jueves, 23 de diciembre de 2010

Microsoft Security Advisory (2488013)

Vulnerability in Internet Explorer Could Allow Remote Code Execution

Microsoft está investigando nuevos informes públicos de una vulnerabilidad en todas las versiones de Internet Explorer. El principal impacto de la vulnerabilidad es la ejecución remota de código. Este nuevo boletín de seguridad contiene soluciones y mitigación de este problema.

La vulnerabilidad existe debido a la creación de la memoria sin inicializar durante una función de CSS en Internet Explorer. Es posible bajo determinadas condiciones para la memoria resulten ser aprovechados por un atacante mediante una página web especialmente diseñada para obtener la ejecución remota de código.

Mitigación
Tener habilitado el modo de protección (Protected Mode) en Internet Explorer en Windows Vista y sistemas operativos Windows posteriores ayuda a limitar el impacto de los exploits conocidos actualmente. Un atacante que aprovechara esta vulnerabilidad podría tener derechos muy limitados en el sistema.

De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo establece el nivel de seguridad para la zona Internet en Alto. Este es un factor atenuante para sitios web que no se han sumado a la zona de Internet Explorer de sitios de confianza. Véase también Gestión mejorada de Internet Explorer Configuración de seguridad.

Para más información visitar

1) Boletín de Seguridad de Microsoft (2488013)
2) CVE 2010-3971

Hasta la próxima.

sábado, 18 de diciembre de 2010

Nos subimos a la nube.....(Parte I)

Introducción
El objetivo de esta serie de artículos es analizar como con Microsoft BRS Solutions ( Microsoft Business Ready Security Solutions) podemos proteger la información sin importar donde esté, verificando como se accede a ella y a su vez protegemos la misma manteniento los objetivos de la Seguridad de la Información (Confidencialidad-Integridad-Disponibilidad). BRS Solutions, compuesto por la familia de soluciones Forefront nos ayudará con el objetivo, pero antes de que entremos a las problemáticas puntuales, tenemos que entender algunos conceptos.

La Nube
Si buscamos en BING, el concepto de Cloud Computing, vamos a encontrar varias definiciones comunes. Para el caso, vamos a utilizar una definición que me agradó de NIST, ya que es la más completa de todas, que la describe de la siguiente manera :

"...Cloud Computing es un modelo para permitir acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue..."

Características del modelo

1) On-demand self-service: Autoservicio por demanda,un usuario de recursos de la nube puede aprovisionar de manera unilateral capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, en la medida en que las requiera sin necesidad de interacción humana por parte del proveedor del servicio. Ejemplo de ello, cuando utilizan almacenamiento provisto por los Webmails, como el caso de SkyDrive de Hotmail.
2) Broad network access: Acceso amplio desde la red, las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándares que promueven el uso desde plataformas clientes heterogéneas, tales como clientes delgados (Thin Client), clientes pesados (Pc) o cualquier dispositivo móbil con acceso a Internet compatible con los estándares. (ej. Windows Mobile, IPad, IPhone, etc).
3) Resource pooling : Conjunto de recursos, los recursos computacionales del proveedor se habilitan para servir a múltiples consumidores mediante un modelo “multi-tenant*”, con varios recursos físicos como virtuales asignados dinámicamente en base a la demanda. Existe un sentido de independencia de ubicación en cuanto a que el usuario no posee control o conocimiento sobre la ubicación exacta de los recursos que se le están proveyendo aunque puede estar en capacidad de especificar ubicación a un nivel de abstracción alto (ej. país, estado o centro de datos). Algunos ejemplos incluyen almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales.
*El modelo Multi-Tenant se refiere a una arquitectura de software donde una única instancia del software se ejecuta en un servidor y al servicio de múltiples clientes.
4) Rapid elasticity: Rápida elasticidad, las capacidades pueden ser rápidamente y elásticamente aprovisionadas, en algunos casos automáticamente, para escalar hacia fuera rápidamente y también rápidamente liberadas para escalar hacia dentro también de manera rápida. Para el usuario, estas capacidades disponibles para aprovisionar a menudo aparecen como ilimitadas y pueden ser compradas en cualquier cantidad en cualquier momento.
5) Measured Service: Servicio medido, los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos mediante una capacidad de medición a algún nivel de abstracción adecuado al tipo de servicio. (ej. almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de estos recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el usuario por el servicio utilizado.

Modelos de Servicios

1) Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail).
2) Cloud Platform as a Service (PaaS): Plataforma como un servicio: Esta capacidad le permite al usuario desplegar en la infraestructura del proveedor aplicaciones creadas por el primero, incluso adquiridas, usando lenguajes de programación y herramientas del proveedor. El usuario no administrar o controlar la infraestructura subyacente incluyendo nube de red, servidores, sistemas operativos, o de almacenamiento, pero tiene el control sobre las aplicaciones implementadas y, posiblemente, alojamiento de aplicaciones configuraciones de entorno.
3) Cloud Infrastructure as a Service (IaaS): Infraestructura como un servicio, esta capacidad permite al consumidor aprovisionar recursos computacionales como almacenamiento, procesamiento, redes y otros elementos fundamentales en donde el consumidor puede desplegar y correr software arbitrario, el cual puede incluir sistemas operacionales y aplicaciones. El usuario no administrar o controlar la infraestructura cloud subyacente pero tiene el control sobre los sistemas operativos, almacenamiento, las aplicaciones implementadas, y posiblemente un control limitado de los componentes de red seleccionados.

Modelos de Despliegue
Ahora analizamos modelos de despligue o topología de la misma.

1) Private cloud: nube privada, la infraestructura en la nube es operado exclusivamente para una organización. Puede ser administrado por la organización o de un tercero y pueden existir en las instalaciones o fuera de la premisa.
2) Community cloud: Nube comunitaria, la infraestructura en la nube es compartida por varias organizaciones y es compatible con una comunidad específica que ha compartido las preocupaciones (por ejemplo, la misión, los requisitos de seguridad, la política y las consideraciones de cumplimiento). Puede ser administrado por las organizaciones o de un tercero.
3) Public cloud, Nube pública, la infraestructura de nube se puso a disposición del público en general o a un grupo de la gran industria y es propiedad de una organización de venta de servicios en la nube.
4) Hybrid cloud: Nube Híbrida, la infraestructura en la nube es una composición de dos o más nubes (privada, comunitaria, o del público) que se mantienen las entidades únicas, pero están unidos por la tecnología estandarizada o de propiedad que permite que los datos y la portabilidad de aplicaciones (por ejemplo, nubes de ruptura de equilibrio de carga entre las nubes). Recuerden que en los modelos denominados Híbridos, existe combinaciones de algún otro formato o modelo.

Microsoft Business Ready Security Solutions

En respuesta a estos retos y oportunidades de negocio, Microsoft está adoptando un enfoque fundamentalmente diferente a la seguridad. Este enfoque se denomina Business Ready Security. Se entiende a la seguridad como un elemento necesario para ayudar a las empresas a alcanzar sus objetivos de negocio, además ayudar a asegurar que las personas con permisos adecuados siempre tengan acceso a la información que necesitan para realizar su trabajo.
Microsoft entiende que la seguridad debe abarcar la protección, el acceso y la gestión, todos entorno a la identidad del usuario e integrado con una alta seguridad y plataforma interoperable.
En base a esto, Microsoft está trabajando para lograr el objetivo de BRS que basa en tres principios fundamentales:
1) La seguridad debe integrar y estar extendida en toda la empresa. Seguridad debe ser incorporada a la infraestructura (no solo con el objetivo de cumplir con auditorías), en el trabajo en múltiples plataformas y entornos. Identificar al usuario donde esté y sin importar a que plataforma acceda.
2) Seguridad debe contribuir a "la protección de todas partes, el acceso en cualquier lugar ". Esto incluye proporcionar protección a través de múltiples capas y permite el acceso remoto seguro.Protección y acceso deben ser entregados dentro del contexto de la identidad de un usuario
3) Microsoft entiende que la seguridad y la experiencia de cumplimiento deben ser significativamente simplificado para nuestros clientes. Esta experiencia simplificada debe extenderse a todos los usuarios con una empresa que "interactua" con la seguridad y ayudar a gestionar los costes, la complejidad y el cumplimiento.

Por último, vamos a ver los diferentes focos que hace BRS.Business Ready of Security establece seis soluciones de uso, centrado en activos que ayudan a reducir los costos y a simplificar la administración de seguridad en el entorno de la empresa utilizado la infraestructura de TI:

1) Integrated Security - Seguridad integrada: Fácil de manejar, el malware y protección integral de información en toda la empresa.
2) Secure Messaging - Mensajería Segura: La comunicación segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, al tiempo que evita el uso no autorizado de información confidencial.
3)Secure Collaboration- Colaboración Segura: La colaboración segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, evitando el uso no autorizado de información confidencial.
4)Secure Endpoint- Seguro de punto final: Proteger al cliente y sistemas operativos para servidores de las amenazas emergentes y la pérdida de información, al tiempo que permite un acceso seguro desde prácticamente cualquier lugar y en cualquier dispositivo.
5) Identity and Access Management- Gestión de identidades y acceso: Simplificar y gestionar el acceso a un acceso seguro y compatible con las aplicaciones en las instalaciones y en la nube desde cualquier lugar o dispositivo.
6) Information Protection - Proteger la información: simplificar y administrar la protección de la información, evitando de esta manera fuga de la misma y ayudando al cliente en el cumplimiento de políticas.


En los artículos posteriores vamos a ir analizando cada uno de estos seis puntos, validando como soluciones Microsoft nos ayudan en la Seguridad Corporativa, y a su vez comprender el funcionamiento de la plataforma FOREFRONT que nos permitirá sastifacer las necesidades de cada uno de los puntos mencionados anteriormente.

Fuentes: Nist, Microsoft.

viernes, 17 de diciembre de 2010

Webcast TechNet: BRS - Solución segura del centro de datos

Esta sesión le informará cómo optimizar las inversiones de nuestros clientes en las tecnologías de la plataforma de identidad y acceso a la vez, lo que asegura el centro de datos tenga la capacidad de proporcionar protección de información y software mal intencionado de extremo a extremo para servidores y aplicaciones.

Moderador(es): Enrique Dutra
Idiomas: Español.
Productos: Microsoft Forefront, Microsoft Forefront Client Security, Otros.
Público: Generalista de IT.

Día : lunes, 20 de diciembre de 2010 13:00 hs.
Duración:60 Minutos

Para registrarse, visitar este sitio

Actualizaciones plataforma Microsoft - DICIEMBRE 2010

Terminamos el año y se viene la última actualización de la plataforma. Con este boletín, se reemplaza la notificación de avance de boletines publicada originalmente el 9 de diciembre de 2010.
Las características del último boletin de año son:

1) MS10-090=Actualización de seguridad acumulativa para Internet Explorer (2416400): Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada y tres vulnerabilidades de las que se ha informado de forma pública en Internet Explorer. Clasificación: CRITICA.
2) MS10-091=Vulnerabilidades en el controlador de fuentes OpenType (OTF) podrían permitir la ejecución remota de código (2296199): Esta actualización de seguridad resuelve varias vulnerabilidades de las que se ha informado de forma privada en al controlador de fuentes OpenType (OTF) de Windows que podrían permitir la ejecución remota de código. Clasificación: CRITICA.
3) MS10-092=Una vulnerabilidad en Programador de tareas podría permitir la elevación de privilegios (2305420):Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Programador de tareas de Windows. Clasificación: IMPORTANTE.
4) MS10-093=Una vulnerabilidad en Windows Movie Maker podría permitir la ejecución remota de código (2424434). Esta actualización de seguridad resuelve una vulnerabilidad en Windows Movie Maker que se ha divulgado públicamente. Clasificación: IMPORTANTE.
5) MS10-094=Una vulnerabilidad en Codificador de Windows Media podría permitir la ejecución remota de código (2447961). Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Codificador de Windows Media.Clasificación: IMPORTANTE.
6) MS10-095=Una vulnerabilidad en Microsoft Windows podría permitir la ejecución remota de código (2385678). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows.Clasificación: IMPORTANTE.
7) MS10-096=Una vulnerabilidad en la Libreta de direcciones de Windows podría permitir la ejecución remota de código (2423089). Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en la Libreta de direcciones de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de la Libreta de direcciones de Windows que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Clasificación: IMPORTANTE.
8) MS10-097=La carga de bibliotecas poco seguras en el asistente de suscripción de la conexión a Internet podría permitir la ejecución remota de código (2443105). Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en el asistente de suscripción de la conexión a Internet de Microsoft Windows. Esta actualización de seguridad se considera importante para todas las ediciones compatibles de Windows XP y Windows Server 2003. Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no están afectadas por la vulnerabilidad.Clasificación: IMPORTANTE.
9) MS10-098=Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2436673). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y otras vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows.Clasificación: IMPORTANTE.
10) MS10-099=Una vulnerabilidad en Enrutamiento y acceso remoto podría permitir la elevación de privilegios (2440591).Esta actualización de seguridad corrige una vulnerabilidad de la que se ha informado de forma privada en el componente NDProxy de Enrutamiento y acceso remoto de Microsoft Windows.Clasificación: IMPORTANTE.
11) MS10-100=Una vulnerabilidad en la interfaz de usuario de consentimiento podría permitir la elevación de privilegios (2442962).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la interfaz de usuario de consentimiento.Clasificación: IMPORTANTE.
12) MS10-101=Una vulnerabilidad en el servicio Netlogon de Windows podría permitir la denegación de servicio (2207559). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el servicio RPC de Netlogon en las versiones afectadas de Windows Server que están configuradas para servir como controladores de dominio.Clasificación: IMPORTANTE.
13) MS10-102=Una vulnerabilidad en Hyper-V podría permitir la denegación de servicio (2345316). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Windows Server 2008 Hyper-V y en Windows Server 2008 R2 Hyper-V.Clasificación: IMPORTANTE.
14) MS10-103=Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2292970).Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada en Microsoft Publisher que podrían permitir la ejecución remota de código si un usuario abre un archivo de Publisher especialmente diseñado.Clasificación: IMPORTANTE.
15) MS10-104=Una vulnerabilidad en Microsoft SharePoint podría permitir la ejecución remota de código (2455005).Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft SharePoint.Clasificación: IMPORTANTE.
16) MS10-105=Vulnerabilidades en los filtros gráficos de Microsoft Office podrían permitir la ejecución remota de código (968095).Esta actualización de seguridad resuelve siete vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Clasificación: IMPORTANTE.
17) MS10-106=Una vulnerabilidad en Microsoft Exchange Server podría permitir la denegación de servicio (2407132).Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Exchange Server. Clasificación: MODERADA.

Para bajar las actualizaciones o obtener más información de ellas, visitar el sitio de Microsoft (presione AQUI).

Hasta el año que viene!
Saludos

Fuente: Microsoft