.com/welcome/winnt071499.htm
  66. For more information, call 800-228-5651 or click the link above.
  67.  
  68. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  69. Want to sponsor Windows NT Magazine Security UPDATE? Contact Vicki
  70. Peterson (Western and International Advertising Sales Manager) at 877-
  71. 217-1826 or vpeterson@winntmag.com, OR Tanya T. TateWik (Eastern
  72. Advertising Sales Manager) at 877-217-1823 or ttatewik@winntmag.com.
  73. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  74.  
  75. 1. ========== IN FOCUS ==========
  76.  
  77. Hello everyone,
  78.  
  79. Lots of bark and no bite. That's how I'd describe Y2K's effect on
  80. computers and computer-based technologies. I don't know about you, but
  81. I didn't encounter one problem--not on my network, not with my public
  82. utilities, and not with my banking, grocer, or anything else I can
  83. think of. Apparently, all the preparations for Y2K have paid off; I'm
  84. not surprised that the impact seems rather insignificant so far.
  85.    What does amaze me is the fact that my test networks encountered no
  86. Y2K-related problems even though I loaded no Y2K fixes on those test
  87. systems. I thought it might be educational and rather fun to dig out of
  88. any Y2K-induced mayhem, but I suffered a let-down.
  89.    There I was, New Year's Eve, ready to upgrade test systems from
  90. Service Pack 5 (SP5) with no hotfixes to SP6a along with various third-
  91. party patches, but nothing happened to warrant that action. At first, I
  92. felt cheated out of another Ph.D. from the School of Hard Knocks, but
  93. as I sat sipping a glass of champagne just after midnight, I realized I
  94. wasn't cheated at all. Instead, I was taken care of. The fine engineers
  95. and developers at Intel, Microsoft, HP, Dell, Compaq, and countless
  96. other prominent companies have done an excellent job of minimizing
  97. Y2K's impact on technology. I'm truly impressed. Congratulations to
  98. everyone involved in that effort.
  99.    If you're among those people that did suffer technological failures
  100. at the hands of Y2K, I'd like to hear the details. I'd also like to
  101. hear from you if intruders attacked or probed your networks over the
  102. holiday weekend. Happy New Year 2000 and, until next time, have a great
  103. week!
  104.  
  105. Sincerely,
  106. Mark Joseph Edwards, News Editor
  107. mark@ntsecurity.net
  108.  
  109. 2. ========== SECURITY RISKS =========
  110. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  111.  
  112. * ANALOGX SERVER SUBJECT TO BUFFER OVERFLOW
  113. UssrLabs discovered a buffer overflow condition in the AnalogX Server
  114. that might let arbitrary code run. The problem resides in the code that
  115. handles HTTP GET commands. The vendor is aware of the problem; however,
  116. no fix was available at the time of this writing.
  117.    http://www.ntsecurity.net/go/load.asp?iD=/security/analogx.htm
  118.  
  119. * PC-CILLIN SUBJECT TO DENIAL OF SERVICE
  120. Daniel Stasinski discovered that Trend Micro's PC-Cillin 6.x has a
  121. feature that helps guard against unwanted Java and ActiveX code. This
  122. feature routes HTTP requests through an internal proxy server on port
  123. 8431. The feature lets anyone connect to the port and saturate the
  124. server, thereby causing a denial of service (DoS). According to
  125. Stasinski's report, Trend Micro will correct this problem in the next
  126. version of the software.
  127.    http://www.ntsecurity.net/go/load.asp?iD=/security/pccillin.htm
  128.  
  129. * CAMSHOT BUFFER OVERFLOW
  130. UssrLabs discovered a buffer overflow condition in the CamShot software
  131. that might let arbitrary code execute on the server. The problem
  132. resides in the code that handles HTTP GET commands, which apparently
  133. contains an unchecked buffer that an intruder can overflow by sending
  134. approximately 2000 characters as the command parameter. The vendor is
  135. aware of this problem but hasn't yet released a fix.
  136.    http://www.ntsecurity.net/go/load.asp?iD=/security/camshot.htm
  137.  
  138. * CSM MAIL SERVER DENIAL OF SERVICE
  139. UssrLabs discovered a buffer overflow condition in CSM's Mail Server
  140. that might let arbitrary code execute and also provides a mechanism to
  141. launch a denial of service (DoS) attack against the server by sending
  142. approximately 12,000 characters as the parameter for the SMTP HELO
  143. command.
  144.    http://www.ntsecurity.net/go/load.asp?iD=/security/csmmail.htm
  145.  
  146. 3. ========== ANNOUNCEMENTS ==========
  147.  
  148. * ENTERPRISE MANAGEMENT INTERACTIVE PRODUCT GUIDE
  149. Network managers...save time, enhance performance, and fine-tune your
  150. network. Managing a Windows NT environment is a tough job. Providing
  151. the best service possible and maintaining the delicate balance of
  152. security, performance, availability, and scalability is the key.
  153. Finding the right tool, however, can reduce the time, effort, and
  154. energy it takes to get your job done. For a complete shopping network
  155. of the industry's leading tools and utilities, point your browser to
  156. http://www.winntsolutions.com/enterprise.
  157.  
  158. * SECURITY POLL: HAS YOUR COMPANY EXPERIENCED ANY Y2K-RELATED PROBLEMS?
  159. We've just launched a new survey that asks whether you suffered any
  160. Y2K-related problems. Stop by our home page and take the quick poll to
  161. let us know how Y2K is affecting your network.
  162.    http://www.ntsecurity.net
  163.  
  164. 4. ========== SECURITY ROUNDUP ==========
  165.  
  166. * NEWS: NT OBJECTIVES OFFERS VISUALLAST FOR FREE
  167. NT OBJECTives has announced that the company is offering free copies of
  168. its Windows NT audit tool, VisualLast, as a non-profit effort to help
  169. with expected network attacks and other problems related to Y2K. A
  170. complete version of VisualLast became freely available for download on
  171. December 30 and will remain free until midnight of January 14, 2000.
  172.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=197&TB=news
  173.  
  174. * NEWS: MORE THAN EIGHT NEW VIRUSES RING IN THE NEW YEAR
  175. Computer Associates and other vendors have reported no less than eight
  176. new viruses over the past 4 days, all of which affect Windows
  177. platforms. In the days leading up to the new year, numerous entities
  178. warned that many new viruses would be appearing, but so far, new virus
  179. discoveries are only slightly higher than usual. For a list of the new
  180. viruses and links to common antivirus software vendors, be sure to
  181. visit the link below.
  182.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=196&TB=news
  183.  
  184. * CLARIFICATION: REFLECTIONS FROM 1999 AND INTO 2000
  185. In my editorial last week, I mentioned the Chinese government's
  186. handling of two crackers that authorities caught stealing $87,000 from
  187. a Chinese bank. China sentenced the men to death for their actions,
  188. which is cruel and unusual punishment by American standards. I also
  189. mentioned that a Chinese man working in the United States was caught
  190. stealing sensitive nuclear secrets. However, I failed to clarify that
  191. authorities have not yet convicted the man in question. As you well
  192. know, a person is considered innocent in the United States until proven
  193. guilty by due process in a court of law, regardless of the strength of
  194. any available evidence against the accused. Therefore, I offer my
  195. apologies to any readers who were offended by the omission.
  196.  
  197. ~~~~ SPONSOR: SYMANTEC ~~~~
  198. Norton Ghost? 6.0 is the premier tool for Windows 2000 migration, PC
  199. deployment, cloning, and PC recovery. It dramatically reduces IT costs
  200. by streamlining the configuration of networked workstations.
  201. Administrators can restore a system image onto a failed PC in as little
  202. as seven minutes, and reduce PC deployment and upgrade times by 90
  203. percent or more. Click here to order your free trialware!
  204. http://www.symantec.com/specprog/sym/11200e.html
  205.  
  206. 5. ========== NEW AND IMPROVED ==========
  207. (contributed by Carolyn Mascarenas, products@winntmag.com)
  208.  
  209. * ACCESS MANAGEMENT FOR E-BUSINESS
  210. Gradient Technologies announced NetCrusader/CORBA, access management
  211. software for e-business applications. With NetCrusader/CORBA,
  212. organizations can define and institute granular, selective access to
  213. Common Object Request Broker Architecture (CORBA) applications and
  214. related resources. The software provides security for security-unaware
  215. CORBA applications and fine-grained access for security-aware CORBA
  216. applications. At Level 1 security, NetCrusader/CORBA secures existing
  217. legacy applications without requiring software modifications. At Level
  218. 2 security, developers can implement sophisticated, personalized access
  219. without embedding complex security logic in the application.
  220.    NetCrusader/CORBA runs on Windows NT systems. For pricing, contact
  221. Gradient Technologies, 508-624-9600.
  222.    http://www.gradient.com
  223.  
  224. * STRENGTHEN WEB-TO-HOST SECURITY
  225. ICOM Informatics released Winsurf Mainframe Access (WMA), connectivity
  226. software that now includes the Winsurf Security Server (WSS), which
  227. strengthens secure exchanges between hosts and WMA client workstations
  228. in Internet, intranet, and extranet architectures. Before connecting to
  229. the host, the security server exchanges a digital certificate with the
  230. user workstation to maintain the authenticity of the link. The
  231. encryption process guarantees that only the intended recipient reads
  232. the data. The encryption of the data exchange uses RSA algorithms. The
  233. software digitally signs the data that the emulator and the host
  234. exchange to verify that no one has intercepted or modified the received
  235. or sent information.
  236.    WMA installs on a Windows NT server equipped with Microsoft Internet
  237. Information Server (IIS). For pricing, contact ICOM Informatics, 512-
  238. 335-8200.
  239.    http://www.icominfo.com
  240.  
  241. 6. ========== SECURITY TOOLKIT ==========
  242.  
  243. * BOOK HIGHLIGHT: MICROSOFT WINDOWS NT 4.0 ESSENTIAL REFERENCE PACK
  244. By Microsoft Press
  245. Online Price: $55.95
  246. Softcover
  247. Published by Microsoft Press, December 1999
  248.  
  249. The Microsoft Windows NT 4.0 Essential Reference Pack contains
  250. indispensable tools, tips, field-tested procedures, and step-by-step
  251. instructions that network administrators and other IT professionals
  252. need to manage NT Server 4.0. The reference pack combines three key
  253. reference books brimming with detailed, dependable information about
  254. administration, management, and security that comes right from the
  255. source--Microsoft. Best of all, you save up to 40 percent off the
  256. retail price of buying all three books separately. The reference pack
  257. is ideal for anyone who wants to:
  258. - Learn how to set up a secure network
  259. - Gain real-world network-management expertise from Microsoft
  260. Consulting Services
  261. - Troubleshoot support issues quickly
  262.  
  263. For Windows NT Magazine Security UPDATE readers only--Receive an
  264. additional 10 PERCENT off the online price by typing WINNTMAG in the
  265. referral field on the Shopping Basket Checkout page. To order this
  266. book, go to http://www.fatbrain.com/shop/info/0735610096?from=SUT864.
  267.  
  268. * TIP: HIDING UNWANTED SHARES
  269. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  270.  
  271. I often get questions on how to hide shares on Windows NT systems. To
  272. hide regular resource shares (such as a shared directory), simply
  273. append a dollar sign to the end of the share name. For example, instead
  274. of using TEMP you could use TEMP$. The dollar sign tells NT not to list
  275. these particular shares under normal network browsing operations. Keep
  276. in mind that to connect to a hidden share, a user must know the exact
  277. share name and path because the OS hides that information.
  278.    In addition, NT creates a default set of hidden administrative
  279. shares each time the system boots. These shares map directly to the
  280. root directory on each installed hard disk. For example, you'll find a
  281. C$ share that maps to C:\. These shares are obvious targets for an
  282. attacker.
  283.    To remove the default hidden administrative shares, adjust the
  284. Registry key listed below. If the key doesn't exist, create the key as
  285. defined below. Always back up your Registry before making changes
  286. because improper edits could render the system nonbootable.
  287.  
  288.    Hive : HKEY_LOCAL_MACHINE
  289.    Key  : \SYSTEM\CurrentControlSet\Services\LanManagerServer\Parameters
  290.    Name : AutoShareServer (use on NT Servers only)
  291.    Name : AutoShareWks (use on NT Workstations only)
  292.    Type : REG_DWORD
  293.    Value: 0
  294.  
  295. 7. ========== HOT THREADS ==========
  296.  
  297. * WINDOWS NT MAGAZINE ONLINE FORUMS
  298. The following text is from a recent threaded discussion on the Windows
  299. NT Magazine online forums (http://www.winntmag.com/support).
  300.  
  301. January 01, 2000, 11:16 A.M.
  302. My Default Admin Share C$ Missing on NT Server
  303. My NT Default Admin Shares C$ and D$ are missing on my NT Server. My
  304. ArcServe backup was using these for backing up the server. I think
  305. these Admin Shares (C$/D$) are created automatically by NT Server. How
  306. do I put them back? Thanks
  307.  
  308. Thread continues at
  309. http://www.winntmag.com/support/Forums/Application/Index.cfm?CFApp=69&Messag
  310. e_ID=83875
  311.  
  312. * WIN2KSECADVICE MAILING LIST
  313. Each week we offer a quick recap of some of the highlights from the
  314. Win2KSecAdvice mailing list. The following threads are in the spotlight
  315. this week:
  316.  
  317. 1. Happy New Year / A Little New Year Rant on Antivirus Software
  318. http://www.ntsecurity.net/go/w.asp?A2=IND0001A&L=WIN2KSECADVICE&P=92
  319. 2. Y2K Bugs Galore
  320. http://www.ntsecurity.net/go/w.asp?A2=IND0001A&L=WIN2KSECADVICE&P=755
  321.  
  322. Follow this link to read all threads for Jan. Week 1:
  323.    http://www.ntsecurity.net/go/win2ks-l.asp?s=win2ksec
  324.  
  325. * HOWTO MAILING LIST
  326. Each week we offer a quick recap of some of the highlights from the
  327. "HowTo for Security" mailing list. The following threads are in the
  328. spotlight this week:
  329.  
  330. 1. Explorer.exe Exception: Access Violation (0Xc0000005)
  331. http://www.ntsecurity.net/go/L.asp?A2=IND9912C&L=HOWTO&P=3020
  332.  
  333. Follow this link to read all threads for Jan. Week 1:
  334.    http://www.ntsecurity.net/go/l.asp?s=howto
  335.  
  336. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  337.  
  338. WINDOWS NT MAGAZINE SECURITY UPDATE STAFF
  339. News Editor - Mark Joseph Edwards (mje@winntmag.com)
  340. Ad Sales Manager (Western and International) - Vicki Peterson
  341. (vpeterson@winntmag.com)
  342. Ad Sales Manager (Eastern) - Tanya T. TateWik (ttatewik@winntmag.com)
  343. Editor - Gayle Rodcay (gayle@winntmag.com)
  344. New and Improved û Carolyn Mascarenas (products@winntmag.com)
  345. Editor-at-Large û Jane Morrill (jane@winntmag.com)
  346.  
  347. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  348.  
  349. Thank you for reading Windows NT Magazine Security UPDATE
  350.  
  351. To subscribe, go to http://www.winntmag.com/update or send email to
  352. listserv@listserv.ntsecurity.net with the words "subscribe
  353. securityupdate anonymous" in the body of the message without the quotes
  354.  
  355. To unsubscribe, send email to listserv@listserv.ntsecurity.net with the
  356. words "unsubscribe securityupdate" in the body of the message without
  357. the quotes.
  358.  
  359. To change your email address, you must first unsubscribe by sending
  360. email to listserv@listserv.ntsecurity.net with the words "unsubscribe
  361. securityupdate" in the body of the message without the quotes. Then,
  362. resubscribe by going to http://www.winntmag.com/update and entering
  363. your current contact information or by sending email to
  364. listserv@listserv.ntsecurity.net with the words "subscribe
  365. securityupdate anonymous" in the body of the message without the
  366. quotes.
  367.  
  368. ========== GET UPDATED! ==========
  369. Receive the latest information on the NT topics of your choice.
  370. Subscribe to these other FREE email newsletters at
  371. http://www.winntmag.com/sub.cfm?code=up99inxsup.
  372.  
  373. Windows NT Magazine UPDATE
  374. Windows NT Magazine Thin-Client UPDATE
  375. Windows NT Exchange Server UPDATE
  376. Windows 2000 Pro UPDATE
  377. ASP Review UPDATE
  378. SQL Server Magazine UPDATE
  379.  
  380. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  381. Copyright 2000, Windows NT Magazine
  382.  
  383. Security UPDATE Newsletter is powered by LISTSERV software
  384. http://www.lsoft.com/LISTSERV-powered.html
  385.  
  386.