martes, 12 de octubre de 2010

Actualizaciones plataforma Microsoft - OCTUBRE 2010

Estimados...
En el día de hoy, Microsoft ha publicado los boletines de seguridad. Los mismos son:

CRITICOS:
Se recomienda su instalación, tenga en cuenta que requieren reinicio una vez implementados.

- MS10-071: Cumulative Security Update for Internet Explorer (2360131) : Afecta Internet Explorer 6, 7 y 8. el mismo reemplaza al boletín MS10-053. Evita la ejecución de un código remoto.

- MS10-075: Vulnerability in Media Player Network Sharing Service Could Allow Remote Code Execution (2281679): Evita la ejecución remota, solo afecta a Ms Windows 7 y Vista SP1 y SP2.

- MS10-076: Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (982132): Afecta a XP, Windows Vista, Windows 7, Windows 2008 y Windows 2008 R2. Esta actualización de seguridad resuelve una vulnerabilidad en un componente de Microsoft Windows Embedded OpenType (EOT) Font Engine. La vulnerabilidad podría permitir la ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado de forma remota.

- MS10-077: Vulnerability in .NET Framework Could Allow Remote Code Execution (2160841): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft. NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si un usuario visita una página web especialmente diseñada mediante un navegador Web que puede ejecutar las aplicaciones del explorador XAML (XBAPs).

IMPORTANTE:
Son de menor importancia, pero su implementación es vital para mantener la plataforma segura.

- MS10-072 : Vulnerabilities in SafeHTML Could Allow Information Disclosure (2412048): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y una vulnerabilidad reportada de manera privada en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades podrían permitir la divulgación de información si un atacante envía especialmente diseñado secuencia de comandos a un sitio de destino mediante SafeHTML.

- MS10-073: Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (981957): Esta actualización de seguridad resuelve varias vulnerabilidades de forma pública en los controladores de modo kernel de Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante se conecta a un sistema afectado y se ejecuta una aplicación especialmente diseñada. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para aprovechar esta vulnerabilidad. La vulnerabilidad no puede ser explotada de forma remota o por usuarios anónimos.

- MS10-078: Vulnerabilities in the OpenType Font (OTF) Format Driver Could Allow Elevation of Privilege (2279986): Esta actualización de seguridad resuelve dos vulnerabilidades en el controlador de Windows formato OpenType Font (OTF). Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.

- MS10-079: Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2293194):Esta actualización de seguridad resuelve once vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado por Word. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-080: Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2293211): Esta actualización de seguridad resuelve trece vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado de Excel o un archivo especialmente diseñado de Lotus 1-2-3. Un atacante que aprovechara cualquiera de estas vulnerabilidades podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-081: Vulnerability in Windows Common Control Library Could Allow Remote Code Execution (2296011): Esta actualización de seguridad resuelve una vulnerabilidad en la biblioteca de controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante que aprovechara esta vulnerabilidad podría lograr el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-082: Vulnerability in Windows Media Player Could Allow Remote Code Execution (2378111): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Media Player. La vulnerabilidad podría permitir la ejecución remota de código si Windows Media Player abierto especialmente diseñado contenido multimedia alojado en un sitio Web malintencionado. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-083: Vulnerability in COM Validation in Windows Shell and WordPad Could Allow Remote Code Execution (2405882): Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado utilizando WordPad o selecciona o abre un archivo de acceso directo que está en una red o compartir WebDAV. Un atacante que aprovechará esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-084: Vulnerability in Windows Local Procedure Call Could Cause Elevation of Privilege (2360937): Esta actualización de seguridad resuelve una vulnerabilidad de forma pública en Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectados por la vulnerabilidad.

- MS10-085: Vulnerability in SChannel Could Allow Denial of Service (2207566): Esta actualización de seguridad resuelve una vulnerabilidad en el paquete de seguridad de canal seguro (SChannel) en Windows. La vulnerabilidad podría permitir la denegación de servicio si un afectado de Internet Information Services (IIS) tendrá lugar un Secure Sockets Layer (SSL) habilitado para el sitio web recibió un mensaje paquete especialmente diseñado. De forma predeterminada, IIS no está configurado para alojar sitios Web SSL.

MODERADO

- MS10-074: Vulnerability in Microsoft Foundation Classes Could Allow Remote Code Execution (2387149): Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el Microsoft Foundation Class (MFC) de la Biblioteca. La vulnerabilidad podría permitir la ejecución remota de código si un usuario inicia sesión con derechos de usuario administrativos y se abre una aplicación creada con la biblioteca MFC. Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el que actualmente ha iniciado la sesión del usuario. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría tomar el control completo del sistema afectado. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

- MS10-086 : Vulnerability in Windows Shared Cluster Disks Could Allow Tampering (2294255): Esta actualización de seguridad resuelve una vulnerabilidad en Windows Server 2008 R2 en su uso como un clúster de conmutación por error compartido. La vulnerabilidad podría permitir la manipulación de datos sobre las acciones administrativas de los discos del clúster de conmutación por error. De forma predeterminada, Windows Server 2008 R2 servidores no se ven afectados por esta vulnerabilidad. Esta vulnerabilidad sólo se aplica a los discos de racimo utilizadas en un clúster de conmutación por error.

Les recomiendo asistir el Webcast sobre la actualización de este mes. Para registrarse hacer click AQUI.

Hasta la próxima.

sábado, 9 de octubre de 2010

Stuxnet el terror de los SCADA

En estos días se está hablando mucho sobre el malware STUXNET y sobre todo como afecta a los SCADA. Para entender mejor la problemática, vamos analizar que hace dicho malware.

1) ¿Qué es una SCADA?
SCADA es el acrónimo de Supervisión, Control y Adquisición de Datos (Supervisory Control And Data Acquisition). Esto es un sistema basado en computadoras que permite monitorear y controlar a distancia una instalación de cualquier índole. A diferencia de otros dispositivos que son administrados o manipulados por un operador, el SCADA se caracteriza por automatizar muchas de las tareas sin intervención del operador, es decir de forma automática. Si bien hay muchas implementaciones de estas soluciones, siempre hay un operador verificando su funcionamiento. Si navegan por Internet, van a encontrar que los SCADA tambien se los denomina los "Vigilantes de Procesos".

Este tipo de plataforma no son una novedad, más bien han ido evolucionando con el correr de los años. Revisando un poco la historia vamos a encontrar que una de las mayores implementaciones realizadas en el mundo fue en 1999, cuando se puso en marcha el proyecto de ampliación de las minas Olympic Dam en Australia, en donde la plataforma Citect corría bajo plataforma MS Windows NT. 4.0.

2) ¿STUXNET?
Este código malicioso clasificado como GUSANO INFORMATICO, afecta a equipos Ms Windows. Fue descubierto por VirusBlokAda en junio del 2010, y es un gusano catalogado como espía con capacidades de reprogramar soluciones industriales como los SCADA. Este gusano es capaz de reprogramar los controladores lógicos programables y enmascarar esos cambios para que no sea detectado. Su objetivo son sistemas de SCADA y WinCC/PCS 7 de Siemens.
Si el gusano aprovecha la vulnerabilidad de un dispositivo, puede lograr la interrupción del proceso de negocios.

3) ¿Cómo ataca los S.O. Ms Windows?
Lo que hace STUXNET es aprovechar cuatro vulnerabilidades del día cero (son vulnerabilidades que alguien ha detectado y aún el fabricante no ha logrado resolver). También aprovecha la vulnerabilidad utilizada por el gusano Conficker, si el S.O. aún no ha sido parchado.

4) Metodo de propagación
Preferiblemente mediante el transporte de información utilizando dispositivos USB de los equipos conectados a la red. El acceso de los dispositivos lo hace probando las contraseñas denominadas predeterminadas (default) o conocidas.

5) Objetivo
A diferencia de otros gusanos, que normalmente se difunden en la red infectando los recursos informáticos y provocando bloqueos, envíos de correo basura o molestar en el uso de los recursos de IT, el STUXNET usa una metodología de ataque en la cual ha sido denominado como software de SABOTAJE. Esta clasificación se la otorgado en base en donde a aparecido (IRAN), instalaciones en donde se ha descubierto el gusano (Centrales nucleares o Industrias), la plataforma que afecta (SCADA o WinCC/PCS 7 de Siemens) y la conformación del código, ya que está lejos de ser un software realizado por algún estudiante universitario (Para afectar los SCADA se requiere de ciertos conocimientos profesionales como también de los procesos industriales).

6)Protección
Las actualizaciones y políticas de seguridad son importantes para proteger las redes industriales. Microsoft en el mes de septiembre publicó el boletín MS10-061, en donde el gusano estaba explotando la vulnerabilidad en Print Spooler. En el mes de octubre (el día 12/10) se lanzarán nuevas actualizaciones con el fin de proteger más aún la plataforma.
Las recomendaciones para evitar que la red industrial sea afectada por este gusano son:

1) Firewall: los dispositivos deben contar con un firewall.
2) Actualizaciones: verificar la publicación de las actualizaciones y aplicarlas.
3) Contraseñas: si se han aplicado contraseñas predeterminadas, cambiarlas y documentarlas.
4) USB: bloquear los accesos USB y mediante una politica organizacional prohibir su uso sobre equipos industriales. El traslado de algún tipo de información utilizando los puertos USB, deben ser verificado con algún procedimiento formal.
5) Antivirus: de ser posible implementar una solución de antivirus con la capacidad de detectar los gusanos.
6) VLAN: mantener la red industrial separada por VLAN o segmentación física de la red administrativa o la que normalmente realizan las operaciones los usuarios.
7) Shared folder: evitar las carpetas compartidas sobre los equipos industriales. El gusano tiende a buscar la carpeta ADMIN$, si bien seria deseable desactivarlo, hay soluciones de antivirus u otros productos que requieren de esta carpeta compartida para administrarse.
8) Accesos directos: Evitar accesos directos sobre el equipo industrial, ya que una de las metodologías es verificar los archivos .LNK.

A su vez Siemens ha puesto a disposición una herramienta de detección del gusano.
Para contar con mas información de este gusano, les recomiendo el dossier publicado por Symantec, podrán bajarlo desde AQUI.
Les recomendamos mantenerse actualizado con las novedades, ya que al momento de la redacción de este artículo, ha sido detectado una nueva variante.

Por último les recomiendo este sitio para recolectar más informacion sobre el gusano:

http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinNT%2FStuxnet.B

Fuente: Symantec y Microsoft.

Hasta la próxima.

Actualizaciones plataforma Microsoft - SEPTIEMBRE 2010

Amigos, como es costumbre el segundo martes de cada mes sale el boletín con las actualizaciones de Microsoft. El mes pasado tuvimos un boletín extra con una actualización fuera de fecha.
En Septiembre tenemos la publicación de actualizaciones que protegen 11 vulnerabilidades de la plataforma Microsoft. Los boletines son:

- MS10-061: Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290. Este boletín está clasificado como CRITICO y una vez aplicado la actualización, requiere de reinicio.

- MS10-062:Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-063:Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113).Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-064:Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011). Este boletín está clasificado como CRITICO y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-065:Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-066: Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.

- MS10-067:Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.

- MS10-068 : Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.

- MS10-069:Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546).Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, requiere el reinicio.

- MS10-070 :Una vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042). Este boletín está clasificado como IMPORTANTE y una vez aplicado la actualización, puede a llegar a requier el reinicio.

Por otro lado, si Ustedes desean acceder a las actualizaciones anteriores, puede visitar el siguiente sitio WEB, click AQUI, y podrá bajar las actualizaciones requeridas.
Les sugerimos mantener la plataforma actualizada, recordando que los pilares básicos para mantener una plataforma segura son:

1) Firewall activo en cada recurso conectado a la red.
2) Antivirus instalado y actualizado en cada recurso de la red.
3) Actualizaciones de los productos instalados en los recursos, manteniendo los mismos al día.

Si Usted observa que le lleva mucho tiempo actualizar la plataforma po rno contar con una solución automatizada, puede optar por la solución de WSUS que le permtirá reducir los tiempos de despliegue y le permitirá tener en tiempo real un informe del estado de actualización d ela plataforma.

Saludos y hasta la próxima.

Quique