martes, 14 de abril de 2009

Microsoft Security Bulletin Summary for April 2009

Actualizaciones de Abril
Esta noche ya podrán descargar 8 actualizaciones correspondiente a los boletines MS09-09 al MS09-16, correspondientes a :

- MS09-09: Vulnerabilities in Microsoft Office Excel Could Cause Remote Code Execution (968557).
- MS09-10: Vulnerabilities in WordPad and Office Text Converters Could Allow Remote Code Execution (960477)
- MS09-11: Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (961373).
- MS09-12: Vulnerabilities in Windows Could Allow Elevation of Privilege (959454).
- MS09-13: Vulnerabilities in Windows HTTP Services Could Allow Remote Code Execution (960803).
- MS09-14: Cumulative Security Update for Internet Explorer (963027)
- MS09-15: Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege (959426)
- MS09-16: Vulnerabilities in Microsoft ISA Server and Forefront Threat Management Gateway (Medium Business Edition) Could Cause Denial of Service (961759)

Para aquellos que requieran un documento de todos los boletines de seguridad emitidos por Microsoft, les recomiendo entrá AQUI en donde encontrarán las fechas y los artículos con las diferentes actualizaciones desde el año 2006. Les recordamos que excepto las actualizaciones publicadas fuera de fecha, los boletines de Microsoft son publicados el segundo martes de cada mes.

Si no cuenta con una herramienta de despligue para las actualizaciones, y requiere su implementación, recuerde que puede utilizar el MBSA y el WSUS (verificar y desplegar) siendo ámbos productos de descarga gratuita de Microsoft. Es importante que la compañía cuente con una política de actualización de software, sobre todo aquellas actualizaciones marcadas como "Windows Security". No realice actualizaciones masivas y actualice por el simple hecho de actualizar. Verifique su entorno, chequee la documentación de las actualizaciones y como impacta en su infraestructura. Recuerde que si posee conectores de base de datos, tenga cuidado de actualizar los drivers de conexión como ODBC, ya que una nueva versión puede provocar que su sistema no se comporte adecuadamente.
Otro punto para tener en cuenta en la actualización, es que DEBE verificar si una vez implementado requiere un reinicio de la aplicacion o del servidor. Trate de optimizar la entrega de servicios, planificando adecuadamente su implementación. La actualización se hace efectiva, una vez reiniciado el servicio o servidor. LEA ATENTAMENTE LAS RECOMENDACIONES DE LA ACTUALIZACION.

Por último, no fuerce la instalación de una actualización si la misma genera un error o da problemas en la instalación. Lea la documentacion.

Plataforma actualizada, plataforma segura....

Hasta la próxima....

jueves, 2 de abril de 2009

¿El lobo está?... El lobo no resúlto ser el Conficker...

... ¿El lobo está? Se está preparando para el 1ro de Abril...
... ¿El lobo está? Está listo para actualizarse...
... ¿El lobo está? Está buscando Pc para infectar...


El administrador leía en los diarios la amenaza del código malicioso que se activaría el 1ro de abril. Los proveedores de software, antivirus y otras soluciones le enviaban cadenas y correos con recomendaciones y procedimientos para asegurar su red. Necesitaba ajustar lo que tenía, ya estaba a fin de mes y cualquier implementación resultaría en costos y tiempos de implementación.Su red tiene 500 puestos, y debido a problemas de tiempos no lograba verificar que los antivirus y las actualizaciones de todas las PC estuvieran al día. No sabía que hacer o por donde empezar, ya que los antivirus decían que el problema era el S.O y que no podrían prevenir la infección.
Allí recordó que en octubre recibió un boletín de seguridad sobre la actualización de los S.O Ms Windows y puso manos a la obra...

¿Saben como terminó la historia? La red se mantiene segura por que el Administrador fue eficiente y logró protegerla a tiempo. Entonces, el administrador realizó estas acciones preventivas:
1) Verificó cual era el fix que tenía que estar en todas las PC. Verificó el boletín de Microsoft e implementó rápidamente este fix en donde estaba ausente.
2) Implementó una solución de filtrado de contenido y antivirus a nivel de Gateway (en donde está el proxy o por donde salen todos los usuarios de la red Lan a Internet).
3) Restringió mediante una política de AD, quitandole los permisos de Administrador a los usuarios.
4) Desactivó el autorun o autoplay de los dispositivos USB y lectoras de CD/DVD.

El 1ro de abril, el Administrador de Red llegó a las 7:00 AM. y estuvo atento al teléfono, con cierto nivel de ansiedad, temiendo de algún llamado por parte de algún usuario que tuviera problemas con su PC. Pero nadie llamó por problemas de funcionalidad, solo llamo Doña Rosa, la secretaria del Director, que había olvidado su contraseña y si podía cambiarle la misma por una nueva.

MORALEJA:
- La prevención es la mejor ayuda.
- Mantener la plataforma actualizada previene incidentes de seguridad.
- Verificar las recomendaciones de Microsoft.

¿Cómo lo hizo?
El administrador, basándose en el boletín, tomó las siguientes acciones:

1) Implementó la actualización que recomienda MS que fue publicada en octubre. El malware se aprovecha de la mala administración de la plataforma. Recuerden, plataforma actualizada, plataforma segura.Si no recuerdan el boletín el mismo es el MS08-67.
Para encontrar cuales eran las Pc que no poseían el fix, utilizó el MBSA y rápidamente obtuvo la lista. El despligue lo hizo a través de un paquete con extensión MSI que generó y configuró las Group Policy del AD para hacer la distribución.
2) La versiones de Conficker necesitan de acceso a Internet. Para ello, puso una solución que solo permite acceder a sitios seguros, y que se complementan con antivirus. Si el código pasaba por allí, era interceptado.
3) El gusano requiere de permisos para moverse en el S.O. Utilizando las GPO, configuró las PC de riesgos y definió que los usuarios no deben ser adminsitradores locales. En esa misma definición, desactivó el uso de USB y desactivó el autorun o autoplay de las lectoras de CD/DVD.

Si quieren saber si su PC posee algún archivo infectado, pueden utilizar el MS Windows Live One Care.
Hicimos análisis del malware en nuestros laboratorios, examinando el comportamiendo del mismo, si el S.O posee la actualización recomendada es muy poco lo que puede hacer, por que esa es la manera adecuada de proteger el equipo. Les recomendamos:

- Si su S.O es Vista, no desactive el UAC (Control de cuentas del usuario).
- Tampoco desactive los firewall. Habilite los puertos que sean necesarios.
- Si un usuario requiere permiso de Administrador sobre una PC, asigne una cuenta y capacítelo para que sepa usarlo con el RUN AS... o Ejecutar como...
- Mantenga sus PC con el fix MS08-67 implementado.
- Suscribase en los boletines de seguridad de MS y no se deje influír por terceros (otros proveedores o medios). Microsoft publica información suficiente de como actuar en los diferentes casos.
- Bloquee puertos USB o lectoras de CD/DVD si los usuarios de los puestos de trabajo no requieren los mismos para su tareas diarias. Esto lo puede hacer por GPO.
- Verifique las recomendaciones de MS que figuran en el boletín MS KB962007.
- Por último, implemente MBSA y WSUS con el fin de asegurarse una plataforma actualizada. No deje de implementar las actualizaciones que son referidas como Windows Security.

Colorin Colorado...
Esta nota ha terminado...

Hasta la próxima

Enrique