home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / winsd / winsd.051700.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  20.3 KB  |  415 lines
  1.  
  2.  
  3. **********************************************************
  4. WINDOWS 2000 MAGAZINE SECURITY UPDATE 
  5. **Watching the Watchers**
  6. The weekly Windows 2000 and Windows NT security update newsletter brought 
  7. to you by Windows 2000 Magazine and NTSecurity.net
  8. http://www.win2000mag.com/update/ 
  9. **********************************************************
  10.  
  11. This week's issue sponsored by
  12.  
  13. UltraBac Safety Net Backup
  14. http://www.ultrabac.com
  15.  
  16. Too Many Passwords? Free Single Sign-on White Paper.
  17. http://www.win2000mag.com/jump.cfm?ID=29
  18. (Below SECURITY ROUNDUP) 
  19.  
  20. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  21. May 17, 2000 - In this issue:
  22.  
  23. 1. IN FOCUS
  24.      - Backpedaling Toward Security
  25.  
  26. 2. SECURITY RISKS
  27.      - Emurl 2.0 Exposes Users' Mailboxes
  28.      - Office 2000 UA Control Scripting
  29.      - NTMail 5.x Contains an Open Proxy
  30.      - IIS Denial of Service and Code Exposure
  31.      - IIS Denial of Service
  32.  
  33. 3. ANNOUNCEMENTS
  34.      - New Online Research Panel
  35.      - Technet Puzzler--Contest Ends May 21!
  36.      - Join Our Team
  37.  
  38. 4. SECURITY ROUNDUP
  39.      - Feature: NTFS Access Control Security Enhancements 
  40.      - HowTo: Encrypting Files for Added Security
  41.  
  42. 5. NEW AND IMPROVED
  43.      - Message Attachment Scrubbing and Virus Protection
  44.      - Increase Network Security in Small and Midsized Businesses 
  45.  
  46. 6. SECURITY TOOLKIT
  47.      - Book Highlight: Cyberwars: Espionage on the Internet
  48.      - Tip: Detecting Email Worms in Outlook
  49.  
  50. 7. HOT THREADS 
  51.      - Windows 2000 Magazine Online Forums
  52.          Group/User Permissions
  53.      - Win2KSecAdvice Mailing List
  54.          Fix for Backdoor in Cart32 Software
  55.      - HowTo Mailing List
  56.          MS Proxy and Domain Filtering
  57.          IPSEC VPN on Windows 2000
  58.  
  59. ~~~~ SPONSOR: ULTRABAC SAFETY NET BACKUP ~~~~
  60. Did the "I LOVE YOU" virus wreck havoc with your network? If so, this 
  61. should reinforce the importance of using a fast, reliable backup to restore 
  62. your computers. While nothing can protect you from a new virus, great 
  63. backup software can certainly eliminate lost work and productivity. 
  64. UltraBac offers multiple levels of protection against virus damage. Whether 
  65. itÆs standard file-by-file or our special image backup, UltraBac has both 
  66. the fastest BACKUP and RESTORE speeds of any NT backup utility--image 
  67. restores are lightning fast and can restore a 4GB disk in under 10 minutes! 
  68. Visit http://www.ultrabac.com more info or to download the latest version 
  69. of UltraBac.
  70.  
  71. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  72. Want to sponsor Windows 2000 Magazine Security UPDATE? Contact Jim Langone 
  73. (Western Advertising Sales Manager) at 800-593-8268 or jim@win2000mag.com, 
  74. OR Tanya T. TateWik (Eastern and International Advertising Sales Manager) 
  75. at 877-217-1823 or ttatewik@win2000mag.com.
  76. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  77.  
  78. 1. ========== IN FOCUS ==========
  79.  
  80. Hello everyone,
  81.  
  82. During the past 2 weeks, Love Letter virus reports have saturated the news 
  83. headlines. As one popular columnist pointed out, we've probably never 
  84. before seen a virus get so much ink. The virus received so much coverage 
  85. because of its massive spread; it infected millions of computers around the 
  86. world in a short period of time.
  87.    People often like to remind others that hindsight is 20/20, and in the 
  88. case of the Love Letter virus, that goes double for Microsoft. The company 
  89. took a beating over the Love Letter virus from security aficionados because 
  90. of the default functionality available in the Microsoft Outlook mail 
  91. clients.
  92.    To make Microsoft Outlook 2000 and Outlook 98 more secure, Microsoft has 
  93. just released a beta version of an Outlook enhancement that will help 
  94. prevent malicious file attachments from reaching end users. Because so many 
  95. viruses, worms, and Trojans are aimed at Outlook, Microsoft's enhancement 
  96. attempts to filter out certain attachments and restrict programmatic access 
  97. to the Outlook address book and contacts. When a potential intruder makes a 
  98. programmatic attempt to access the address book, a dialog box warns users 
  99. of the attempt. Learn more about this enhancement at
  100. http://officeupdate.microsoft.com/2000/articles/out2ksecarticle.htm.
  101.    The enhancement also modifies the default security zone setting within 
  102. Outlook from the Internet Zone to the Restricted Sites Zone, which helps 
  103. prevent certain objects embedded in email from taking action on the system. 
  104. But as Russ Cooper (moderator of NTBugTraq) pointed out, that particular 
  105. modification is mostly useless without changes to the default settings in 
  106. the Restricted Sites Zone itself, and those changes are not part of the 
  107. beta release of the Outlook enhancement. NTSecurity.net columnist David 
  108. LeBlanc publicly pointed out more than a year ago that if you don't turn 
  109. off all scripting in all security zones for Internet Explorer (IE) and 
  110. Outlook, you'll see instances where email-based code can still execute. 
  111. Don't overlook that fact, or you might become a victim. No one seems to 
  112. know why Microsoft has addressed this well-known issue after so much time.
  113.    In a message to NTBugTraq readers, Cooper also pointed out that the 
  114. current beta of the Outlook enhancement, which is set for release on May 
  115. 22, has no provision to tighten security in Outlook Express. That fact is 
  116. shocking to users who rely on the mail client. The lack seems odd given 
  117. that Outlook Express installs by default with every copy of Windows 2000 
  118. and reportedly can't be removed from the OS. For that reason, some people 
  119. jokingly refer to Outlook Express as a virus.
  120.    In any event, Cooper and many others feel that Microsoft should not 
  121. overlook the security needs of millions of Outlook Express users. Will 
  122. Microsoft wait until some Love Letter-type virus affects millions of 
  123. Outlook Express users before it addresses that mail client?
  124.    Nonetheless, Outlook 2000 and Outlook 98 users might be pleased with the 
  125. new functionality found with the enhancement. Be sure to read the details 
  126. Microsoft provides and consider using the new enhancement to better protect 
  127. your systems.
  128.    Before I sign off this week, I'd like to point out that some people are 
  129. filtering email messages based on keywords to prevent any message that 
  130. contains the words "love letter" from getting into a user's inbox. The idea 
  131. is to block the virus before it infects more systems. Although that 
  132. approach works for the original virus strain, it won't work for the 
  133. plethora of variants that continue to float around the Internet. Not only 
  134. is word filtering a poor way to block malicious content, the act partially 
  135. defeats the purpose of email and causes people to miss inbound mail they 
  136. would like to receive, such as this newsletter. If you're performing simple 
  137. keyword filtering to prevent virus infection, you should seriously consider 
  138. investing in an enterprise-enabled antivirus solution.
  139.    Also consider using Exchange Administrator Newsletter columnist Sue 
  140. Mosher's Outlook 2000 script that automatically converts inbound HTML 
  141. content to RTF for safe viewing. The script is a good way to filter 
  142. content. You can find the script and other helpful Outlook goodies at 
  143. http://www.slipstick.com/dev/code/zaphtml.htm. You might also want to read 
  144. Russ Cooper's article (http://ntbugtraq.ntadvice.com/outlookviews.asp) 
  145. about Outlook email. Russ outlines how the mail client responds to content 
  146. under various scenarios, which can help clear up a lot of confusion. Until 
  147. next time, have a great week.
  148.  
  149. Sincerely,
  150. Mark Joseph Edwards, News Editor
  151. mark@ntsecurity.net
  152.  
  153. 2. ========== SECURITY RISKS =========
  154. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  155.  
  156. * EMURL 2.0 EXPOSES USERS' MAILBOXES
  157. Emurl allows Web-based access to user mailboxes via an encoded URL. Because 
  158. of a product design flaw, a user who can properly encode a user account 
  159. number can also access any mailbox on the system without a password. 
  160. Furthermore, if identical mailboxes exist on two or more systems, an 
  161. intruder can use the same URL to access the mailbox on all those systems. 
  162. SeattleLab is aware of the problem and has released an updated version of 
  163. Emurl.
  164.    http://www.ntsecurity.net/go/load.asp?iD=/security/emurl2-1.htm
  165.  
  166. * OFFICE 2000 UA CONTROL SCRIPTING
  167. The L0pht reported a problem with a Microsoft Office 2000 component called 
  168. the Microsoft Office UA Control, which is installed by default and is 
  169. categorized as being safe for scripting. L0pht analysis revealed the 
  170. component contains functionality to script almost any action in Office 2000 
  171. that the user could perform from the keyboard, including lowering the macro 
  172. security settings to low. Microsoft has released a patch for the problem.
  173.    http://www.ntsecurity.net/go/load.asp?iD=/security/office2000-1.htm
  174.  
  175. * NTMAIL 5.X CONTAINS AN OPEN PROXY
  176. Simon Talbot reported a problem in NTmail version 5.x (and possibly other 
  177. versions) where the product contains a Web configuration interface and can 
  178. serve as a proxy for Web access. By default, the Web service listens on 
  179. port 8000, and the proxy service listens on port 8080.
  180.    If NTMail is configured to turn off the proxy, the proxy will stop 
  181. listening on the default port; however, a user can point to the default Web 
  182. port (8000) and gain open access to the Internet. NTMail doesn't prohibit 
  183. use of the proxy on the Web-based configuration port.
  184.    The vendor, NTMailUSA, is aware of the problem but hasn't released a 
  185. fix. If you must restrict user access to Web sites via proxy, disable the 
  186. Web configuration service in NTMail until the vendor resolves the problem.
  187.    http://www.ntsecurity.net/go/load.asp?iD=/security/ntmail5-1.htm
  188.  
  189. * IIS DENIAL OF SERVICE AND CODE EXPOSURE
  190. Cerberus Information Security reported that Microsoft IIS contains two 
  191. security vulnerabilities in the Internet Server API (ISAPI) extension 
  192. (ism.dll) that provides Web-based password administration via .htr script 
  193. files. The first vulnerability is a Denial of Service (DoS) attack that can 
  194. occur when a user provides a password change request that is missing an 
  195. expected delimiter. This crashes the ISAPI extension and degrades the 
  196. overall performance of the IIS server. In the second vulnerability, a user 
  197. can read fragments of certain files by providing a malformed request that 
  198. causes the .htr processing to be applied to those files. Microsoft has 
  199. released a fix for the problems.
  200.    http://www.ntsecurity.net/go/load.asp?iD=/security/iis4-10.htm
  201.  
  202. * IIS DENIAL OF SERVICE
  203. USSRLabs reported a problem in Microsoft IIS that can allow Denial of 
  204. Service (DoS) attacks against the server. IIS has built-in flexibility that 
  205. lets it process any arbitrary sequence of file extensions or subresource 
  206. identifiers (path_segments). By providing a URL that contains specially 
  207. malformed file extension information, a user can arbitrarily increase the 
  208. work factor associated with parsing the URL. This can consume much or all 
  209. of the CPU availability, creating a DoS attack against the machine. 
  210. Microsoft has released a fix for the problem.
  211.    http://www.ntsecurity.net/go/load.asp?iD=/security/iis4-11.htm
  212.  
  213. 3. ========== ANNOUNCEMENTS ==========
  214.  
  215. * NEW ONLINE RESEARCH PANEL
  216. Business Technology Research is offering qualified applicants a 
  217. chance to join its new research panel. Provide direct feedback 
  218. to leading technology manufacturers about products in development 
  219. and influence the concept, content, and advertising for tomorrow's 
  220. technology. Registrants will also be entered in a drawing to win a free 
  221. Palm Pilot VII. Visit
  222. http://www.survey.com/btresearch/btrpanel.html
  223.  
  224. * TECHNET PUZZLER--CONTEST ENDS May 21!
  225. Play the Microsoft TechNet Puzzler and use your expertise to win a trip 
  226. to the Tech-Ed 2000 Conference in Orlando and a BMW Z3 Roadster!
  227. http://www.microsoft.com/technet/puzzler/default.asp
  228.  
  229. * JOIN OUR TEAM
  230. The Windows 2000 Magazine group is seeking highly qualified editorial, 
  231. technical, and ad sales talent to staff its rapidly growing network of 
  232. print and electronic media resources. For more information visit 
  233. http://www.duke.com/job.cfm.
  234.  
  235. 4. ========== SECURITY ROUNDUP ==========
  236.  
  237. * FEATURE: NTFS ACCESS CONTROL SECURITY ENHANCEMENTS
  238. In Windows 2000, Microsoft redesigned how NTFS handles access control to 
  239. files and other objects. You might have noticed that Security Configuration 
  240. Manager (SCM), which Microsoft released in Windows NT 4.0 Service Pack 4 
  241. (SP4), handles access control like Win2K does. The new NTFS access control 
  242. model takes time to get used to, but it adds some important features. The 
  243. redesign changes access control in three areas. To learn what those changes 
  244. are, read Randy Franklin Smith's entire feature on our Web site.
  245.    http://www.ntsecurity.net/go/2c.asp?f=/features.asp?IDF=112&TB=f
  246.  
  247. * HOWTO: ENCRYPTING FILES FOR ADDED SECURITY
  248. If you're running NTFS on your Windows 2000 system, you can give yourself 
  249. extra security by encrypting files. To do so, open My Computer, drill down 
  250. to the file or folder you want to encrypt, and right-click it to bring up a 
  251. menu. Select Properties and click Advanced... on the Properties dialog box. 
  252. You'll find an "Encrypt contents to secure data" check-box at the bottom of 
  253. the dialog box. Check this box and click OK. Click OK again to dismiss the 
  254. Properties dialog box. Be sure to read the rest of John D. Ruley's article 
  255. on our Web site.
  256.    http://www.ntsecurity.net/go/2c.asp?f=/howto.asp?IDF=104&TB=h
  257.  
  258. ~~~~ SPONSOR: TOO MANY PASSWORDS? FREE SINGLE SIGN-ON WHITE PAPER. ~~~~
  259. AXENT's PassGo(tm) InSync gives users one single password for universal 
  260. access and can be deployed for thousands of users in as little as four 
  261. days, across the entire enterprise. PassGo InSync is part of AXENT's 
  262. Lifecycle Security(tm) solutions for e-security.
  263. This week and through March 10, AXENT is offering a free copy of the white 
  264. paper, "Fast Path to Single Sign-On: PassGo Solutions Simplifies Secure 
  265. Access."  http://www.win2000mag.com/jump.cfm?ID=29
  266.  
  267. 5. ========== NEW AND IMPROVED ==========
  268. (contributed by Judy Drennen, products@win2000mag.com)
  269.  
  270. * MESSAGE ATTACHMENT SCRUBBING AND VIRUS PROTECTION
  271. Sophos and United Messaging announced a licensing agreement that lets 
  272. United Messaging customers benefit from Sophos Anti-Virus (SAV) technology 
  273. through a product called Message Control. Message Control uses SAV to 
  274. improve customers' network security through virus detection and attachment 
  275. scrubbing.
  276.    For more information, contact Sophos at 888-767-4679 or 
  277. http://www.sophos.com. Or contact United Messaging at 888-993-5088 or 
  278. http://www.unitedmessaging.com.
  279.  
  280. * INCREASE NETWORK SECURITY IN SMALL AND MIDSIZED BUSINESSES
  281. RADWARE and NetGuard will coordinate sales and marketing of security 
  282. solutions comprised of NetGuard's GuardianPRO, an NT firewall, and 
  283. RADWARE's FireProof, an intelligent, redundant high-availability solution 
  284. for managing traffic within multiple firewall systems. GuardianPRO supports 
  285. all IP protocols and services including streaming media and Voice-over-IP 
  286. (VoIP) services. For more information about NetGuard or GuardianPRO, call 
  287. 972-738-6900 or go to the company's Web site at http://www.netguard.com.
  288.  
  289. 6. ========== SECURITY TOOLKIT ==========
  290.  
  291. * BOOK HIGHLIGHT: CYBERWARS: ESPIONAGE ON THE INTERNET
  292. By Jean Guisnel, Gui Masai, et al.
  293. Online Price: $12.80
  294. Softcover; 296 Pages
  295. Published by Perseus Books, December 1999
  296. ISBN 0738202606
  297.  
  298. "Cyberwars" explores a world where international terrorists plot their 
  299. attacks and are tracked by secret service organizations, drug traffickers 
  300. do business and launder money, and electronic economic espionage is the 
  301. order of the day. Examining efforts to police online communications and 
  302. content, the authors assess the implications of pervasive surveillance for 
  303. the Internet.
  304.  
  305. To order this book, go to
  306. http://www.fatbrain.com/shop/info/0738202606?from=win2000mag
  307.  
  308. or visit the Windows 2000 Magazine Network Bookstore at
  309. http://www1.fatbrain.com/store.cl?p=win2000mag&s=97772.
  310.  
  311. * TIP: DETECTING EMAIL WORMS IN OUTLOOK
  312. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  313.  
  314. The recent Love Letter virus infected millions of computer users. As you 
  315. know, Love Letter spread quickly by accessing the user's address book and 
  316. sending a copy of the virus to everyone listed therein.
  317.   Outlook users (and possibly users of other mail clients) might find it 
  318. useful to have a dummy user in the address book to help detect future 
  319. worms. By creating a fictitious user with a bogus email address, a user can 
  320. make Microsoft Outlook generate an onscreen error message about that bad 
  321. address any time it's used to send email, including when used by a virus or 
  322. worm. Having such a bogus email contact won't stop a virus or worm, but it 
  323. will alert you that something is accessing your address book without your 
  324. approval. You can then contact your network security personnel to 
  325. investigate.
  326.  
  327. 7. ========== HOT THREADS ==========
  328.  
  329. * WINDOWS 2000 MAGAZINE ONLINE FORUMS
  330.  
  331. The following text is from a recent threaded discussion on the Windows 
  332. 2000 Magazine online forums (http://www.win2000mag.com/support). 
  333.  
  334. May 16, 2000, 01:04 P.M. 
  335. Group/User Permissions 
  336. I seem to be having a little problem configuring some of the Group 
  337. policies/permissions. Basically, what I need is to be able to give 
  338. permission for some people to be able to install software at their local 
  339. machine (yet logged into the network). This is mostly for the development 
  340. group we have here; other users will still have to hunt down the sys admin. 
  341. Is there a way to do this with Windows 2000? What did I miss? Thanks in 
  342. advance.
  343.  
  344. Thread continues at
  345. http://www.win2000mag.com/support/Forums/Application/Index.cfm?CFApp=70&Message_ID=103338.
  346.  
  347. * WIN2KSECADVICE MAILING LIST
  348. Each week we offer a quick recap of some of the highlights from the
  349. Win2KSecAdvice mailing list. The following thread is in the spotlight
  350. this week.
  351.  
  352. Fix for Backdoor in Cart32 Software
  353. Cart32, a popular shopping basket application, was discovered to contain a 
  354. deliberate backdoor that could allow a person with adequate knowledge to 
  355. perform actions against a remote system. The vendor, McMurtrey/Whitaker & 
  356. Associates, has released a fix.
  357. http://www.ntsecurity.net/go/w.asp?A2=IND0005a&L=WIN2KSECADVICE&P=236
  358.  
  359. Follow this link to read all threads for May, Week 1:
  360.    http://www.ntsecurity.net/go/w.asp?A1=ind0005a&L=win2ksecadvice
  361.  
  362. * HOWTO MAILING LIST
  363. Each week we offer a quick recap of some of the highlights from the
  364. HowTo for Security mailing list. The following threads are in the
  365. spotlight this week.
  366.  
  367. 1. MS Proxy and Domain Filtering
  368. I am trying to configure MS Proxy for Domain name filtering on multihomed 
  369. server--with two internal sub-nets. What I need is domain name filtering 
  370. just for one of the internal subnets. Can somebody help me with this?
  371. http://www.ntsecurity.net/go/L.asp?A2=IND0005C&L=HOWTO&P=892
  372.  
  373. 2. IPSEC VPN on Windows 2000
  374. Has anyone successfully set up a VPN connection using IPSEC on a Windows 
  375. 2000 and Cisco router that uses IPSEC. I have problems when I am 
  376. configuring the router and Win2K.
  377. http://www.ntsecurity.net/go/L.asp?A2=IND0005c&L=HOWTO&P=366
  378.  
  379. Follow this link to read all threads for May, Week 3:
  380.    http://www.ntsecurity.net/go/l.asp?A1=ind0005c&L=howto
  381.  
  382. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  383.  
  384. WINDOWS 2000 MAGAZINE SECURITY UPDATE STAFF
  385. News Editor - Mark Joseph Edwards (mje@win2000mag.com)
  386. Ad Sales Manager (Western) - Jim Langone (jim@win2000mag.com)
  387. Ad Sales Manager (Eastern) - Tanya T. TateWik (ttatewik@win2000mag.com)
  388. Associate Publisher/Network - Martha Schwartz (mschwartz@win2000mag.com)
  389. Editor - Gayle Rodcay (gayle@win2000mag.com)
  390. New and Improved û Judy Drennen (products@win2000mag.com)
  391. Copy Editor û Judy Drennen (jdrennen@win2000mag.com)
  392.  
  393. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  394.  
  395. ========== GET UPDATED! ==========
  396. Receive the latest information about the Windows 2000 and Windows NT 
  397. topics of your choice, including Win2K Pro, Exchange Server, thin-client, 
  398. training and certification, SQL Server, IIS administration, XML, 
  399. application service providers, and more. Subscribe to our other FREE email 
  400. newsletters at
  401. http://www.win2000mag.com/sub.cfm?code=up00inxwnf.
  402.  
  403.  
  404. SUBSCRIBE/UNSUBSCRIBE
  405. Thank you for reading Windows 2000 Magazine Security UPDATE. 
  406. To subscribe, go to the UPDATE home page at http://www.win2000mag.com/update.
  407. To remove yourself from the list, send a blank email to securityupdate@win2000mag.com.
  408. If you have questions or problems with your UPDATE subscription, please contact securityupdate@win2000mag.com. 
  409. We will address your questions or problems as quickly as we can, but please allow 2 issues for resolution. 
  410. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-| 
  411.  
  412.  
  413. Copyright 2000, Windows 2000 Magazine
  414.  
  415.