home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / winsd / winsd.053100.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  19.3 KB  |  417 lines
  1.  
  2. **********************************************************
  3. WINDOWS 2000 MAGAZINE SECURITY UPDATE 
  4. **Watching the Watchers**
  5. The weekly Windows 2000 and Windows NT security update newsletter 
  6. brought to you by Windows 2000 Magazine and NTSecurity.net
  7. http://www.win2000mag.com/update/ 
  8. **********************************************************
  9.  
  10. This week's issue sponsored by
  11.  
  12. BindView Corporation
  13. http://www.bindview.com/securitysuite.html
  14.  
  15. VeriSign - The Internet Trust Company 
  16. http://www.verisign.com/cgi-bin/go.cgi?a=n016107860151000
  17. (Below SECURITY ROUNDUP) 
  18.  
  19. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  20. May 31, 2000 - In this issue:
  21.  
  22. 1. IN FOCUS
  23.      - Think You're Safe from Sniffing? 
  24.  
  25. 2. SECURITY RISKS
  26.      - Windows Computer Browser Denial of Service
  27.      - Master Browser Denial of Service
  28.      - WebShield SMTP Buffer Overflow Condition
  29.      - Buffer Overflows in PDGSoft Shopping Cart
  30.      - Mailsite Buffer Overflow
  31.  
  32. 3. ANNOUNCEMENTS
  33.      - Discover Windows 2000 Magazine
  34.      - Microsoft Tech-Ed 2000 WebCast
  35.  
  36. 4. SECURITY ROUNDUP
  37.      - News: Beware of Killer Resumes 
  38.      - News: Microsoft Delays Outlook Security Update
  39.  
  40. 5. NEW AND IMPROVED
  41.      - PC Security
  42.      - Collaboration to Deliver Subscription Services to Hotmail Users
  43.  
  44. 6. SECURITY TOOLKIT
  45.      - Book Highlight: Virus Proof: The Ultimate Guide to Protecting 
  46. Your System
  47.      - Tip: Microsoft's Online Security Papers
  48.      - Windows 2000 Security: Creating a Custom Password-Reset MMC
  49.  
  50. 7. HOT THREADS 
  51.      - Windows 2000 Magazine Online Forums
  52.          User Passwords
  53.      - Win2KSecAdvice Mailing List
  54.          Windows DoS Code (jolt2.c)
  55.      - HowTo Mailing List
  56.          Using a Logon Script to Update Virus Signature Files
  57.          Windows NT 4.0 System Policy
  58.  
  59. ~~~~ SPONSOR: BINDVIEW CORPORATION ~~~~
  60. Get secure with BindView. BindView is not only committed to keeping 
  61. your enterprise secure with award winning IT risk management solutions 
  62. for Windows 2000, NT, NetWare, Microsoft Exchange, SAP and UNIX, but is 
  63. dedicated to keeping you on the cutting edge of security issues. 
  64. Subscribe to our bi-monthly security newsletter containing editorials 
  65. and hotlinks to hot security news. We also offer a Web site maintained 
  66. by RAZOR, BindView's team of security experts. Find out what BindView 
  67. can offer you by checking out our main Web site's new dedicated 
  68. security area at http://www.bindview.com/securitysuite.html.
  69.  
  70. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  71. Want to sponsor Windows 2000 Magazine Security UPDATE? Contact Jim 
  72. Langone (Western Advertising Sales Manager) at 800-593-8268 or 
  73. jim@win2000mag.com, OR Tanya T. TateWik (Eastern and International 
  74. Advertising Sales Manager) at 877-217-1823 or ttatewik@win2000mag.com.
  75. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  76.  
  77. 1. ========== IN FOCUS ==========
  78.  
  79. Hello everyone,
  80.  
  81. Do you use Ethernet switches to help protect network traffic from 
  82. prying eyes? For a long time, switches have been a tactic against 
  83. snoops. A switched network separates traffic so that a user on one 
  84. segment can't easily sniff traffic on another segment. To sniff traffic 
  85. on a switched network, a user must either place a sniffer on the actual 
  86. target segment or get machines on the target segment to send traffic 
  87. through your network segment or your system. Instructing a remote 
  88. machine to forward packets your way used to be difficult; you had to 
  89. somehow change the remote host's gateway. Not an easy task, unless you 
  90. have a copy of arpredirect. 
  91.    Arpredirect is an Address Resolution Protocol (ARP) poisoning tool. 
  92. The tool can instruct a remote system to change its gateway address by 
  93. sending the host the appropriate ARP packets. For example, an intruder 
  94. can use arpredirect to instruct a remote host to forward all packets to 
  95. the intruder's IP address. The intruder can analyze or save the 
  96. packets, then forward them to their final destination without the 
  97. remote user's knowledge. 
  98.    Dug Song originally developed the arpredirect tool in December 1999. 
  99. The tool is part of his dsniff package, which is available at Song's 
  100. Web site (http://naughty.monkey.org/~dugsong/dsniff). I had forgotten 
  101. about arpredirect until I recently read an article by Stuart McClure 
  102. and Joel Shambray in a competing publication. The two men point out 
  103. that we need to be aware of arpredirect and the entire dsniff package 
  104. because it can be dangerous in the wrong hands. 
  105.    In a nutshell, dsniff is the Swiss army knife of privacy invasion. 
  106. The package ships with a handful of powerful tools, including urlsnarf, 
  107. webspy, mailsnarf, and the dsniff tool. Urlsnarf grabs every URL that 
  108. passes across the wire and stores it for later examination. Webspy can 
  109. grab URLs off the wire and open the URL in your local browser window so 
  110. you can follow along and view what a remote user is seeing on his or 
  111. her Web browser. Mailsnarf is just as nasty as webspy--it can sniff 
  112. SMTP-related packets off the wire and reassemble entire email messages 
  113. into a common format that popular mail clients can read. The dsniff 
  114. tool is one of the most powerful password grabbers I've seen. It can 
  115. snag passwords off the wire from many different protocols, including 
  116. FTP, Telnet, Web, POP3, IMAP, LDAP, Citrix ICA, pcAnywhere, SMB, Oracle 
  117. SQL*Net, and numerous others.
  118.    Even though the tools found in the dsniff package are written for 
  119. UNIX platforms, you still need to be aware that these tools exist 
  120. because they could be used against your Windows-based networks. Song's 
  121. package is incredibly powerful, whether used with good or bad intent. 
  122. The tools point out a well-known problem with networks in general: 
  123. malicious users can easily sniff clear text from packets to glean 
  124. sensitive data. Although blocking ARP redirects and monitoring ARP 
  125. traffic and tables can help protect against tools like arpredirect, 
  126. those tactics are certainly not cure-alls. They help prevent packets 
  127. from becoming misdirected, but most data still travels in clear text 
  128. over your networks, which means localized intruders can glean sensitive 
  129. data with packet-sniffing tools. To better protect your data, you must 
  130. encrypt it at some level before sending it out on the wire, and you 
  131. must use sniffer-detecting tools to help stop the snoops.
  132.    The decision about which tactics to use for data protection depends 
  133. on your data and your organization, so I can't give you much more 
  134. advice on the matter. Just be aware that ARP poisoning and data 
  135. sniffing are real problems that you need to guard against. Until next 
  136. time, have a great week.
  137.  
  138. Sincerely,
  139. Mark Joseph Edwards, News Editor
  140. mark@ntsecurity.net
  141.  
  142. 2. ========== SECURITY RISKS =========
  143. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  144.  
  145. * WINDOWS COMPUTER BROWSER DENIAL OF SERVICE
  146. Under the Common Internet File System (CIFS) protocol, every domain on 
  147. a Windows subnet has a Master Browser and can also have one or more 
  148. backup browsers. A malicious user can deny service on network browsers 
  149. by sending those systems a ResetBrowser command (called a frame) 
  150. because you can't configure a browser to ignore ResetBrowser frames. 
  151. Microsoft has issued a patch for the problem.
  152.    http://www.ntsecurity.net/go/load.asp?iD=/security/win2k-4.htm
  153.  
  154. * MASTER BROWSER DENIAL OF SERVICE
  155. A user can send a large number of bogus HostAnnouncement frames 
  156. (commands) to a Master Browser, where the subsequent replication 
  157. traffic between the Master Browser and any backup browsers can consume 
  158. a large amount of network bandwidth and cause other problems as well. 
  159. Microsoft has issued a patch for the problem.
  160.    http://www.ntsecurity.net/go/load.asp?iD=/security/winnt4-5.htm
  161.  
  162. * WEBSHIELD SMTP BUFFER OVERFLOW CONDITION
  163. By telneting to a machine that runs the WebShield SMTP management 
  164. agent, a person can access current server configuration information. In 
  165. addition, an unchecked buffer exists that can let code pass to the 
  166. service for execution. If a user sends 208 bytes or more with one of 
  167. the configuration parameters, the service crashes, overwriting the 
  168. stack. NAI is aware of the problem; however, no fix is available yet. 
  169. In the meantime, run the WebShield SMTP service under a restricted 
  170. account or disable the service.
  171.    http://www.ntsecurity.net/go/load.asp?iD=/security/webshield1.htm
  172.  
  173. * BUFFER OVERFLOWS IN PDGSOFT SHOPPING CART
  174. PDGSoft's shopping cart ships with two executables that contain 
  175. unchecked buffers that let an intruder inject code for execution on the 
  176. server. The two executables are redirect.exe and changepw.exe and are 
  177. accessible via the Web. PDGSoft has issued patches for all versions of 
  178. the shopping cart software.
  179.    http://www.ntsecurity.net/go/load.asp?iD=/security/pdgsoft1.htm
  180.  
  181. * MAILSITE BUFFER OVERFLOW
  182. Rockcliffe Mailsite lets remote users access POP3 accounts to read 
  183. email via the Web. The service, which listens on port 90, contains a 
  184. buffer overflow condition that lets an attacker execute arbitrary code 
  185. on the server. Rockcliffe has released a patch to correct the problem.
  186.    http://www.ntsecurity.net/go/load.asp?iD=/security/mailsite2.htm
  187.  
  188. 3. ========== ANNOUNCEMENTS ==========
  189.  
  190. * DISCOVER WINDOWS 2000 MAGAZINE 
  191. Subscribe to the single best source of independent, hands-on, practical 
  192. information for people who make their living deploying and maintaining 
  193. Windows 2000 and Windows NT. Every issue contains extensive advice and 
  194. tips so that you can do your job better today while you prepare for 
  195. tomorrow's technology developments. 
  196. http://www.win2000mag.com/sub.cfm?=00inxupd
  197.  
  198. * MICROSOFT TECH-ED 2000 WEBCAST
  199. The Microsoft Tech-Ed 2000 WebCast, June 5 through 8, is for developers 
  200. and IT professionals who need the technical content being presented at 
  201. Microsoft Tech-Ed 2000 but canÆt attend. You can view a total of 38 
  202. sessions for only $99. There will be a Q&A session with the WebCast 
  203. audience after each of the 18 live sessions, including live Q&A with 
  204. Bill Gates and Bob Muglia after their keynotes. Register today at
  205. http://msdn.microsoft.com/events/tewebcast/default.asp.
  206.  
  207. 4. ========== SECURITY ROUNDUP ==========
  208.  
  209. * NEWS: BEWARE OF KILLER RESUMES
  210. A new worm based on the Melissa strain is circulating the Internet. The 
  211. worm spreads in files attached to email messages with the subject 
  212. "Resume--Janet Simons." According to Symantec, the attachment is a Word 
  213. 97 document that arrives with any of several file names, including 
  214. explorer.doc, resume.doc, resume1.doc, and normal.doc. The file 
  215. contains a destructive macro virus that deletes files on the system and 
  216. spreads the worm via email.
  217.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=146&TB=news
  218.  
  219. * NEWS: MICROSOFT DELAYS OUTLOOK SECURITY UPDATE
  220. Microsoft delayed the release of its Outlook 2000 and Outlook 98 
  221. Security Update so it can add new functionality that lets 
  222. administrators better control the update's new features. Administrators 
  223. can make different configurations available depending on a user's 
  224. profile. For example, administrators can define which file types a user 
  225. can receive, execute, or save to disk. In addition, customizable 
  226. dialogs warn the user when access attempts are made against the address 
  227. book. Microsoft has not stated when the update will be available, but 
  228. speculators estimate that it will be available this week.
  229.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=145&TB=news
  230.  
  231. ~~~~ SPONSOR: VERISIGN - THE INTERNET TRUST COMPANY ~~~~
  232. Running a server farm? If you're managing multiple servers in your 
  233. organization, securing all of them can quickly become complicated. But 
  234. now, you can learn how to simplify security administration through a 
  235. single point of management - with a valuable new guide from VeriSign. 
  236. Request the FREE Guide "Securing Intranet and Extranet Servers" at: 
  237. http://www.verisign.com/cgi-bin/go.cgi?a=n016107860151000
  238.  
  239. 5. ========== NEW AND IMPROVED ==========
  240. (contributed by Judy Drennen, products@win2000mag.com)
  241.  
  242. * PC SECURITY
  243. Ensure Technologies announced XyLoc Professional, a wireless PC 
  244. security solution that recognizes users based on their proximity to the 
  245. PC. The user wears a badge to communicate securely with proximity-
  246. detection hardware and software that resides on each PC. XyLoc unlocks 
  247. the PC only after identifying the user. When the user walks away from 
  248. the PC, XyLoc Professional secures the PC until that user returns or 
  249. another authorized user approaches. 
  250.    XyLoc Professional runs on Windows 2000, Windows NT, and Windows 9x 
  251. systems. For pricing, contact Ensure Technologies, 734-668-8800.
  252.    http://www.ensuretech.com/
  253.  
  254. * COLLABORATION TO DELIVER SUBSCRIPTION SERVICES TO HOTMAIL USERS
  255. McAfee announced that it signed a 2-year agreement with Microsoft to 
  256. provide Clinic Services to MSN Hotmail users. Under terms of the 
  257. agreement, McAfee will provide virus-scanning software to automatically 
  258. scan all email attachments for Hotmail's 58 million users. McAfee will 
  259. also offer Hotmail users the existing features of McAfee Clinic 
  260. Services, including online virus scanning, ActiveShield 24x7 antivirus 
  261. protection, PC maintenance utilities, and other McAfee.com services as 
  262. they become available. For more information, contact McAfee at 408-572-
  263. 1500 or http://www.mcafee.com. 
  264.  
  265. 6. ========== SECURITY TOOLKIT ==========
  266.  
  267. BOOK HIGHLIGHT: VIRUS PROOF: THE ULTIMATE GUIDE TO PROTECTING YOUR 
  268. SYSTEM
  269. By Prima Development
  270. Online Price: $27.95
  271. Softcover; 288 pages
  272. Published by Prima Publishing, April 2000
  273. ISBN 0761527478
  274. Like biological viruses, computer viruses can spread quickly and are 
  275. often difficult to get rid of without causing damage. "Virus Proof: The 
  276. Ultimate Guide to Protecting Your System" provides key steps you should 
  277. take to protect your system from these destructive viruses. You'll 
  278. learn what common viruses do, how they spread, and how to recover lost 
  279. data. To order this book, go to
  280. http://www.fatbrain.com/shop/info/0761527478?from=win2000mag
  281. or visit the Windows 2000 Magazine Network Bookstore at
  282. http://www1.fatbrain.com/store.cl?p=win2000mag&s=97772.
  283.  
  284. * TIP: MICROSOFT'S ONLINE SECURITY PAPERS
  285. (contributed by mark@ntsecurity.net)
  286.  
  287. Many people still aren't familiar with Windows 2000-related security. 
  288. To help get up to speed, Microsoft has made lots of information 
  289. available online. For example, in one streaming media presentation, 
  290. Microsoft's Darol Timberlake discusses various Win2K security 
  291. enhancements, such as Kerberos, the new Encrypting File System (EFS), 
  292. the IP Security (IPSec) protocol, group policies, and security 
  293. templates. You can find Timberlake's presentation at the first URL 
  294. listed below. 
  295.    In addition, Microsoft's Web site has dozens of papers that give 
  296. users in-depth information and deployment procedures for Windows 2000 
  297. Security Services, including security management using the Microsoft 
  298. Security Configuration Tool Set and support for IPSec, EFS, public key 
  299. infrastructure (PKI), smart cards, and Kerberos. You can find this 
  300. supplemental reading at the second URL listed below. 
  301.   
  302. http://support.microsoft.com/servicedesks/webcasts/wc040600/WC040600.asp?fr=1
  303.   
  304. http://www.microsoft.com/windows2000/library/technologies/security/default.asp
  305.  
  306. * WINDOWS 2000 SECURITY: CREATING A CUSTOM PASSWORD-RESET MMC
  307. In a previous column, Randy Franklin Smith explained how to give your 
  308. Help desk staff the authority to handle forgotten passwords without 
  309. giving them sweeping administrative privileges. But what if your 
  310. company wants to delegate password-reset authority or a similar task to 
  311. users other than the Help desk staff? By creating a custom Microsoft 
  312. Management Console (MMC), you can provide designated users with a 
  313. simplified, streamlined interface for quickly handling these password 
  314. resets. In his latest column, Randy outlines how to create such a 
  315. customized MMC.
  316.    http://www.ntsecurity.net/go/win2ksec.asp
  317.  
  318. 7. ========== HOT THREADS ==========
  319.  
  320. * WINDOWS 2000 MAGAZINE ONLINE FORUMS
  321.  
  322. The following text is from a recent threaded discussion on the Windows 
  323. 2000 Magazine online forums (http://www.win2000mag.com/support). 
  324.  
  325. May 25, 2000, 09:02 A.M. 
  326. User Passwords 
  327. In our NT domain with a PDC and BDC, when Windows 98 workstations 
  328. attempt to change their domain passwords, they get an error: "Unable to 
  329. change the password for the following reason: Access has been denied." 
  330. In User Manager, we have allowed users to change their passwords. We 
  331. are on SP6a. Any thoughts? 
  332.  
  333. Thread continues at
  334. http://www.win2000mag.com/support/Forums/Application/Index.cfm?CFApp=69&Message_ID=104735.
  335.  
  336. * WIN2KSECADVICE MAILING LIST
  337. Each week we offer a quick recap of some of the highlights from the
  338. Win2KSecAdvice mailing list. The following thread is in the spotlight
  339. this week.
  340.  
  341. Windows DoS Code (jolt2.c)
  342. Here is the proof-of-concept code for the * Windows denial-of-service 
  343. attack described by BindView's Razor Team, in reference to Microsoft 
  344. bulletin MS00-029. This code will cause CPU utilization to go to 100 
  345. percent. 
  346. http://www.ntsecurity.net/go/w.asp?A2=IND0005d&L=WIN2KSECADVICE&P=1228
  347.  
  348. Follow this link to read all threads for May, Week 4:
  349.    http://www.ntsecurity.net/go/w.asp?A1=ind0005d&L=win2ksecadvice
  350.  
  351. * HOWTO MAILING LIST
  352. Each week we offer a quick recap of some of the highlights from the
  353. HowTo for Security mailing list. The following threads are in the
  354. spotlight this week.
  355.  
  356. 1. Using a Logon Script to Update Virus Signature Files
  357. I am trying to use a logon script that will update our virus signature 
  358. files on each computer. I downloaded the update from Norton and would 
  359. like to run this update when a user logs on, but I do not want it to 
  360. prompt the user at all. Does anyone know a switch that I can use to 
  361. disable the prompts? Or am I going about this all wrong?
  362. http://www.ntsecurity.net/go/l.asp?A2=IND0005d&L=HOWTO&P=3417
  363.  
  364. 2. Windows NT 4.0 System Policy
  365. We have policies in effect in our domain. I need to make another policy 
  366. file only take effect for one PC. This policy includes group user and 
  367. computer policies. Can I do this? 
  368. http://www.ntsecurity.net/go/l.asp?A2=IND0005d&L=HOWTO&P=6868
  369.  
  370. Follow this link to read all threads for May, Week 4:
  371.    http://www.ntsecurity.net/go/l.asp?A1=ind0005d&L=howto
  372.  
  373. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  374.  
  375. WINDOWS 2000 MAGAZINE SECURITY UPDATE STAFF
  376. News Editor - Mark Joseph Edwards (mje@win2000mag.com)
  377. Ad Sales Manager (Western) - Jim Langone (jim@win2000mag.com)
  378. Ad Sales Manager (Eastern) - Tanya T. TateWik (ttatewik@win2000mag.com)
  379. Associate Publisher/Network - Martha Schwartz (mschwartz@win2000mag.com)
  380. Editor - Gayle Rodcay (gayle@win2000mag.com)
  381. New and Improved - Judy Drennen (products@win2000mag.com)
  382. Copy Editor - Judy Drennen (jdrennen@win2000mag.com)
  383.  
  384. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  385.  
  386. ========== GET UPDATED! ==========
  387. Receive the latest information about the Windows 2000 and Windows NT 
  388. topics of your choice, including Win2K Pro, Exchange Server, thin-
  389. client, training and certification, SQL Server, IIS administration, 
  390. XML, application service providers, and more. Subscribe to our other 
  391. FREE email newsletters at
  392. http://www.win2000mag.com/sub.cfm?code=up00inxwnf.
  393. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  394.  
  395. Thank you for reading Security UPDATE.
  396.  
  397. SUBSCRIBE
  398. To subscribe send a blank email to
  399. subscribe-Security_UPDATE@list.win2000mag.net.
  400.  
  401. UNSUBSCRIBE
  402. To unsubscribe, send an email to U-A3.15.87030@list.win2000mag.net. Or
  403. click http://go.win2000mag.net:80/UM/U.ASP?A3.15.87030 and you will be
  404. removed from the list. Thank you!
  405.  
  406. If you have questions or problems with your UPDATE subscription, please
  407. contact 
  408. securityupdate@win2000mag.com. 
  409. ___________________________________________________________
  410. Copyright 2000, Windows 2000 Magazine
  411.  
  412.  
  413.  
  414.  
  415.  
  416.  
  417.