home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / E-zine / Magazines / winsd / winsd.060700.txt < prev    next >
Encoding:
Text File  |  2002-05-27  |  20.8 KB  |  448 lines
  1.  
  2. **********************************************************
  3. WINDOWS 2000 MAGAZINE SECURITY UPDATE 
  4. **Watching the Watchers**
  5. The weekly Windows 2000 and Windows NT security update newsletter 
  6. brought to you by Windows 2000 Magazine and NTSecurity.net.
  7. http://www.win2000mag.net/Email/Index.cfm?ID=5
  8. **********************************************************
  9.  
  10. This week's issue sponsored by
  11. Trend Micro -- Your Internet VirusWall
  12. http://www.antivirus.com/2kUPDTRJUNE.htm
  13.  
  14. FREE Intrusion Detection WebCast
  15. http://www.win2000mag.com/jump.cfm?ID=32 
  16. (Below Security Roundup) 
  17.  
  18. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  19. June 7, 2000 - In this issue:
  20.  
  21. 1. IN FOCUS
  22.      - And Then Came HavenCo
  23.  
  24. 2. SECURITY RISKS
  25.      - Protected Store Key Length
  26.      - Internet Explorer-Compiled HTML Might Run Unauthorized Code
  27.      - Media Encoder Denial of Service
  28.      - SQL Server 7.0 SP1 and SP2 Expose Admin Password
  29.      - Imate WebMail Denial of Service
  30.      - Buffer Overrun in ITHouse Mail Server
  31.      - Buffer Overrun in Sambar Server
  32.  
  33. 3. ANNOUNCEMENTS
  34.      - Win2000mag.net--It's Like Spitting in the Ocean...
  35.      - Free Books Online
  36.  
  37. 4. SECURITY ROUNDUP
  38.      - News: Microsoft's New Security Server
  39.  
  40. 5. NEW AND IMPROVED
  41.      - Increased Security for Universities
  42.      - Simplify Access to Private Data and Applications
  43.  
  44. 6. HOT RELEASES (ADVERTISEMENTS)
  45.      - New! Desktop Firewall for PCs with Windows NT/2000
  46.      - VeriSign - The Internet Trust Company
  47.  
  48. 7. SECURITY TOOLKIT
  49.      - Book Highlight: Information Security: Protecting the Global 
  50. Enterprise
  51.      - Tip: Event Log Security ID Descriptions
  52.      - Windows 2000 Security: Creating a Custom Password-Reset MMC
  53.      - Writing Secure Code: Bind Basics
  54.  
  55. 8. HOT THREADS 
  56.      - Windows 2000 Magazine Online Forums
  57.           IIS and NTFS Security--ASP Problem
  58.      - Win2KSecAdvice Mailing List
  59.           Released: LibnetNT by eEye Digital Security
  60.      - HowTo Mailing List
  61.           Event Viewer Query
  62.  
  63. ~~~~ SPONSOR: TREND MICRO -- YOUR INTERNET VIRUSWALL ~~~~
  64. Stop viruses like LOVELETTER, NEWLOVE, RESUME and other malicious 
  65. content from jamming up your network. Trend Micro ScanMail for 
  66. Microsoft Exchange provides enterprise-strength antivirus and content 
  67. security. ScanMail implements uniform virus and content security policy 
  68. across the enterprise. The optional eManager plug-in stops SPAM. 
  69. ScanMail is fully compatible with Windows 2000 and can automatically 
  70. scan either on-demand or at prescheduled intervals. Software, Scan 
  71. engine and virus pattern updates distribute automatically to each 
  72. networked Exchange Server. Keep viruses out of your Exchange servers 
  73. with Trend Micro. 
  74. http://www.antivirus.com/2kUPDTRJUNE.htm
  75.  
  76. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  77. Want to sponsor Windows 2000 Magazine Security UPDATE? Contact Jim 
  78. Langone (Western Advertising Sales Manager) at 800-593-8268 or 
  79. jim@win2000mag.com, OR Tanya T. TateWik (Eastern and International 
  80. Advertising Sales Manager) at 877-217-1823 or ttatewik@win2000mag.com.
  81. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  82.  
  83. 1. ========== IN FOCUS ==========
  84.  
  85. Hello everyone,
  86.  
  87. Although fending off network-based intruders is a formidable task, you 
  88. can achieve it. But how do you protect your data from physical system 
  89. access? The obvious answer is by using adequate guards against physical 
  90. premise access, which can be expensive. As a result, many companies co-
  91. locate data or servers at offsite locations.
  92.    For example, you might rent an entire cage or set of racks within a 
  93. cage from a major ISP. The cage or racks come with high-speed 
  94. bandwidth. Or you might simply rent a secure e-commerce site from a Web 
  95. service provider and let the provider worry about premise-access 
  96. concerns. The ultimate solution obviously depends on your needs. The 
  97. more sensitive the data, the more sheltered the final solution needs to 
  98. be. 
  99.    Today, hundreds of companies around the world offer various secured 
  100. co-location or data-hosting services. When it comes to security, there 
  101. are all kinds of boasts and guarantees, but none can match the claim I 
  102. heard about this week.
  103.    Companies come and companies go, but then came HavenCo. Located on a 
  104. tiny man-made island 7 miles off the coast of Great Britain, HavenCo 
  105. has a most unique claim to security fame: It not only operates a secure 
  106. network co-location center, it operates an entire sovereign country! 
  107. Let me explain. 
  108.    During World War II, Britain built several gun platforms off its 
  109. coast to help fend off Nazi warplanes. One of the platforms, named 
  110. Roughs Tower, was only 10 by 25 yards and was built on two cement 
  111. caissons off the coast of Britain in what was then international 
  112. waters. 
  113.    After the war, Britain dismantled all the platforms except Roughs 
  114. Tower, which sat abandoned until 1967 when former English major Paddy 
  115. Roy Bates and his family took up residence on the man-made island. 
  116. Bates proclaimed the island his own state and bestowed upon himself the 
  117. title of Prince--his wife took the title of Princess--to reign over 
  118. their newly formed Principality of Sealand. 
  119.    After several legal encounters over the island, the English court 
  120. eventually ruled it had no jurisdiction over Sealand, and Sealand 
  121. became formally recognized as its own country. Today, the Bates family 
  122. has moved off the island and turned over operation of the property and 
  123. the Sealand government to the newly formed HavenCo business. 
  124.    In a nutshell, HavenCo offers Sealand as a country in which to 
  125. operate a business. You can buy a server, bandwidth, and complete 
  126. security solution direct from HavenCo and have that business totally 
  127. based in Sealand, which provides protection from overly strict data 
  128. traffic laws, foreign subpoenas, and other outside interference.
  129.    According to HavenCo, Sealand has no laws governing data traffic, 
  130. and the terms of HavenCo's agreement with Sealand provide that no data 
  131. traffic laws will ever be enacted. You might think HavenCo will soon 
  132. become a haven for less-than-favorable network users, such as system 
  133. crackers, porn peddlers, and spammers, but perhaps that wonÆt happen. 
  134. The HavenCo acceptable use policy clearly states that it prohibits "the 
  135. distribution of child pornography from its servers, and prohibits use 
  136. of the network to send bulk unsolicited communications or launch 
  137. digital attacks against other computers or networks." Only time will 
  138. tell how well HavenCo enforces its guidelines. After all, Sealand has 
  139. few laws, and probably none would force HavenCo to take any specific 
  140. action other than to terminate a company's service.
  141.    I'm not sure what to think about HavenCo. The company professes to 
  142. offer a pretty darn secure solution package, but I think it's too soon 
  143. to form a solid opinion. Sealand, a country with almost no laws, lets 
  144. anyone run a business. Even more interesting is Sealand's claim about 
  145. protection from foreign subpoena. According to HavenCo, you can set up 
  146. an email system or other service type on its network, and keep it safe 
  147. from search and seizure. Microsoft could have used that service to help 
  148. fend off the US Department of Justice (DOJ).
  149.    With its professed strong physical and network security and fat 
  150. bandwidth, HavenCo offers an intriguing solution. It will be 
  151. interesting to see who winds up using the services. But it will be even 
  152. more interesting to see how world governments react to Sealand's new 
  153. data haven. That reaction will depend on how HavenCo's customers use 
  154. its multifaceted protected services. 
  155.    Be sure to stop by the HavenCo Web site (http://www.havenco.com/) 
  156. and read about its service offerings as well as the history of Sealand. 
  157. I'm sure you'll find it as interesting as I did. Until next time, have 
  158. a great week.
  159.  
  160. Sincerely,
  161. Mark Joseph Edwards, News Editor
  162. mark@ntsecurity.net
  163.  
  164. 2. ========== SECURITY RISKS =========
  165. (contributed by Mark Joseph Edwards, mark@ntsecurity.net)
  166.  
  167. * PROTECTED STORE KEY LENGTH
  168. By design, the Protected Store in Windows 2000 should always encrypt 
  169. information using the strongest cryptography available on the system. 
  170. However, the Win2K implementation uses a 40-bit key to encrypt the 
  171. Protected Store even if stronger cryptography is installed on the 
  172. system. The 40-bit key encryption weakens the protection on the 
  173. Protected Store, which lets an intruder more easily crack the key to 
  174. gain access to the Protected Store.
  175.    http://www.ntsecurity.net/go/load.asp?iD=/security/win2k4-5.htm
  176.  
  177. * INTERNET EXPLORER-COMPILED HTML MIGHT RUN UNAUTHORIZED CODE
  178. According to a Microsoft security bulletin, if a malicious Web site 
  179. references an Internet Explorer (IE)-compiled HTML Help file (which has 
  180. a .chm extension), the site can potentially launch code on a visiting 
  181. user's computer without the user's approval. Such code can take any 
  182. actions that the user can take, including adding, changing, or deleting 
  183. data or communicating with a remote Web site.
  184.     http://www.ntsecurity.net/go/load.asp?iD=/security/ie517.htm
  185.  
  186. * MEDIA ENCODER DENIAL OF SERVICE
  187. Microsoft's Media Encoder contains a bug whereby an intruder can send a 
  188. particular malformed request to an affected encoder, causing it to deny 
  189. formatted content to the Windows Media Server. The vulnerability 
  190. primarily affects real-time streaming media providers. Microsoft made a 
  191. patch available but then removed the patch for reasons unknown at the 
  192. time of this writing.
  193.    http://www.ntsecurity.net/go/load.asp?iD=/security/media4-2.htm
  194.  
  195. * SQL SERVER 7.0 SP1 AND SP2 EXPOSE ADMIN PASSWORD
  196. According to Microsoft, when SQL Server 7.0 Service Pack 1 (SP1) or SP2 
  197. is installed on a machine configured to perform authentication using 
  198. Mixed Mode, the password for the SQL Server standard security System 
  199. Administrator account is recorded in plain text in the file 
  200. \%TEMP%\sqlsp.log. The file's default permissions let any user that can 
  201. log on interactively to the server read the file. Microsoft has updated 
  202. SP2 to help guard against the risk.
  203.    http://www.ntsecurity.net/go/load.asp?iD=/security/sql7-5.htm
  204.  
  205. * IMATE WEBMAIL DENIAL OF SERVICE
  206. A malicious user can crash Imate's SMTP mail service by sending a 
  207. string of 1119 characters as a parameter to the HELO command. The 
  208. vendor, Concatus, is aware of the problem and has made a patch 
  209. available through its support department. 
  210.    http://www.ntsecurity.net/go/load.asp?iD=/security/imate25-1.htm
  211.  
  212. * BUFFER OVERRUN IN ITHOUSE MAIL SERVER
  213. A malicious user can crash ITHouse's SMTP mail service by sending a 
  214. string of 2270 characters as a parameter to the RCPT TO command. During 
  215. the crash, characters beyond 2270 overwrite the EIP Register making it 
  216. possible to run arbitrary code on the remote system.
  217.    http://www.ntsecurity.net/go/load.asp?iD=/security/ithouse1.htm
  218.  
  219. * BUFFER OVERRUN IN SAMBAR SERVER
  220. A user can crash the Sambar Server by using the default finger and 
  221. whois scripts provided with the Sambar Server software. By sending a 
  222. long string of 32,290 characters to either of the scripts, a malicious 
  223. user can overflow an unchecked buffer in the sambar.dll file and cause 
  224. arbitrary code to run on the machine.
  225.    http://www.ntsecurity.net/go/load.asp?iD=/security/sambar1.htm
  226.  
  227. 3. ========== ANNOUNCEMENTS ==========
  228.  
  229. * WIN2000MAG.NET--IT'S LIKE SPITTING IN THE OCEAN...
  230. You can't miss with our new portal for IT professionals. Access 
  231. technical remedies, certification advice, vendor solutions, and 
  232. professional development tools, or post a question in our technical 
  233. forums. Surely one of our 500,000 monthly Web visitors has solved the 
  234. same problem you face now. Raise Your IT IQ at 
  235. http://www.win2000mag.net/.
  236.  
  237. * FREE BOOKS ONLINE
  238. Now online--a technical reference library specifically for Windows IT 
  239. professionals. Windows IT Library, a member of the Windows 2000 
  240. Magazine Network, provides the information you need when you need it. 
  241. For your source of free books and other technical content, visit 
  242. http://WindowsITLibrary.com/.
  243.  
  244. 4. ========== SECURITY ROUNDUP ==========
  245.  
  246. * NEWS: MICROSOFT'S NEW SECURITY SERVER
  247. On June 6, Microsoft released Beta 3 of its new Internet Security and 
  248. Acceleration (ISA) Server 2000. Designed for Windows 2000 Server 
  249. platforms, ISA Server is an application-level firewall with data-aware 
  250. filtering capabilities, IP packet filtering functionality, and Active 
  251. Directory (AD) support. Administrators can use ISA Server to control 
  252. access by user and group, application, content type, and schedule. 
  253.    http://www.ntsecurity.net/go/2c.asp?f=/news.asp?IDF=147&TB=news
  254.  
  255. ~~~~ SPONSOR: FREE INTRUSION DETECTION WEBCAST ~~~~
  256. AXENT(R)'s "Everything You Need to Know About Intrusion Detection" 
  257. WebCast teaches you how to protect yourself against intruders with 
  258. AXENTÆs Prowler Series (NetProwler(tm) and Intruder Alert(tm)) by 
  259. transparently monitoring traffic in real-time and instantly reacting to 
  260. attempted attacks. Space is limited - register today at 
  261. http://www.win2000mag.com/jump.cfm?ID=32 to reserve your spot.
  262. AXENT is the leading provider of e-security solutions for your 
  263. business, delivering integrated products and expert services to 45 of 
  264. the Fortune 50 companies.
  265.  
  266. 5. ========== NEW AND IMPROVED ==========
  267. (contributed by Judy Drennen, products@win2000mag.com)
  268.  
  269. * INCREASED SECURITY FOR UNIVERSITIES
  270. WebTrends announced the Secure University Program, offering a free 
  271. version of WebTrends Security Analyzer Professional Edition and a 
  272. discount on Security Analyzer Enterprise Edition to any qualified 
  273. university. With the Secure University Program, WebTrends wants to 
  274. bring increased security to universities and raise security awareness, 
  275. given the recent Distributed Denial of Service (DDoS) attacks in some 
  276. of the world's largest education systems. For more information, go to 
  277. http://www.webtrends.com/secureuniversityprogram.htm.
  278.  
  279. * SIMPLIFY ACCESS TO PRIVATE DATA AND APPLICATIONS
  280. Jela Company released OnlyYou 1.1, software that lets Windows NT and 
  281. Windows 9x users protect their IDs and passwords. Press the OnlyYou hot 
  282. key and identify yourself to extract your password from 128-bit 
  283. encrypted storage. OnlyYou 1.1 costs $23.50 for a single-user license. 
  284. Network and volume licenses are available. For more information, 
  285. contact Jela Company at 800-275-0097 or go to the Web site. 
  286.    http://www.jelaco.com/
  287.  
  288. 6. ========== HOT RELEASES (ADVERTISEMENTS) ==========
  289.  
  290. * NEW! DESKTOP FIREWALL FOR PCS WITH WINDOWS NT/2000
  291. CyberwallPLUS-WS is a desktop firewall for PCs running Windows NT 4.0 
  292. or Windows 2000. It protects against network attacks with an ICSA-
  293. certified packet filter that provides access controls, intrusion 
  294. detection and traffic logs.
  295. Free Evaluation: http://www.network-1.com/WSeval/index.htm
  296.  
  297. * VERISIGN - THE INTERNET TRUST COMPANY 
  298. Protect your servers with 128-bit SSL encryption! Get VeriSign's FREE 
  299. guide, "Securing Your Web Site for Business." You will learn everything 
  300. you need to know about using SSL to encrypt your e-commerce 
  301. transactions for serious online security. Click here!
  302. http://www.verisign.com/cgi-bin/go.cgi?a=n016007870003000
  303.  
  304. 7. ========== SECURITY TOOLKIT ==========
  305.  
  306. * BOOK HIGHLIGHT: INFORMATION SECURITY: PROTECTING THE GLOBAL 
  307. ENTERPRISE
  308. By Donald Pipkin
  309. Online Price: $39.99
  310. Softcover; 300 pages
  311. Published by Prentice Hall, May 2000
  312. ISBN  0130173231
  313.  
  314. IT security expert Donald Pipkin addresses every aspect of information 
  315. security: the business issues, the technical-process issues, and the 
  316. legal issues, including the personal liabilities of corporate officers 
  317. in protecting information assets.
  318. To order this book, go to
  319. http://www.fatbrain.com/shop/info/0130173231?from=win2000mag
  320. or visit the Windows 2000 Magazine Network Bookstore at
  321. http://www1.fatbrain.com/store.cl?p=win2000mag&s=97772.
  322.  
  323. * TIP: EVENT LOG SECURITY ID DESCRIPTIONS
  324. (contributed by Mark Joseph Edwards, http://www.ntsecurity.net/)
  325.  
  326. You use event logs to audit security events on your systems, but do you 
  327. always know what a given event ID code represents? It's hard to 
  328. remember details about each event ID because Microsoft lists more than 
  329. 50 different security event ID codes. Microsoft article Q174074 lists 
  330. dozens of event ID codes along with detailed examples of what those 
  331. event log entries will look like. You might want to bookmark or print 
  332. the page for future reference. 
  333.    http://www.microsoft.com/technet/support/kb.asp?ID=174074
  334.  
  335. * WRITING SECURE CODE: BIND BASICS
  336. In his latest Web exclusive column, David LeBlanc points out that to 
  337. understand how to bind a TCP socket to a port, you need to look at the 
  338. arguments for the bind() function. One of these arguments (the second) 
  339. is a pointer to a sockaddr structure. For IP applications, that pointer 
  340. is typically a sockaddr_in structure that contains the numeric IP 
  341. address and port that you want to bind to locally. If you can't easily 
  342. identify what interfaces are available, you can simply bind to all 
  343. available local interfaces by specifying INADDR_ANY as the address.
  344. One security risk that you need to be aware of is that users can bind 
  345. two sockets to the same port using a socket option known as 
  346. SO_REUSEADDR. In other words, two different applications can answer 
  347. connections on the same port. Be sure to read the rest of David's 
  348. column on our Web site. 
  349.    http://www.ntsecurity.net/go/seccode.asp
  350.  
  351. 8. ========== HOT THREADS ==========
  352.  
  353. * WINDOWS 2000 MAGAZINE ONLINE FORUMS
  354.  
  355. The following text is from a recent threaded discussion on the Windows 
  356. 2000 Magazine online forums (http://www.win2000mag.net/forums/). 
  357.  
  358. IIS and NTFS Security--ASP Problem 
  359. Scenario: IIS 4 with SP6a. I attempted to apply RX security to the OS 
  360. file system. While HTML still served up, no ASP pages would work. After 
  361. extensive search on Microsoft's site, I came up empty-handed, and had 
  362. to allow the Change perms on NTFS. I ensured that the anonymous user 
  363. had NTFS read and execute permissions to the entire file system. Any 
  364. suggestions? 
  365.  
  366. Thread continues at
  367. http://www.win2000mag.net/Forums/Application/Thread.cfm?CFApp=64&Thread_ID=38701&mc=2.
  368.  
  369. * WIN2KSECADVICE MAILING LIST
  370. Each week we offer a quick recap of some of the highlights from the
  371. Win2KSecAdvice mailing list. The following thread is in the spotlight
  372. this week.
  373.  
  374. Released: LibnetNT by eEye Digital Security
  375. Libnet for UNIX is used in many of today's popular security programs 
  376. because of how easy it is to implement low-level packet functionality 
  377. into a program. Now that same ease-of-use development API is available 
  378. for Windows NT platforms.
  379. http://www.ntsecurity.net/go/w.asp?A2=IND0006A&L=WIN2KSECADVICE&P=89
  380.  
  381. Follow this link to read all threads for June, Week 1:
  382.    http://www.ntsecurity.net/go/w.asp?A1=ind0006a&L=win2ksecadvice
  383.  
  384. * HOWTO MAILING LIST
  385. Each week we offer a quick recap of some of the highlights from the
  386. HowTo for Security mailing list. The following thread is in the
  387. spotlight this week.
  388.  
  389. Event Viewer Query
  390. This is going to seem like a strange question, but it has me a bit 
  391. baffled. If you have a standalone server with full auditing enabled on 
  392. it, how does the Event ID 528 (as seen in the Event Viewer) apply? 
  393. Because the standalone server is not capable of authentication, then 
  394. this should mean that someone physically went to the standalone server 
  395. and logged on, and if done locally, then it should be indicated under 
  396. Domain, which it isn't. However, it does list "MachineTwo" as the 
  397. workstation name where the logon was successful. What remote logon will 
  398. trigger this Event ID?
  399. http://www.ntsecurity.net/go/L.asp?A2=IND0006a&L=HOWTO&P=159
  400.  
  401. Follow this link to read all threads for June, Week 1:
  402.    http://www.ntsecurity.net/go/l.asp?A1=ind0006a&L=howto
  403.  
  404. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  405.  
  406. WINDOWS 2000 MAGAZINE SECURITY UPDATE STAFF
  407. News Editor - Mark Joseph Edwards (mje@win2000mag.com)
  408. Ad Sales Manager (Western) - Jim Langone (jim@win2000mag.com)
  409. Ad Sales Manager (Eastern) - Tanya T. TateWik (ttatewik@win2000mag.com)
  410. Associate Publisher/Network - Martha Schwartz (mschwartz@win2000mag.com)
  411. Editor - Gayle Rodcay (gayle@win2000mag.com)
  412. New and Improved - Judy Drennen (products@win2000mag.com)
  413. Copy Editor - Judy Drennen (jdrennen@win2000mag.com)
  414.  
  415. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  416.  
  417. ========== GET UPDATED! ==========
  418. Receive the latest information about the Windows 2000 and Windows NT 
  419. topics of your choice, including Win2K Pro, Exchange Server, thin-
  420. client, training and certification, SQL Server, IIS administration, 
  421. XML, application service providers, and more. Subscribe to our other 
  422. FREE email newsletters at
  423. http://www.win2000mag.com/sub.cfm?code=up00inxwnf.
  424. |-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-|-+-
  425.  
  426. Thank you for reading Security UPDATE.
  427.  
  428. SUBSCRIBE
  429. To subscribe send a blank email to
  430. subscribe-Security_UPDATE@list.win2000mag.net.
  431.  
  432. UNSUBSCRIBE
  433. To unsubscribe, send an email to U-A3.15.87030@list.win2000mag.net. Or
  434. click http://go.win2000mag.net:80/UM/U.ASP?A3.15.87030 and you will be
  435. removed from the list. Thank you!
  436.  
  437. If you have questions or problems with your UPDATE subscription, please
  438. contact securityupdate@win2000mag.com. 
  439. ___________________________________________________________
  440. Copyright 2000, Windows 2000 Magazine
  441.  
  442.  
  443.  
  444.  
  445.  
  446.  
  447.  
  448.