Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

martes, 24 de diciembre de 2013

jueves, 25 de julio de 2013

Checkpoint R71x en HA y publicación con SSL / OWA / WEB

Introducción
Las VPN están mutando de escenarios IPSEC a SSL por una cuestión de comodidad, no requiere un cliente dedicado y es más simple la administración. Aquí vamos a ver como resolvemos una situación particular en la plataforma Checkpoint R7x.x.

Problemática
Si usa un escenario con R71 o superior  en HA (Alta Disponibilidad), puede llegar a ocurrir que no pueda utilizar VPN por SSL si posee una publicación de sitios Web que utilice el puerto 443. A su vez, si realiza la actualización a R75.20 o superior, se va a encontrar con el problema que los servicios web publicados utilizando SSL dejan de estar disponibles y si intenta acceder, le aparece un error de certificado no válido provocado por la CA del Checkpoint.

Primeros Pasos
Analizar las reglas de NAT que publican el servicio WEB con SSL sobre el puerto 443, ya que requerirán cambios. Si a su vez Usted en los servidores Web posee un certificado comercial, es posible que tenga que cambiar la configuración del clúster.
El problema antes mencionado, Checkpoint lo resuelve en escenarios sin alta disponibilidad, agregando una dirección IP pública, lo que le permite definir que dirección IP escucha las páginas Web con SSL y cual es la dirección IP que se utiliza para recibir conexiones VPN vía SSL. Ahora si el escenario es un clúster (dos cajas de Checkpoint con HA), no puede aplicarse esta solución, ya que el HA solo soporta una dirección de IP pública.

Solución
Para resolver esto, debe realizar los siguientes pasos:
 1) Identifique las reglas de NAT en el cual publica la página web con SSL utilizando el puerto TCP/443.
 2) Verifique y anote la MAC address de su equipo.
 3) En el SmartDashboard, debe ir a Global Properties. Allí a la opción de NAT y saque el tilde que posee la opción Automatic ARP Configuration. Luego aplique la política.
 4) Cierre el SmartDashboard.
 5) Ingrese vía SSH al sistema operativo (puede hacerlo vía PUTty) e ingrese con la cuenta admin o cuenta con privilegio.
 6) Entre al modo experto. Si no recuerda, tipee expert en la consola. (le pedirá usuario y contraseña).
 7) Diríjase a $FWDIR/conf, tipeando cd $FWDIR/conf
 8) Verifique si existe el archivo local.arp, tipeando ls  local.arp
 9) Edite con el vi el archivo. Si no existe se creará uno al tipear vi local.arp.
 10) Presione la letra a para agregar la entrada que tipeará a continuación.  Deberá escribir la dirección IP secundaria que le agregará a la caja (dirección IP pública) y la MAC address.  Suponiendo que la dirección IP es la 200.1.1.1, el ejemplo sería  200.1.1.1  AA:BB:CC:DD:EE:FF
 11) Luego presiones la tecla ESC y tipee :x (sale y graba)
 12) Reinicie los servicios de Checkpoint,  utilizando los comandos cpstop y luego cpstart. Este atento si aparece algún error.
 13) Luego ingrese al SmartDashboard .
 14) Genere un objeto de red (network) con la dirección IP secundaria.
 15) Modifique las reglas de publicación y de NAT,  reemplace la dirección IP pública principal por la secundaria.
 16) Aplique las política y listo, ya puede probarlo.

Publicación con Certificado Digital
Si tiene asociado un certificado digital, los pasos mencionados arriba son los mismos, solo que en el punto 4) debería cambiar el IP Público del clúster por la nueva dirección IP pública y el resto de la configuración, la debe realizar con la IP Pública que tenía asociada antes al clúster. Luego siga los pasos como se menciona en el instructivo.

Además ya puede habilitar el SSL Visitor Mode.

Hasta la próxima....


domingo, 23 de junio de 2013

El eslabón más débil a nivel de usuario de Internet: Los niños

Hace tiempo que vengo observando que se amplía el diccionario de nuevas palabras de amenazas, en las cuales las víctimas son los niños o personas con poco conocimiento de tecnología, pero son usuarios de las mismas. Vamos a tratar en este artículo algunos aspectos de seguridad y plantearemos recomendaciones para no ser víctimas de ellos.

1) No hace falta ser un experto
Hoy la tecnología ha permitido que en el mercado existan diferentes tipos de dispositivos, que nos permita desde comunicarnos entre sí ha acceder a Internet sin ningún tipo de restricción. Si vamos a un ejemplo del día a día, observamos que se ha masificado el uso del automóvil, pero cuántos saben lo que pasa por dentro?, cuántos realizan los controles? cuántos desconocen ciertos riesgos ante ciertas situaciones? Bien, pero en la calle vemos cada vez más usuarios con más vehículos.
La tecnología ha permitido que en el hogar, un adolescente, se conecte a Internet desde el SMART TV (o televisor con conexión a Internet) y pueda ver videos de YOUTUBE.
Realmente para ser usuario y hacer uso de los dispositivos actuales, no hace falta ser un experto, a pesar que pueda suceder como que no usemos todas las ventajas que nos provee el mismo.
Pero así como usuarios, desconocemos de ciertos riesgos y que hay en ciertas actitudes humanas, acciones que ponen en riesgo nuestra intimidad o persona. Si volvemos al ejemplo del vehículo, hay comportamientos humanos que ponen en riesgo la vida del conductor o de un tercero, como ir a más velocidad de lo permitido, no respetar las señales, no mantener la unidad como recomienda el fabricante, etc.

2) Medidas de Seguridad
Hay una tendencia en los usuarios de tecnología de pensar que el dispositivo nos protegerán de todo, pero esto no es así. Si nosotros compartimos una fotografía a un amigo, sabemos realmente que es nuestro amigo? lo conocemos a tal punto que sabemos que va hacer con esa fotografía? esa fotografía nos compromete si es publicada? esa fotografía involucra a terceros?.
Las medidas de seguridad de los dispositivos están pensados para cubrir ciertos aspectos del uso de la tecnología, pero no cubre todos los aspectos de los comportamientos humanos. Volviendo al ejemplo del vehículo, el fabricante y las nomas de seguridad fueron previstas para el uso del automóvil, pero si observa las estadísticas, cuantos accidentes ocurren por que el conductor estaba ebrio. Con el tiempo le vamos a tener que obligar a los fabricantes a poner una pipeta, que si los indicadores no están correctos, el vehículo no pueda encender, y así todo, siempre se buscará una manera de evadir ese control.

3) Desconfiar hasta lo que ves en el espejo
Hoy en los sitios de chat, conferencia, mensajerías y otros, nos permite entrar en contacto con personas de todo tipo de nacionalidades y que está en cualquier parte del mundo. Ahora, realmente, la persona del otro lado es la que dice ser? sabemos que intenciones tiene? quiere nuestra amistad o algo más?
Los usuarios deben desconfiar hasta lo que ve en el espejo, por que muchas veces, el usuario mismo con tal de sentirse querido, seguir conversando con otra persona o conseguir algo, viola sus propias ideas y tiene ciertos comportamientos que en otra situación no las tendría. Traiciona sus convicciones.

4) Palabras raras de cosas nuevas
Así es, conversando con un grupo de padres, me comentan que no entienden las nuevas palabras, que son raras y que siempre están en ingles. Para entender que es cada una, vamos hacer una revisión de los términos y tratar de ejemplificar cada una de las amenazas.

 - ROBO DE IDENTIDAD: Se da cuando un atacante, por medios informáticos o personales, obtiene la información personal y la utiliza ilegalmente. Dentro de estos usos, el atacante la utiliza para hacerse pasar por la otra persona. Se recomienda a las personas ser muy cuidadosa con los datos personales y no permitir que nadie sin autorización acceda a los mismos. Para los niños que usan la tecnología, deben entender que no deben confiar en personas que no conocen y no deben pasar información personal. (fotos, datos personales, información de sus actividades, etc).
 - PHISING:   Es un tipo de engaño creado por un atacante malintencionado, con el objetivo de obtener información como números de tarjetas de crédito, claves, datos de cuentas bancarias, otros. El objetivo más común, es robo de datos bancarios para luego acceder a sus cuentas y robar el dinero del banco. Este tipo de ataque se aprovecha de la inocencia de los usuarios. Las entidades bancarias nunca envían correos solicitando números de cuentas y contraseñas, por lo tanto, cuando reciba un CORREO con este tipo de solicitud, elimínelo sin dudarlo y ante cualquier duda, consulte a su entidad bancaria.
- MALWARE:    Es la denominación a todo tipo de software malicioso que quiere aprovecharse de su equipo y provocar algún tipo de daño.  Se recomienda no bajar software si el origen es dudoso y si reciben correos con archivos adjuntos de contactos desconocidos, no abrirlo. Para los niños, tengan en cuenta, que algunos sitios que poseen juegos están infectados y pueden infectar su PC. Verifique con alguna persona con conocimiento técnico, que la computadora tenga un buen antivirus y el mismo esté bien configurado.
- CYBERBULLING: Con el uso de la  información electrónica como correo electrónico, redes sociales, blogs, mensajería instantánea, mensajes de texto, teléfonos móviles, y sitios web difamatorios para acosar a un individuo, mediante ataques personales. Esto hoy se nota mucho entre los adolescentes y entre los políticos. En los adolescentes, los casos más comunes se producen cuando comparten con un amigo alguna foto y el mismo usa la misma para difamarlo y acosarlo. Se recomienda ser muy cuidadoso con el uso de la tecnología y a quienes se le permitir acceder a su contenido. Cuida tu intimidad y no compartas con nadie la misma.
- GROOMING: Es un problema de seguridad acotado en los menores que usan Internet. Consistente en acciones realizadas por parte de un adulto que trata de establecer lazos de amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas del menor hasta incluso provocar encuentros sexuales reales. Para los niños, la recomendación no confíes en nadie en Internet y no permitas que un intruso "entre a tu casa por Internet". Hablen con los padres ante cualquier situación que puedan detectar como un riesgo, hay mayores que se hacen pasar por menores para entrar a tu mundo. 
- FAKE CAM: Es otro tipo de engaño, para que la persona que está del otro lado del ordenador, cuando le pidas que habilite la cámara web para verificar su identidad, proyecte un video que tiene en la computadora y no se muestra tal cual es. Ya los atacantes ni siquiera tienen que grabar el video previamente, hay sitios web donde hay videos pregrabados. Para los niños, solo compartir las cámaras con personas del entorno y conocidos. Un extraño puede grabarte para utilizarte posteriormente con una amiga y/o amigo y hacerte pasar por vos.
- SEXTING:  La práctica de muchos jóvenes de tomarse fotografías en situaciones muy íntimas. Luego las fotos son enviadas a sus parejas, conocidos o las publican en internet (Facebook). Esta práctica aparentemente simple y sin riesgos, es muy peligrosa porque conlleva a la extorsión y en algunos casos lleva al suicidio, como el caso de Inglaterra donde una adolescente no soportó más la situación. Para los niños, compartir fotos o videos en situaciones sexuales puede ser peligroso para
su identidad tarde o temprano,  ya no se sabe en manos de quien puedan terminar esas imágenes. Muchos pedófilos se hacen pasar por adolescentes con tal de obtener fotos de menores en situaciones que lo comprometen.
- ENGAÑO: en la Web hay muchas personas que tratar de engañar para tener algún beneficio. Una foto de un menor, para ellos es un logro. Pero también hay gente que engaña con tal de producir el daño en sí mismo.  En un sitio de chat una mujer que publicaba en su chat que estaba sola y necesitaba compañía, en realidad era una mujer que junto a su marido te enseñaba a drogarte muy rápidamente. Para los niños y adolescentes, hay que  tratar de que no entren a estos sitios mediante filtros o configuraciones, el engaño esta a la vuelta de la esquina y como verán es uno de los motores clásico de los ataques mencionado arriba.
 
 

5) La protección empieza por casa
Es importante que el uso de la tecnología sea medido y que los niños estén acompañados por los padres al momento de acceder a Internet.

Les planteo aquí algunas recomendaciones para los padres:
a) Uso del Ordenador: esté en algún lugar visible por los padres mientras es usado por los niños. Si el mismo está en su habitación, que no naveguen con la puerta cerrada de su habitación.
b) Revisar Historial: los padres deben revisar el historial para saber por donde navegan sus hijos y asesorarlos si observan sitios que no son para menores.
c) Control Parental: habilitar en los navegadores el control parental. Este control permite restringir el acceso a cierto tipo de páginas web y solo es permitido si ponen la contraseña.
d) Asesorarse: es entendible que los padres desconozcan de estas problemáticas del uso de Internet o dispositivos, es recomendado para estos casos que pidan información en Colegios, Casas de Computación o en la web.
e) Equipos móviles: los celulares no deberían tener acceso a Internet hasta cierta edad, pero si no queda más remedio, aplicar las mismas normas que con el ordenador.

Les planteo aquí recomendaciones para los hijos:
a) Situaciones embarazosas: antes de que se produzcan, hablar con tus padres. Si alguien insiste en que les envíes tu foto, datos, etc, habla con tus padres y sabrán como actuar.
b) Sitios Web: no accedas a sitios que desconoces el contenido o si el mismo es dudoso.
c) Chat: conversa con tus amigos, no des alta a desconocidos (no hay premios en Internet por superar alguna marca en cantidad de amigos) y valida entre ellos alguna manera de identificarse, por ejemplo, coordinar con una llamada telefónica.
e) Fotos: no compartas tu intimidad con desconocidos o aquellos que piensas que son tus "amigos". A tu casa no dejas entrar a cualquiera para que te vea en paño menores, por que hacerlo desde Internet?

Por último, es importante la educación. Si los padres hablan con sus hijos y los mismos pueden plantearles los problemas sin prejuicio alguno, podrán evitar todo tipo de situación embarazosa.

6) Recomendaciones
A pesar de las recomendaciones mencionadas anteriormente, les dejo alguno sitios web, en donde podrán encontrar mayor información sobre los temas mencionados arriba:

- Protege tu información en Internet http://www.microsoft.com/es-xl/security/family-safety/online-safety-tips.aspx
- Internet seguro ("Get Safe Online") http://www.microsoft.com/latam/educacion/seguridad/
- Identidad Robada http://www.identidadrobada.com/
- Derechos de los niños en Internet http://www.microsoft.com/latam/educacion/seguridad/padres/derechos.aspx
- Segu-Kids http://www.segu-kids.org/


Encontrarán un ingreso a Segu-Kids en la columnas de nuestro Blog.
Hasta la próxima.

sábado, 22 de junio de 2013

Actualizaciones plataforma Microsoft - JUNIO 2013

En junio, tenemos las siguientes actualizaciones:

1) MS13-047: Actualización de seguridad acumulativa para Internet Explorer (2838727)  Esta actualización de seguridad resuelve diecinueve vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS13-048: Una vulnerabilidad en el kernel de Windows podría permitir la divulgación de información (2839229)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Windows. La vulnerabilidad podría permitir la divulgación de información si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada o convence a un usuario local con la sesión iniciada de ejecutar una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para producir información útil que pudiera usarse para tratar de sacar más provecho de un sistema afectado.
CLASIFICACION:IMPORTANTE

3) MS13-049: Una vulnerabilidad en los controladores modo kernel podría permitir la denegación de servicio (2845690) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía paquetes especialmente diseñados al servidor. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. CLASIFICACION:IMPORTANTE

4) MS13-050: Una vulnerabilidad en los componentes del administrador de trabajos de impresión podría permitir la elevación de privilegios (2839894)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios cuando un atacante autenticado elimina una conexión de impresora. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión. CLASIFICACION:IMPORTANTE

5) MS13-051: Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código (2839571)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un documento de Office especialmente diseñado con una versión afectada del software de Microsoft Office o bien obtiene una vista previa o abre un mensaje de correo electrónico especialmente diseñado en Outlook con Microsoft Word como el lector de correo electrónico. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:IMPORTANTE

Hasta la próxima.
Saludos

ED

martes, 14 de mayo de 2013

Actualizaciones plataforma Microsoft - MAYO 2013

Buenas, este mes tenemos las siguientes actualizaciones

1) MS13-037: Actualización de seguridad acumulativa para Internet Explorer (2829530)  Esta actualización de seguridad resuelve once vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

2) MS13-038: Actualización de seguridad para Internet Explorer (2847204)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

3) MS13-039:Una vulnerabilidad en HTTP.sys podría permitir la denegación de servicio (2829254) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía un paquete HTTP especialmente diseñado a un servidor o cliente Windows.
CLASIFICACION:IMPORTANTE

4) MS13-040: Vulnerabilidades en .NET Framework podrían permitir la suplantación de identidad (2836440)  Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma públicaen .NET Framework. La más grave de las vulnerabilidades podría permitir la suplantación de identidad si una aplicación .NET recibe un archivo XML especialmente diseñado. Un atacante que aprovechara las vulnerabilidades podría modificar el contenido de un archivo XML sin invalidar la firma del archivo y podría obtener acceso a las funciones de extremo como si fuera un usuario autenticado.
CLASIFICACION:IMPORTANTE

5) MS13-041 : Una vulnerabilidad en Lync podría permitir la ejecución remota de código (2834695)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Lync. La vulnerabilidad podría permitir la ejecución remota de código si un atacante comparte contenido especialmente diseñado, por ejemplo, un archivo o un programa, como una presentación en Lync o Communicator y, a continuación, convence a un usuario de que acepte una invitación para ver o compartir el contenido que se puede presentar. El atacante no podría en ningún caso obligar a los usuarios a ver o compartir el archivo o el programa controlado por él. Por lo tanto, tendría que convencerlos de que realizaran una acción, por ejemplo, incitarles a que acepten una invitación en Lync o Communicator para ver o compartir el contenido que se puede presenter.
CLASIFICACION:IMPORTANTE

6) MS13-042 : Vulnerabilidades en Microsoft Publisher podrían permitir la ejecución remota de código (2830397)  Esta actualización de seguridad resuelve once vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Publisher especialmente diseñado con una versión afectada de Microsoft Publisher. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:IMPORTANTE

7) MS13-043 : Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2830399) Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución de código si un usuario abre un archivo especialmente diseñado u obtiene una vista previa de un mensaje de correo electrónico especialmente diseñado en una versión afectada del software de Microsoft Office. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:IMPORTANTE

8) MS13-044: Una vulnerabilidad en Windows Essentials podría permitir la divulgación de información (2813707)  Esta actualización de seguridad resuelve una vulnerabilidad en Windows Essentials de la que se ha informado de forma privada. La vulnerabilidad podría permitir la divulgación de información si un usuario abre Windows Writer mediante una URL especialmente diseñada. Un atacante que aprovechara la vulnerabilidad podría reemplazar la configuración de proxy de Windows Writer y sobrescribir archivos accesibles al usuario en el sistema de destino. En el caso de un ataque basado en web, un sitio web podría contener un vínculo especialmente diseñado destinado a aprovechar esta vulnerabilidad. Un atacante tendría que convencer a los usuarios de que visiten el sitio web y abrir el vínculo especialmente diseñado.
CLASIFICACION:IMPORTANTE

9) MS13-046: Vulnerabilidades en los controladores modo kernel podrían permitir la elevación de privilegios (2840221)
Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades.
CLASIFICACION:IMPORTANTE


Índice de explotabilidad de Microsoft
El Índice de explotabilidad de Microsoft está diseñado para proporcionar información adicional que ayude a los clientes a clasificar por orden de prioridad la implementación de actualizaciones de seguridad de Microsoft. Este índice proporciona orientación a los clientes acerca de la probabilidad de que se desarrolle un código operativo de vulnerabilidad de seguridad para las vulnerabilidades que abordan las actualizaciones de seguridad de Microsoft dentro de los primeros treinta días del lanzamiento de la actualización.

A través de los boletines de seguridad de Microsoft y durante su difusión por Web del boletín de seguridad mensual, a los clientes se les entrega información acerca de código de prueba de concepto, código de vulnerabilidad de seguridad o ataques activos relacionados con nuestras actualizaciones de seguridad en el momento del lanzamiento.
Microsoft desarrolló el Índice de explotabilidad en respuesta a las solicitudes de los clientes de información adicional para evaluar mejor los riesgos. El índice ayuda a los clientes a clasificar por orden de prioridad la implementación de actualizaciones de seguridad de Microsoft al ofrecer detalles acerca de la probabilidad de lanzar un código operativo de vulnerabilidad de seguridad después del lanzamiento de una actualización de seguridad.

Para más información visitor este SITIO

Hasta la próxima.

Fuente: Microsoft

martes, 9 de abril de 2013

Actualizaciones plataforma Microsoft - ABRIL 2013

Hoy 9 de abril, Microsoft ha publicado 9  boletines de seguridad. Las novedades que tenemos son:

1) MS13-028 : Actualización de seguridad acumulativa para Internet Explorer (2817183)  Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. Estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

2) MS13-029: Una vulnerabilidad en el cliente de Escritorio remoto podría permitir la ejecución remota de código (2828223)  Esta actualización de seguridad resuelve una vulnerabilidad en el cliente de Escritorio remoto de Windows de la que se ha informado de forma privada. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente diseñada. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

3) MS13-030: Una vulnerabilidad en SharePoint podría permitir la divulgación de información (2827663)  Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft SharePoint Server. La vulnerabilidad podría permitir la divulgación de información si un atacante determinar la dirección o la ubicación de una lista de SharePoint concreta y obtuviera acceso al sitio de SharePoint donde se mantiene la lista. Para aprovechar esta vulnerabilidad, el atacante debe poder atender las solicitudes de autenticación del sitio de SharePoint.
CLASIFICACION:IMPORTANTE

4) MS13-031: Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2813170)  Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades.
CLASIFICACION:IMPORTANTE

5) MS13-032: Una vulnerabilidad en Active Directory podría provocar la denegación de servicio (2830914)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Active Directory. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía una consulta especialmente diseñada al servicio de protocolo ligero de acceso a directorios (LDAP)
CLASIFICACION:IMPORTANTE

6) MS13-033: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor (CSRSS) de Windows podría permitir la elevación de privilegios (2820917)  Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en todas las ediciones compatibles de Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
CLASIFICACION:IMPORTANTE

7) MS13-034: Una vulnerabilidad en el Cliente de Microsoft Malware podría permitir la elevación de privilegios (2823482)  Esta actualización de seguridad resuelve una vulnerabilidad en el Cliente de Microsoft Antimalware de la que se ha informado de forma privada. La vulnerabilidad podría permitir la elevación de privilegios debido a los nombres de ruta de acceso que usa el Cliente de Microsoft Antimalware. Un atacante que consiga aprovechar esta vulnerabilidad podría ejecutar código arbitrario y tomar el control completo de un sistema afectado. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Para aprovechar esta vulnerabilidad, el usuario debe tener unas credenciales de inicio de sesión válidas. Los usuarios remotos no pueden aprovechar esta vulnerabilidad.
CLASIFICACION:IMPORTANTE

8) MS13-035: Una vulnerabilidad en el componente de saneamiento de HTML podría permitir la elevación de privilegios (2821818)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la elevación de privilegios si un atacante envía un contenido especialmente diseñado a un usuario.
CLASIFICACION:IMPORTANTE

9) MS13-036: Vulnerabilidades en el controlador modo kernel podrían permitir la elevación de privilegios (2829996)
Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en el software de Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar las vulnerabilidades más graves, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
CLASIFICACION:IMPORTANTE


Hasta la próxima.
Fuente: Microsoft





martes, 2 de abril de 2013

¡Enhorabuena MVP de Microsoft 2013!

Buenas, ayer recibí el correo de Microsoft, otro año más en donde puedo decir orgullosamente, soy MVP.

Estimado/a Enrique Dutra,

Enhorabuena. Nos complace presentarle el programa de nombramiento MVP de Microsoft® de 2013. Este nombramiento se concede a los líderes excepcionales de la comunidad técnica que comparten de forma activa su experiencia de alta calidad y de la vida real con otras personas. Le agradecemos especialmente la contribución que ha realizado en las comunidades técnicas en el área de Enterprise Security a lo largo del pasado año.


El programa de nombramiento de MVP de Microsoft nos proporciona una oportunidad única de celebrar y reconocer sus aportaciones importantes, así como de decir “Gracias por su liderazgo técnico”.
Comparto con Ustedes este nombramiento, a quienes aportan y usan este blog como material de consulta y en sus trabajos. Desde ya agradezco a Microsoft el haberme tenido en cuenta este nuevo año, ya que orgullosamente recibo esta nominación desde el año 2006.
Hasta la próxima!

MS Windows 8 - Soporte UEFI


Introducción
Al estrenar mi nueva Lenovo T430u, detecto que soporta UEFI. Bien, ya viene con MS Windows 8 preinstalado, analizaremos esta nueva característica de hardware.


¿Cómo detectar que el equipo soporta UEFI?
Cuando ingresamos a la BIOS del equipo observamos que la característica UEFI está activada. (Esto puede diferir un poco, depende de la marca del equipo).


 

¿Qué significa UEFI?
UEFI es el acrónimo de Unified Extensible Firmware Interface. Es una especificación diseñada por Intel, que reemplaza a la vieja BIOS (Basic Input-Output System). Esta nueva forma de arranque del equipo tiene elementos nuevos en el arranque de la plataforma (hardware y su firmware). Windows 8 da soporte a UEFI para alcanzar tiempos de arranque muy cortos. Pensando que el arranque era muy rápido por el disco de estado sólido, en realidad UEFI brinda un soporte importante en el arranque del equipo, que una vez iniciado el mismo, inmediatamente nos está pidiendo el usuario y la contraseña.
 
UEFI define la interfaz de firmware de la siguiente generación de ordenadores personales. El Sistema Básico de Entrada y Salida (BIOS) del firmware, originalmente escrito en assembler y el uso de interrupciones de software para E / S, ha definido el ecosistema PC desde sus inicios - pero los cambios en el panorama de la computación han allanado el camino para un "firmware moderno", definición para dar paso a la nueva generación de tablets y dispositivos.

La integridad de la arquitectura de la plataforma de Microsoft crea una raíz de confianza con el firmware de la plataforma con el arranque de UEFI seguro y los certificados almacenados en el firmware. Una tendencia creciente en la evolución de las hazañas de malware se dirige a la ruta de inicio como un vector de ataque preferido. Esta clase de ataque ha sido difícil de evitar, ya que los productos antimalware pueden ser desactivados por el software malicioso que les impide que se carguen por completo. Con Windows 8 de arquitectura de arranque seguro y la creación de una base de confianza, el cliente está protegido contra código malicioso que se ejecuta en la ruta de inicio, asegurando que sólo firmando con el certificado como "bueno conocido", código y gestores de arranque puede ejecutar antes de que el sistema operativo se cargue.

Boot Seguro
UEFI tiene un proceso de validación de firmware, llamado arranque seguro, que se define en el capítulo 27 de la especificación UEFI 2.3.1. Secure Boot define cómo firmware de la plataforma la que gestiona los certificados de seguridad, validación de firmware y una definición de la interfaz (protocolo) entre el firmware y el sistema operativo.



 
En la arquitectura de la plataforma de Microsoft, se crea una raíz de confianza con firmware de la plataforma con el arranque de UEFI seguro y los certificados almacenados en el firmware. Una tendencia creciente en la evolución de las hazañas de malware se dirige a la ruta de inicio como un vector de ataque preferido. Esta clase de ataque ha sido difícil de evitar, ya que los productos antimalware pueden ser desactivado por el software malicioso que les impide que se carguen por completo.


Cómo funciona?
En el encendido de un PC se inicia el proceso de ejecutar el código que configura el procesador, la memoria y dispositivos periféricos de hardware en preparación para el sistema operativo. Este proceso es consistente a través de todas las plataformas, independientemente de las arquitecturas de silicio subyacentes (x86, ARM, etc.)

Poco después de que el sistema está encendido, y antes de traspaso al cargador del sistema operativo, el firmware verificará la firma del código de firmware que existe en el hardware periférico, como tarjetas de red, dispositivos de almacenamiento o tarjetas de vídeo. Este código de dispositivo, llamado ROM Options, continuará el proceso de configuración, garantizando que el periférico está preparado para el traspaso al sistema operativo.

Durante esta parte del proceso de arranque de firmware si existe otra firma incrustada dentro del módulo de firmware, al igual que una aplicación, y si esa firma coincide en contra de una base de datos de firmas de firmware, se deja de ejecutar. Estas firmas se almacenan en bases de datos en el firmware. Estas bases de datos son las listas "permitido" y "No permitido" que determinan si el proceso de arranque puede continuar.

Resumen
Lo interesante de esta funcionalidad, es que al estar activada no estamos protegiendo de los malware que modifican los sectores de arranque y que de alguna manera toman posesión de los S.O al inicio. Para aquellos que disponen de esta funcionalidad, se las recomiendo. Otra ventaja que posee, es que si sacan el disco y lo quieren iniciar desde otro equipo, no van a poder, porque aunque tenga la funcionalidad UEFI activada, los certificados generados por el S.O no van a servir.

 

Hasta la próxima!

 

Les dejo link útiles
UEFI Site http://www.uefi.org

Protecting the pre-OS environment with UEFI http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

 

Actualizaciones plataforma Microsoft - MARZO 2013

En el mes de Marzo tuvimos el boletín de Ms con las siguiente actualizaciones:

1) MS13-021: Actualización de seguridad acumulativa para Internet Explorer (2809289) . Esta actualización de seguridad resuelve ocho vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS13-022: Una vulnerabilidad en Silverlight podría permitir la ejecución remota de código (2814124). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código si un atacante hospeda un sitio web que contenga una aplicación de Silverlight especialmente diseñada que pudiera aprovechar esta vulnerabilidad y convence a un usuario de que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Los sitios web de este tipo podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de un mensaje de Instant Messenger que los lleve al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados. CLASIFICACION:CRITICA.

3) MS13-023: Vulnerabilidades en SharePoint podrían permitir la elevación de privilegios (2780176). Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft SharePoint y Microsoft SharePoint Foundation. Las vulnerabilidades más graves podrían permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada que lo dirige a un sitio de SharePoint atacado. CLASIFICACION:CRITICA.

4) MS13-025: Una vulnerabilidad en Microsoft OneNote podría permitir la divulgación de información (2816264) . Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft OneNote. La vulnerabilidad podría permitir la divulgación de información si un atacante convence a un usuario de que abra un archivo de OneNote especialmente diseñado. CLASIFICACION:IMPORTANTE

5) MS13-026: Una vulnerabilidad en Microsoft Office para Mac podría permitir la divulgación de información (2813682) . Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office para Mac. La vulnerabilidad podría permitir la divulgación de información si un usuario abre un mensaje de correo electrónico especialmente diseñado. CLASIFICACION:IMPORTANTE

6) MS13-027: Vulnerabilidades en los controladores modo kernel podrían permitir la elevación de privilegios (2807986). Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Estas vulnerabilidades podrían permitir la elevación de privilegios si un atacante obtiene acceso a un sistema. CLASIFICACION:IMPORTANTE

Hasta la próxima.

Fuente: Microsoft

martes, 26 de febrero de 2013

Evento Windows 8 En Cordoba - ITPROs


Los ITPROs también se merecen un lanzamiento de Windows 8! Por eso en el marco de un nuevo encuentro de la Comunidad de Virtualización y Nube Privada, les vamos a mostrar qué hay de nuevo en Windows 8 para optimizar el manejo y administración de la infraestructura, y las mejoras en usabilidad y funciones que te ayudarán a conseguir el nivel de satisfacción esperado de tus usuarios.
Entre los temas que se recorrerán estarán: las generalidades de Windows 8, Virtualización de aplicaciones, Hyper-V3 en Windows 8, deployment y algunos otros.La cita es el miércoles 6 de marzo a las 18.00 horas en la Universidad Blas Pascal - Av. Donato Álvarez 380, Argüello, Córdoba.
Como siempre, el evento es totalmente gratuito.
Para registrarse entre AQUI.
 
Los esperamos!!!


miércoles, 20 de febrero de 2013

Forefront Unified Access Gateway - Service Pack 3

Forefront Unified Access Gateway (UAG) Service Pack 3 (SP3) proporciona una serie de nuevas características, incluyendo soporte para

1) Internet Explorer en Windows 8
2) Soporte para la publicación de Exchange Server 2013
3) Asistente y soporte para publicaciones de SharePoint Server 2013.
4) Soporte para aplicaciones con Office 2013 (Ej: Outlook, Word, Excel, PowerPoint)
5) Soporte para conexiones con RDC (Remote Desktop Connection) 8.0. (KB 2592687)
6) Soporte para Windows 8 Mail.

Para bajar el SP3 de Forefront UAG, visite este SITIO.

Hasta la próxima.

martes, 19 de febrero de 2013

Nuevo SP1 para Forefront Identity Manager 2010 R2

Este artículo lo hemos preparado para la comunidad, y comentarles las novedades que trae el  Service Pack 1 (SP1) para Forefront Identity Manager (FIM) 2010 R2 que ya está disponible para su descarga. El Service Pack 1 (compilación 4.1.3114.0) ofrece una serie de mejoras, así como soporte a las últimas plataformas de Microsoft. Estas mejoras y actualizaciones de soporte de la plataforma se resumen a continuación:

1) El cliente FIM ahora es compatible con Windows 8 y Outlook 2013.
2) Mejoras en las opciones de configuración para los clientes con grupos dinámicos.
3) Las actualizaciones del marco extensible Conectividad MA.
4) Conectores FIM se han actualizado para admitir Active Directory 2012, SQL Server 2012, Exchange de 2013, Sun 7.x y Oracle 11.
5) Informes FIM  ahora som compatible con System Center Service Manager 2012

Los clientes que deseen desplegar FIM 2010 R2 SP1 a las instalaciones existentes se puede aplicar SP1 con las actualizaciones, mientras que para las nuevas instalaciones a SP1 se puede aplicar el complemento conjunto integrado en los medios.(Si no lo posee, le recomendamos bajarlo ya con el SP1 incorporado).

Entre los puntos que encontramos en las mejoras luego de aplicar el SP1 al FIM 2010 R2, encontramos

Mejoras de Perfomance:
1) El tiempo que se tarda en actualizar  FIM 2010 R2 ha sido mejorada.
2) Los agentes de administración de Active Directory, FIM Agente de Gestión de Servicios, y Extensible Connectivity 2.1 se han optimizado para importar objetos con más valores de referencia de atributo (por ejemplo: grupos de miembros).
3) En los casos en que un agente de administración informa de los errores (MA), el rendimiento ha sido mejorado para que no se degraden con el tiempo.
4) Puede mejorar el rendimiento de su servicio FIM en un entorno que cuenta con un número importante de criterios basados ​​en grupos desplegados por la configuración.
 
Nuevos conectores FIM:
Se ha añadido los siguientes soportes a los agentes de cada funcionalidad:
1) Soporte para Active Directory 2012 en el caso del  agente de administración de Active Directory.
2) Soporte para SQL Server 2012 para el caso del agente de administración de SQL Server.
3) Soporte para Exchange 2013 a buzones de Exchange, al agente de administración de Active Directory.

4) Soporte para Sun y Oracle 7.x 11 ha sido incorporado al agente de administración para servidores Sun y Netscape Directory.

Servicios FIM y Reportes:
Se ha añadido soporte para los distintos servicios de FIM y los reportes:
1) Soporte para Windows Server 2012.
2) Soporte para SQL Server 2012.
3) Soporte para Internet Explorer 10.
4) Soporte para SharePoint Foundation 2013.

Ahora es requerimiento Microsoft. NET Framework 3.5 en el equipo donde se encuentre la publicación de la consola.

Para aquellos que desean realizar una actualización de la plataforma, Microsoft ha realizado una guía, que les recomendamos visitar: Release Notes for Forefront Identity Manager 2010 R2 SP1.

Si después de instalar esta actualización, extensiones de reglas y agentes de administración personalizadas (MAs)  que se basan en extensibles MA (ECMA1 o 2.0 de ECMA) dejan de funcionar y se produce un estado de ejecución de "detenido-extensión-dll-load." es un problema conocido y no debe asustarse. Este problema se produce al ejecutar dichas extensiones de reglas o MAs personalizadas después de cambiar el archivo de configuración para MIISServer.exe, Mmsscrpt.exe.config o Dllhost.exe.config. Por ejemplo, editar el archivo MIISServer.exe.config para cambiar el tamaño del lote de forma predeterminada para procesar las entradas de sincronización para el agente de administración de servicio de FIM. Microsoft en la KB 2772429 provee los pasos para resolver los problemas que puedan ocurrirle luego de aplicar el SP1.

En las pruebas que hemos realizado en el laboratorio, siguiendo las recomendaciones en la aplicación del SP1, no hemos tenido problemas como se menciona en la KB. Se recomienda hacer un backup de la instalación funcionando para realizar una vuelta atrás si el FIM 2010 R2 luego de aplicar el SP1 no es estable.
Aquellos que aún no han utilizado la plataforma, les recomiendo utilizar el escenario virtual, en donde pueden probar toda la tecnología Microsoft. A continuación les dejo unos sitios interesantes.

Links:

1) Descargar Microsoft Forefront Identity Manager 2010 R2 SP1
2) Service Pack 1 (compilación 4.1.3114.0) está disponible para Forefront Identity Manager 2010 R2
3) Curso en línea de FIM: Implementing Forefront Identity Manager 2010
4) Laboratorio Virtual: TechNet Virtual Lab: The FIM Experience
5) Laboratorio Virtual: TechNet Virtual Lab: Managing Users in the FIM Portal

Hasta la próxima.
Fuente: Microsoft

Nota: la KB 2772429 a sido actualizada, su última revisión es del 19/02/2013.

martes, 12 de febrero de 2013

Índice de Seguridad en Cómputo: Las personas no protegen su información personal en línea

En el día de hoy, se publicó la siguiente infografía que por su contenido es importante compartir.  Los usuarios deben ser más consciente con el manejo de la información si no quieren que la misma sea accedida por terceros. Microsoft lanzó los resultados de su segundo Índice de Seguridad en Cómputo (MCSI), en el que se muestra que más de la mitad de los encuestados a nivel global (55%) experimentan múltiples riesgos en línea, aunque sólo 16% dice que realizan de manera proactiva múltiples pasos que les ayudan a protegerse a ellos y a sus datos.


Si quieren acceder al contenido del artículo completo, visiten este sitio.

Hasta la próxima

Fuente: Microsoft

Actualizaciones plataforma Microsoft - FEBRERO 2013

En el día de hoy se ha publicado el boletín de seguridad de Microsoft, correspondiente al mes de FEBRERO 2013.
El boletín incluye 12 actualizaciones de seguridad, que corrigen 57 vulnerabilidades.

1) MS13-009: Actualización de seguridad acumulativa para Internet Explorer (2792100). Esta actualización de seguridad resuelve trece vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS13-010: Una vulnerabilidad en el lenguaje de marcado vectorial podría permitir la ejecución remota de código (2797052). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la implementación de Microsoft del lenguaje de marcado vectorial (VML). La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

3) MS13-011: Una vulnerabilidad en la descompresión de medios podría permitir la ejecución remota de código (2780091). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo multimedia especialmente diseñado (como un archivo .mpg), abre un documento de Microsoft Office (como un archivo .ppt) que contiene un archivo multimedia insertado especialmente diseñado o recibe contenido de transmisión por secuencias especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

4) MS13-012: Vulnerabilidades en Microsoft Exchange Server podrían permitir la ejecución remota de código (2809279). Esta actualización de seguridad resuelve vulnerabilidades de las que se ha informado de forma pública en Microsoft Exchange Server. La vulnerabilidad más grave se encuentra en Microsoft Exchange Server WebReady Document Viewing y podría permitir la ejecución remota de código en el contexto de seguridad del servicio de transcodificación en el servidor Exchange si un usuario obtiene una vista previa de un archivo especialmente diseñado mediante Outlook Web App (OWA). El servicio de transcodificación de Exchange que se usa para WebReady Document Viewing se ejecuta en la cuenta LocalService. La cuenta LocalService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. CLASIFICACION:CRITICA.

5) MS13-020: Una vulnerabilidad en la automatización OLE podría permitir la ejecución remota de código (2802968). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la automatización de vinculación e incrustación de objetos (OLE) de Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

6) MS13-013: Vulnerabilidades en el análisis de FAST Search Server 2010 for SharePoint podrían permitir la ejecución remota de código (2784242). Esta actualización de seguridad resuelve vulnerabilidades que se han divulgado de forma pública en Microsoft FAST Search Server 2010 for SharePoint. Las vulnerabilidades podrían permitir la ejecución remota de código en el contexto de seguridad de una cuenta de usuario con un token restringido. FAST Search Server for SharePoint solo está afectado por este problema cuando Advanced Filter Pack está habilitado. De forma predeterminada, Advanced Filter Pack está deshabilitado. CLASIFICACION:IMPORTANTE

7) MS13-014: Una vulnerabilidad en el servidor NFS podría permitir la denegación de servicio (2790978). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante intenta una operación de archivo en un recurso compartido de solo lectura. Un atacante que aprovechara esta vulnerabilidad podría provocar que el sistema afectado dejara de responder y se reiniciara. La vulnerabilidad solo afecta a Windows Server con el rol NFS habilitado. CLASIFICACION:IMPORTANTE

8) MS13-015: Una vulnerabilidad en .NET Framework podría permitir la elevación de privilegios (2800277). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privadaen .NET Framework. La vulnerabilidad podría permitir la elevación de privilegios si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones del explorador XAML (XBAP). La vulnerabilidad también la podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS). Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

9) MS13-016: Vulnerabilidades en el controlador modo kernel de Windows podrían permitir la elevación de privilegios (2778344). Esta actualización de seguridad resuelve 30 vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar las vulnerabilidades, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. CLASIFICACION:IMPORTANTE

10) MS13-017: Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2799494). Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en todas las versiones compatibles de Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar las vulnerabilidades, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. CLASIFICACION:IMPORTANTE

11) MS13-018: Una vulnerabilidad en TCP/IP podría permitir la denegación de servicio (2790655). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante sin autenticar envía un paquete de finalización de conexión especialmente diseñado al servidor. CLASIFICACION:IMPORTANTE

12) MS13-019: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor (CSRSS) de Windows podría permitir la elevación de privilegios (2790113) .Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.  CLASIFICACION:IMPORTANTE

Indice de Explorabilidad
Este índice refleja una evaluación de explotabilidad de cada una de las vulnerabilidades. Se recomienda revisar dicha tabla para entender como impacta la vulnerabilidad. Para analizar esa tabla sugerimos acceder al boletín oficial de Microsoft, de Febrero 2013, accediendo aquí.

Hasta la próxima.

Fuente : Microsoft.


















Actualizaciones plataforma Microsoft - ENERO 2013

Estimados, hemos comenzado el año y a partir de Febrero empezaremos a actualizar el blog con las novedades que nos depara el 2013 en cuestiones de seguridad.
Publicaremos las actualizaciones del mes de ENERO y el próximo artículo FEBRERO.
Las actualizaciones de ENERO 2013, ordenadas por criticidad,  son

1) MS13-008: Actualización de seguridad para Internet Explorer (2799329). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS13-001: Una vulnerabilidad en los componentes del servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2769369). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un servidor de impresión recibe un trabajo de impresión especialmente diseñado. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados directamente a Internet tengan expuesta una cantidad mínima de puertos. CLASIFICACION:CRITICA.

3) MS13-002: Vulnerabilidades en Microsoft XML Core Services podrían permitir la ejecución remota de código (2756145) . Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft XML Core Services. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. El atacante no podría obligar a los usuarios a visitar dicho sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. CLASIFICACION:CRITICA.

4) MS13-003: Vulnerabilidades en System Center Operations Manager podrían permitir la elevación de privilegios (2748552) Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft System Center Operations Manager. Las vulnerabilidades podrían permitir la elevación de privilegios si un usuario visita un sitio web afectado mediante una dirección URL especialmente diseñada. El atacante no podría obligar a los usuarios a visitar dicho sitio web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web afectado.CLASIFICACION:IMPORTANTE

5) MS13-004 : Vulnerabilidades en .NET Framework podrían permitir la elevación de privilegios (2769324) . Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privadaen .NET Framework. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un usuario visita una página web especialmente diseñada mediante un explorador web que pueda ejecutar aplicaciones XAML del explorador (XBAP). Las vulnerabilidades también las podrían usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del código (CAS). Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

6) MS13-005: Una vulnerabilidad en el controlador en modo kernel de Windows podría permitir la elevación de privilegios (2778930). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada.CLASIFICACION:IMPORTANTE

7) MS13-006: Una vulnerabilidad en Microsoft Windows podría permitir la omisión de característica de seguridad (2785220). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la implementación de SSL y TLS en Microsoft Windows. La vulnerabilidad podría permitir la omisión de la característica de seguridad si un atacante intercepta protocolos de enlace de tráfico web cifrado. CLASIFICACION:IMPORTANTE

8) MS13-007: Una vulnerabilidad en el protocolo Open Data podría provocar la denegación de servicio (2769327). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el protocolo Open Data (OData). La vulnerabilidad podría permitir la denegación de servicio si un usuario sin autentica envía solicitudes HTTP especialmente diseñadas a un sitio afectado. Los procedimientos recomendados para firewall y las configuraciones de firewall predeterminadas estándar pueden proteger a las redes de los ataques procedentes del exterior del perímetro de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos. CLASIFICACION:IMPORTANTE

Microsoft ha preparado una guía para detectar e implementar dichas actualizaciones. La misma cubre las opciones que podrían ser requeridas por su infraestructura para llevar a cabo una actualización ordenada. Les recomendamos revisar la KB 961747, o acceder al sitio desde acá.

Hasta la próxima.

Fuente: Microsoft








jueves, 3 de enero de 2013

Actualizaciones plataforma Microsoft - DICIEMBRE 2012

Estimados, como todos los meses, el segundo martes del mes, Microsoft  publica los boletines de seguridad. Este mes, contamos con los siguientes boletines:

1) MS12-077 : Actualización de seguridad acumulativa para Internet Explorer (2761465)  Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.
 
2) MS12-078 : Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código (2783534)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado o visita una página web malintencionada que inserta archivos de fuentes TrueType u OpenType. Tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico que lleve a los usuarios al sitio web del atacante. CLASIFICACION:CRITICA.
 
3) MS12-079: Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código (2780642)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo RTF especialmente diseñado con una versión afectada del software de Microsoft Office o bien obtiene una vista previa o abre un mensaje de correo electrónico RTF especialmente diseñado en Outlook con Microsoft Word como el visor de correo electrónico. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.
 
4) MS12-080: Vulnerabilidades en Microsoft Exchange Server podrían permitir la ejecución remota de código (2784126)  Esta actualización de seguridad resuelve vulnerabilidades de las que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en Microsoft Exchange Server. Las vulnerabilidades más graves se encuentran en Microsoft Exchange Server WebReady Document Viewing y podrían permitir la ejecución remota de código en el contexto de seguridad del servicio de transcodificación en el servidor Exchange si un usuario obtiene una vista previa de un archivo especialmente diseñado mediante Outlook Web App (OWA). El servicio de transcodificación de Exchange que se usa para WebReady Document Viewing se ejecuta en la cuenta LocalService. La cuenta LocalService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. CLASIFICACION:CRITICA.
 
 
5) MS12-081: Una vulnerabilidad en el componente de tratamiento de archivos de Windows podría permitir la ejecución remota de código (2758857)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario explora una carpeta que contiene un archivo o una subcarpeta con un nombre especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.
 
6) MS12-082: Una vulnerabilidad en DirectPlay podría permitir la ejecución remota de código (2770660)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante consigue convencer a un usuario para que vea un documento de Office especialmente diseñado con contenido incrustado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE
 
7) MS12-083: Una vulnerabilidad en el componente IP-HTTPS podría permitir la omisión de característica de seguridad (2765809)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la omisión de característica de seguridad si un atacante presenta un certificado revocado a un servidor IP-HTTPS usado de forma habitual en las implementaciones de Microsoft DirectAccess. Para aprovechar la vulnerabilidad, el atacante debe usar un certificado que haya emitido el dominio para la autenticación del servidor IP-HTTPS. Para el inicio de sesión en un sistema interno de la organización seguiría siendo necesario contar con credenciales del sistema o del dominio. CLASIFICACION:IMPORTANTE
 
 
Hasta la próxima.
 
Fuente: Microsoft