martes, 9 de abril de 2013

Actualizaciones plataforma Microsoft - ABRIL 2013

Hoy 9 de abril, Microsoft ha publicado 9  boletines de seguridad. Las novedades que tenemos son:

1) MS13-028 : Actualización de seguridad acumulativa para Internet Explorer (2817183)  Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. Estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

2) MS13-029: Una vulnerabilidad en el cliente de Escritorio remoto podría permitir la ejecución remota de código (2828223)  Esta actualización de seguridad resuelve una vulnerabilidad en el cliente de Escritorio remoto de Windows de la que se ha informado de forma privada. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visualiza una página web especialmente diseñada. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

3) MS13-030: Una vulnerabilidad en SharePoint podría permitir la divulgación de información (2827663)  Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft SharePoint Server. La vulnerabilidad podría permitir la divulgación de información si un atacante determinar la dirección o la ubicación de una lista de SharePoint concreta y obtuviera acceso al sitio de SharePoint donde se mantiene la lista. Para aprovechar esta vulnerabilidad, el atacante debe poder atender las solicitudes de autenticación del sitio de SharePoint.
CLASIFICACION:IMPORTANTE

4) MS13-031: Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2813170)  Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades.
CLASIFICACION:IMPORTANTE

5) MS13-032: Una vulnerabilidad en Active Directory podría provocar la denegación de servicio (2830914)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Active Directory. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía una consulta especialmente diseñada al servicio de protocolo ligero de acceso a directorios (LDAP)
CLASIFICACION:IMPORTANTE

6) MS13-033: Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor (CSRSS) de Windows podría permitir la elevación de privilegios (2820917)  Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en todas las ediciones compatibles de Windows XP, Windows Vista, Windows Server 2003 y Windows Server 2008. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
CLASIFICACION:IMPORTANTE

7) MS13-034: Una vulnerabilidad en el Cliente de Microsoft Malware podría permitir la elevación de privilegios (2823482)  Esta actualización de seguridad resuelve una vulnerabilidad en el Cliente de Microsoft Antimalware de la que se ha informado de forma privada. La vulnerabilidad podría permitir la elevación de privilegios debido a los nombres de ruta de acceso que usa el Cliente de Microsoft Antimalware. Un atacante que consiga aprovechar esta vulnerabilidad podría ejecutar código arbitrario y tomar el control completo de un sistema afectado. De esta forma, el atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Para aprovechar esta vulnerabilidad, el usuario debe tener unas credenciales de inicio de sesión válidas. Los usuarios remotos no pueden aprovechar esta vulnerabilidad.
CLASIFICACION:IMPORTANTE

8) MS13-035: Una vulnerabilidad en el componente de saneamiento de HTML podría permitir la elevación de privilegios (2821818)  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la elevación de privilegios si un atacante envía un contenido especialmente diseñado a un usuario.
CLASIFICACION:IMPORTANTE

9) MS13-036: Vulnerabilidades en el controlador modo kernel podrían permitir la elevación de privilegios (2829996)
Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en el software de Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar las vulnerabilidades más graves, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local.
CLASIFICACION:IMPORTANTE


Hasta la próxima.
Fuente: Microsoft





martes, 2 de abril de 2013

¡Enhorabuena MVP de Microsoft 2013!

Buenas, ayer recibí el correo de Microsoft, otro año más en donde puedo decir orgullosamente, soy MVP.

Estimado/a Enrique Dutra,

Enhorabuena. Nos complace presentarle el programa de nombramiento MVP de Microsoft® de 2013. Este nombramiento se concede a los líderes excepcionales de la comunidad técnica que comparten de forma activa su experiencia de alta calidad y de la vida real con otras personas. Le agradecemos especialmente la contribución que ha realizado en las comunidades técnicas en el área de Enterprise Security a lo largo del pasado año.


El programa de nombramiento de MVP de Microsoft nos proporciona una oportunidad única de celebrar y reconocer sus aportaciones importantes, así como de decir “Gracias por su liderazgo técnico”.
Comparto con Ustedes este nombramiento, a quienes aportan y usan este blog como material de consulta y en sus trabajos. Desde ya agradezco a Microsoft el haberme tenido en cuenta este nuevo año, ya que orgullosamente recibo esta nominación desde el año 2006.
Hasta la próxima!

MS Windows 8 - Soporte UEFI


Introducción
Al estrenar mi nueva Lenovo T430u, detecto que soporta UEFI. Bien, ya viene con MS Windows 8 preinstalado, analizaremos esta nueva característica de hardware.


¿Cómo detectar que el equipo soporta UEFI?
Cuando ingresamos a la BIOS del equipo observamos que la característica UEFI está activada. (Esto puede diferir un poco, depende de la marca del equipo).


 

¿Qué significa UEFI?
UEFI es el acrónimo de Unified Extensible Firmware Interface. Es una especificación diseñada por Intel, que reemplaza a la vieja BIOS (Basic Input-Output System). Esta nueva forma de arranque del equipo tiene elementos nuevos en el arranque de la plataforma (hardware y su firmware). Windows 8 da soporte a UEFI para alcanzar tiempos de arranque muy cortos. Pensando que el arranque era muy rápido por el disco de estado sólido, en realidad UEFI brinda un soporte importante en el arranque del equipo, que una vez iniciado el mismo, inmediatamente nos está pidiendo el usuario y la contraseña.
 
UEFI define la interfaz de firmware de la siguiente generación de ordenadores personales. El Sistema Básico de Entrada y Salida (BIOS) del firmware, originalmente escrito en assembler y el uso de interrupciones de software para E / S, ha definido el ecosistema PC desde sus inicios - pero los cambios en el panorama de la computación han allanado el camino para un "firmware moderno", definición para dar paso a la nueva generación de tablets y dispositivos.

La integridad de la arquitectura de la plataforma de Microsoft crea una raíz de confianza con el firmware de la plataforma con el arranque de UEFI seguro y los certificados almacenados en el firmware. Una tendencia creciente en la evolución de las hazañas de malware se dirige a la ruta de inicio como un vector de ataque preferido. Esta clase de ataque ha sido difícil de evitar, ya que los productos antimalware pueden ser desactivados por el software malicioso que les impide que se carguen por completo. Con Windows 8 de arquitectura de arranque seguro y la creación de una base de confianza, el cliente está protegido contra código malicioso que se ejecuta en la ruta de inicio, asegurando que sólo firmando con el certificado como "bueno conocido", código y gestores de arranque puede ejecutar antes de que el sistema operativo se cargue.

Boot Seguro
UEFI tiene un proceso de validación de firmware, llamado arranque seguro, que se define en el capítulo 27 de la especificación UEFI 2.3.1. Secure Boot define cómo firmware de la plataforma la que gestiona los certificados de seguridad, validación de firmware y una definición de la interfaz (protocolo) entre el firmware y el sistema operativo.



 
En la arquitectura de la plataforma de Microsoft, se crea una raíz de confianza con firmware de la plataforma con el arranque de UEFI seguro y los certificados almacenados en el firmware. Una tendencia creciente en la evolución de las hazañas de malware se dirige a la ruta de inicio como un vector de ataque preferido. Esta clase de ataque ha sido difícil de evitar, ya que los productos antimalware pueden ser desactivado por el software malicioso que les impide que se carguen por completo.


Cómo funciona?
En el encendido de un PC se inicia el proceso de ejecutar el código que configura el procesador, la memoria y dispositivos periféricos de hardware en preparación para el sistema operativo. Este proceso es consistente a través de todas las plataformas, independientemente de las arquitecturas de silicio subyacentes (x86, ARM, etc.)

Poco después de que el sistema está encendido, y antes de traspaso al cargador del sistema operativo, el firmware verificará la firma del código de firmware que existe en el hardware periférico, como tarjetas de red, dispositivos de almacenamiento o tarjetas de vídeo. Este código de dispositivo, llamado ROM Options, continuará el proceso de configuración, garantizando que el periférico está preparado para el traspaso al sistema operativo.

Durante esta parte del proceso de arranque de firmware si existe otra firma incrustada dentro del módulo de firmware, al igual que una aplicación, y si esa firma coincide en contra de una base de datos de firmas de firmware, se deja de ejecutar. Estas firmas se almacenan en bases de datos en el firmware. Estas bases de datos son las listas "permitido" y "No permitido" que determinan si el proceso de arranque puede continuar.

Resumen
Lo interesante de esta funcionalidad, es que al estar activada no estamos protegiendo de los malware que modifican los sectores de arranque y que de alguna manera toman posesión de los S.O al inicio. Para aquellos que disponen de esta funcionalidad, se las recomiendo. Otra ventaja que posee, es que si sacan el disco y lo quieren iniciar desde otro equipo, no van a poder, porque aunque tenga la funcionalidad UEFI activada, los certificados generados por el S.O no van a servir.

 

Hasta la próxima!

 

Les dejo link útiles
UEFI Site http://www.uefi.org

Protecting the pre-OS environment with UEFI http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

 

Actualizaciones plataforma Microsoft - MARZO 2013

En el mes de Marzo tuvimos el boletín de Ms con las siguiente actualizaciones:

1) MS13-021: Actualización de seguridad acumulativa para Internet Explorer (2809289) . Esta actualización de seguridad resuelve ocho vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS13-022: Una vulnerabilidad en Silverlight podría permitir la ejecución remota de código (2814124). Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Silverlight. La vulnerabilidad podría permitir la ejecución remota de código si un atacante hospeda un sitio web que contenga una aplicación de Silverlight especialmente diseñada que pudiera aprovechar esta vulnerabilidad y convence a un usuario de que visite el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Los sitios web de este tipo podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de un mensaje de Instant Messenger que los lleve al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados. CLASIFICACION:CRITICA.

3) MS13-023: Vulnerabilidades en SharePoint podrían permitir la elevación de privilegios (2780176). Esta actualización de seguridad resuelve cuatro vulnerabilidades de las que se ha informado de forma privada en Microsoft SharePoint y Microsoft SharePoint Foundation. Las vulnerabilidades más graves podrían permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada que lo dirige a un sitio de SharePoint atacado. CLASIFICACION:CRITICA.

4) MS13-025: Una vulnerabilidad en Microsoft OneNote podría permitir la divulgación de información (2816264) . Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft OneNote. La vulnerabilidad podría permitir la divulgación de información si un atacante convence a un usuario de que abra un archivo de OneNote especialmente diseñado. CLASIFICACION:IMPORTANTE

5) MS13-026: Una vulnerabilidad en Microsoft Office para Mac podría permitir la divulgación de información (2813682) . Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office para Mac. La vulnerabilidad podría permitir la divulgación de información si un usuario abre un mensaje de correo electrónico especialmente diseñado. CLASIFICACION:IMPORTANTE

6) MS13-027: Vulnerabilidades en los controladores modo kernel podrían permitir la elevación de privilegios (2807986). Esta actualización de seguridad resuelve tres vulnerabilidades de las que se ha informado de forma privada en Microsoft Windows. Estas vulnerabilidades podrían permitir la elevación de privilegios si un atacante obtiene acceso a un sistema. CLASIFICACION:IMPORTANTE

Hasta la próxima.

Fuente: Microsoft