Les comparto este articulo escrito por Maria Teresa Ghiorzoe, nueva Security Program Manager para Latinoamérica.
Saludos,
Roberto Arbeláez
Chief Security Advisor for the Americas
Microsoft Corp.
-------
Hola, les escribe Maria Teresa Ghiorzoe.
A partir del 07 de Mayo y hasta mediados de Septiembre, a nuestros clientes pueden pedirles realizar una comprobación cuando utilizar una cuenta de Microsoft - cuentas como Xbox Live, Premier Online, VLSC, Outlook.com. Esto es para mejorar la seguridad y es necesario para proteger major a nuestros clientes.¿Por qué Microsoft me pide agregar información de seguridad a mi cuenta de Microsoft?Para ayudar a proteger su información personal, Microsoft les está pidiendo a todos los usuarios con una cuenta de Microsoft agregar información de seguridad (un número de teléfono o e-mail) para asegurarse de que la información de seguridad asociada con su cuenta es correcta y estáactualizada.¿Por qué tengo que añadir los detalles de seguridad en mi cuenta de Microsoft?Podemos usarlas para verificar su identidad, si hay algún problema. Por ejemplo, si usted olvida su contraseña, o alguien no autorizado intenta acceder a su cuenta, Microsoft utiliza la información de seguridad para ayudarle a acceder su cuenta nuevamente.¿Cuánto tiempo tengo que confirmar la información de mi seguridad?Usted tendrá 7 días para comprobar la información de seguridad. Si usted no tiene una cuenta verificada en el plazo de 7 días, su cuenta será bloqueada.¿Qué sucede si no confirmo mi información de seguridad dentro de 7 días?Usted no será capaz de acceder su cuenta de nuevo hasta que haya verificado la información de seguridad.¿Por qué importa tanto?Si cambia su cuenta y accede a diferentes dispositivos con frecuencia, como una computadora pública o compartida, su tableta, teléfono inteligente, tendrá que verificar que se trata de uno de sus "dispositivo de confianza". Una vez que el dispositivo sea verificado cómo "de confianza", no sera necesario comprobar el mismo ispositivo en el futuro.Para obtener más información, consulte ¿Qué es un dispositivo de confianza?¿Cómo se hace el control de seguridad?La verificación se realiza en dos pasos para mantener su cuenta más segura. En la verificación de dos pasos siempre se le pedirá un código de seguridad, y su contraseña. Si decide activar la verificación en dos pasos, es muy importante que su información de contacto alternativa es válida, ya que lo necesitará para obtener sus ódigos de seguridad. Para obtener más información, vea dos pasos de verificación: FAQ.Para comenzar con la adición de cuentas de seguridad de información, siga estos pasos:1. Ingresa a su cuenta Microsoft.2. En su página de cuenta, con la contraseña y la información de seguridad, toque o haga clic en Editar seguridad de la información.
Maria Teresa Ghiorzoe
Security Program Manager for Latin America
CSS Security
Hola, les escribe Roberto Arbeláez.
En muchos de los ataques avanzados persistentes (Advanced Persistent Threats) que Microsoft ha analizado a lo largo de los últimos años, uno de los patrones recurrentes que hemos encontrado es que después de haber logrado ingresar al sistema (muchas veces a través de ataques basados en ingeniería social como spear phishing y/o drive-by downloading) y de haber logrado el escalamiento de privilegios a través de la explotación de alguna vulnerabilidad en el sistema operativo, el siguiente paso es la utilización de ataques tipo pass-the-hash para robar credenciales que permitan comprometer otros componentes del sistema, y finalmente, comprometer al controlador de dominio y poder tener un control total sobre todo el sistema de información.
Microsoft recientemente publicó un documento:
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques
Donde se explican en detalle este tipo de ataques, y más importante aún, donde se discuten estrategias para manejar adecuadamente los posibles vectores de ataque y mitigar los riesgos inherentes al modelo de autenticación actual,a través de acciones específicas que permiten proteger el sistema.
Les recomiendo mucho que lo bajen y lo lean, pues hoy en día este tipo de ataques son un arma muy utilizada en el arsenal de los atacantes y es importante que la conozcamos y tomemos las medidas pertinentes para protegernos.
WWPS
A principios de esta semana, Microsoft Publicó el Security Advisory 275776 anunciando la existencia de una vulnerabilidad en Internet Explorer, y dando estrategias de mitigación y guías sobre cómo protegerse. El Miércoles pasado se lanzó una solución temporal Fix- it, que con un solo clic, reconfigura Internet Explorer protegiéndolo contra la explotación de ésta vulnerabilidad, dando a nuestros clientes una opción más para protegerse.
El día de hoy, Viernes 21 de Abril, Microsoft publicó el boletín de seguridad MS12-063 que soluciona de manera definitiva esta vulnerabilidad, así como otras cuatro (4) vulnerabilidades que no eran conocidas de manera pública.
Adicionalmente se publicó el Security Advisory 2755801, que anuncia una actualización solucionando vulnerabilidades en Adobe Flash Player en Internet Explorer 10 sobre Windows 8. La mayoría de los clientes tienen actualizaciones automáticas activadas y no será necesaria ninguna acción porque las protecciones se descargarán e instalará automáticamente. Los clientes que no utilicen las actualizaciones automáticas deben utilizar su software de administración de actualizaciones o acceder al servicio en línea Microsoft Update o Windows Update para protegerse.
Microsoft recomienda instalar la actualización tan pronto como sea posible.
Para las personas que debido a esta vulnerabilidad recomiendan migrar a otros navegadores, les recordamos que este tipo de vulnerabilidades afectan a todos los navegadores incluyendo a Google Chrome y Mozilla Firefox, así como a otras plataformas como las de Apple. Microsoft de manera diligente aplica las mejores prácticas de desarrollo seguro de software para minimizar la incidencia de vulnerabilidades en nuestro software, y para reducir el impacto de las vulnerabilidades que aparezcan; y una vez aparecen, desarrollamos rápidamente actualizaciones para solucionarlas de manera completa.
Asímismo, a través de nuestros canales de atención al clientes damos soporte de manera gratuita a todos nuestros clientes afectados por problemas de seguridad, siempre de manera rápida y eficiente.
Este tipo de incidentes son un claro ejemplo de nuestro compromiso con la seguridad y de la prioridad que le damos a asegurar nuestros productos y nuestra plataforma.
Como siempre, si cree que ha sido afectado, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aquí:
–Para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx
–Para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA
–Teléfonos de las líneas de soporte en Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la
es importante que tenga en cuenta que el soporte gratuito de seguridad también aplica para cualquier caso de seguridad y de malware (virus, troyanos, gusanos, etc.) sin importar que marca de antivirus use. Así que si ha sido afectado (o sospecha que han sido afectado) por un ataque de seguridad o por malware, no vacile en contactarnos. Nuestros ingenieros de soporte harán la investigación respectiva para determinar si el caso es o no un problema de seguridad y/o de malware, y en caso afirmativo, le darán pronta solución al problema.
También quiero aprovechar para extender una invitación para que nos sigan en twitter en los siguientes alias:
@LATAMSRC Información OFICIAL de Microsoft sobre alertas de seguridad, advisories, y boletines. Bajo volumen de twits (cuando se emitan alertas). En español.
@rarbelaez Información general de Seguridad. Alto volumen de twits. En español e inglés.
Ayer Microsoft publico el Documento Informativo de Seguridad (Security Advisory) 2757760: http://technet.microsoft.com/security/advisory/2757760
En este documento se describe una vulnerabilidad que afecta a Internet Explorer 7, 8 y 9, únicamente sobre sistemas operativos cliente (Windows XP, Vista y Windows 7), los sistemas operativos de servidor no se ven afectados (Windows server 2003, 2008 y 2008R2), debido a que ejecutan IE en modo restringido, lo que impide la ejecución de scripts cuando se usa el navegador desde estas plataformas.
Un ataque exitoso se puede presentar simplemente al navegar una página que contenga código JavaScript diseñado para explotar la vulnerabilidad. Por supuesto, se requiere que el usuario navegue a la página del atacante, y que tenga habilitada la funcionalidad de ejecución de código/scripts en su navegador para que el ataque sea exitoso.
Algunos consejos para mitigar el riesgo de ser afectado por esta vulnerabilidad:
1) Asegúrese de utilizar una cuenta de usuario con privilegios limitados para navegar. NUNCA se debería usar una cuenta de administrador para realizar labores cotidianas, y mucho menos para navegar. Esto aplica para cualquier sistema, y para cualquier navegador, es un principio básico de seguridad que se debería aplicar siempre, y que permite que en caso de ser afectado por un ataque, el daño sea limitado y de un impacto mucho menor.
2) Actualice su programa antivirus. Si usted es usuario de nuestro antivirus gratuito - Microsoft Security Essentials, o de Forefront Endpoint Protection, y lo ha actualizado hoy, ya está protegido. Si es usuario de otro antivirus, es muy posible que su fabricante también ya haya liberado una actualización que lo proteja contra esta vulnerabilidad. Puede obtener Microsoft Security Essentials de manera gratuita aquí: http://windows.microsoft.com/es-XL/windows/products/security-essentials
3) Instale EMET (Enhanced Mitigation Experience Toolkit). El EMET es una herramienta que mejora las características de seguridad de Internet Explorer; con su instalación, IE queda protegido contra esta vulnerabilidad. Puede obtener EMET aquí: http://support.microsoft.com/kb/2458544
4) Deshabilite la funcionalidad de ejecución automática de scripts (contenido activo) en Internet Explorer: En Herramientas -> Opciones de Internet -> Seguridad, puede configurar la seguridad de la zona de Internet en el nivel máximo (Seguridad Elevada). Esto hace que el navegador en vez de ejecutar automáticamente Active X, Active Script, JavaScript y otros tipos de scripts, le pregunte si desea o no ejecutarlos. Dejar el navegador configurado de esta manera permite tener un mayor control sobre lo que se ejecuta, y permite reducir de manera considerable el riesgo, no solo respecto a esta vulnerabilidad, si no a cualquier otra vulnerabilidad que pueda llegar a afectar al navegador. Por supuesto, no se deberían ejecutar nunca scripts en sitios no confiables o en los cuales no se piense hacer utilización de funcionalidad avanzada (por ejemplo, carritos de compra, o formularios).
Mas información sobre como configurar la seguridad de IE:
http://windows.microsoft.com/es-ES/windows-vista/Change-Internet-Explorer-Security-settings
En Microsoft, estamos trabajando para poder darle una solución definitiva a este problema lo más pronto posible.
Como siempre, si cree que ha sido afectado, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:
Microsoft publica los siguientes siete boletines de seguridad para vulnerabilidades recientemente descubiertas:
ID del boletín
Título del boletín
Calificación máxima de la gravedad
Impacto de la vulnerabilidad
Se requiere reinicio
Software afectado
MS12-036
La vulnerabilidad en el Escritorio remoto podría permitir la ejecución remota de códigos (2685939)
Crítica
Ejecución del código remoto
Requiere reinicio
Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS12-037
Actualización de seguridad acumulativa para Internet Explorer (2699988)
Internet Explorer en Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS12-038
La vulnerabilidad en .NET Framework podría permitir la ejecución remota de códigos (2706726)
Puede requerir reinicio
MS12-039
Las vulnerabilidades en Lync podrían permitir la ejecución remota de códigos (2707956)
Importante
Microsoft Communicator 2007 R2, Lync 2010, Lync 2010 Attendee y Lync 2010 Attendant.
MS12-040
La vulnerabilidad en Microsoft Dynamics AX Enterprise Portal podría permitir la elevación de privilegios (2709100)
Elevación de
privilegios
Microsoft Dynamics AX 2012 Enterprise Portal
MS12-041
Las vulnerabilidades en las unidades en modo de kernel de Windows podrían permitir la elevación de privilegios (2709162)
MS12-042
Las vulnerabilidades en Windows Kernel podrían permitir la elevación de privilegios (2711167)
Elevación de privilegio
Microsoft Windows XP, Windows Server 2003, Windows 7 y Windows Server 2008 R2.
Los resúmenes para los nuevos boletines se pueden encontrar en http://technet.microsoft.com/security/bulletin/MS12-jun.
Herramienta de Microsoft Windows para remover software malicioso
Microsoft libera una versión actualizada de la Herramienta de Microsoft Windows para remover software malicioso en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información en la Herramienta de Microsoft Windows para remover software malicioso se encuentra en http://www.microsoft.com/security/pc-security/malware-families.aspx.
Actualizaciones de alta prioridad que no son de seguridad
Las actualizaciones de alta prioridad que no son de seguridad que libera Microsoft estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallarán en el artículo de KB en http://support.microsoft.com/?id=894199.
Nuevo aviso de seguridad
Microsoft publicó un nuevo aviso de seguridad el martes, 12 de junio de 2012. Aquí está una descripción de este nuevo aviso de seguridad:
Aviso de seguridad 2719615
Las vulnerabilidades en Microsoft XML Core Services podrían permitir la ejecución remota de códigos
· Windows XP
· Windows Server 2003
· Windows Vista
· Windows Server 2008
· Windows 7
· Windows Server 2008 R2
· Microsoft Office 2003
· Microsoft Office 2007
Resumen ejecutivo
Microsoft está consciente de ataques activos que aprovechan una vulnerabilidad en Microsoft XML Core Services 3.0, 4.0, 5.0 y 6.0. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario visualiza una página Web especialmente preparada al usar Internet Explorer. Un agresor no tendría forma de obligar al usuario a visitar ese sitio Web. En lugar de esto, un atacante tendría que convencer a los usuarios de visitar el sitio Web, típicamente al logar que hagan clic en un vínculo en un mensaje de correo electrónico o Instant Messenger que les lleve a la página Web del atacante.
La vulnerabilidad existe cuando MSXML intenta acceder a un objeto en la memoria que no se ha inicializado, lo que puede dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario que inició la sesión.
Acciones recomendadas
Revisión del Aviso de seguridad de Microsoft 2719615 para una visión general del problema, detalles sobre los componentes afectados, factores atenuantes, acciones sugeridas, preguntas frecuentes (FAQ) y vínculos a recursos adicionales.
Mayores informes
http://technet.microsoft.com/security/advisory/2719615
Webcast del boletín público
Microsoft realizará una transmisión Web para abordar las preguntas de los clientes sobre estos boletines:
Puesto: Información sobre los Boletines de seguridad de junio de Microsoft (Nivel 200)
Fecha: Jueves, junio 14, 2012, 10:00 A.M. UTC/GMT -05 (Bogotá, Lima, Quito)
URL: https://www142.livemeeting.com/cc/microsoft/join?id=225SPM&role=attend
Detalles técnicos sobre el nuevo boletín de seguridad
En las siguientes tablas de software afectado y no afectado, habrá pasado el ciclo de vida de soporte de las ediciones de software que no aparezcan . Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web del Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.
Identificador del boletín
Boletín de seguridad de Microsoft MS12-036
Esta actualización de seguridad resuelve una vulnerabilidad en el Protocolo de escritorio remoto. La vulnerabilidad podría permitir la ejecución remota de códigos si un atacante envía una secuencia de paquetes RDP especialmente diseñados a un sistema afectado.
La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que el Protocolo de escritorio remoto procesa los objetos en la memoria.
Calificaciones de gravedad y software afectado
Esta actualización de seguridad se considera Crítica para todas las ediciones compatibles de Windows Server 2003 y Windows Server 2008; Crítica para Windows 7 para sistemas de 32 bits Service Pack 1 y Windows 7 para sistemas basados en x64 Service Pack 1, y Crítica para todas las ediciones compatibles de Windows Server 2008 R2. La actualización de seguridad también se considera Moderada para todas las ediciones compatibles de Windows XP y Windows Vista, y Moderada para Windows 7 para sistemas de 32 bits y Windows 7 para sistemas basados en x64.
Vectores de ataque
· Paquetes RDP especialmente diseñados.
Factores de migración
· RDP no está activado en cualquier sistema operativo por defecto.
· Las mejores prácticas de firewall y las configuraciones de firewall por defecto pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa.
Esta actualización requiere un reinicio.
Boletines reemplazados por esta actualización
MS11-065 y MS12-020.
Detalles completos
http://technet.microsoft.com/security/bulletin/MS12-036
Boletín de seguridad de Microsoft MS12-037
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y 12 vulnerabilidades reportadas de manera privada en Internet Explorer. Las vulnerabilidades más severas podrían permitir la ejecución remota de códigos si un usuario visualiza una página Web especialmente preparada al usar Internet Explorer.
La actualización corrige las vulnerabilidades al modificar la forma en que Internet Explorer trata los objetos en la memoria, la desinfección HTML usando toStaticHTML, la forma en que Internet Explorer entrega los datos durante determinados procesos y la forma en que Internet Explorer crea y inicializa cadenas.
Esta actualización de seguridad se considera Crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9 en los clientes de Windows y Moderada para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 e Internet Explorer 9 en servidores Windows.
· Una página Web preparada de manera maliciosa.
· Una página Web comprometida.
· Los sitios Web que aceptan u hospedan contenido o anuncios proporcionados por el usuario.
· Se debe persuadir a los usuarios de que visiten un sitio Web malicioso.
· La explotación sólo gana los mismos derechos de usuario que la cuenta que inició la sesión.
· De manera predeterminada, todas las versiones compatibles con Microsoft Outlook, Outlook Express y Windows Mail abren correos HTML en la zona de Sitios restringidos.
· De manera predeterminada, Internet Explorer en Windows 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecutan en modo restringido.
MS12-023
http://technet.microsoft.com/security/bulletin/MS12-037
Boletín de seguridad de Microsoft MS12-038
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de códigos en un sistema de cliente si un usuario visualiza una página Web especialmente preparada usando un explorador Web que pueda ejecutar las Aplicaciones del explorador XAML (XBAPs). La vulnerabilidad también podría ser utilizada por las aplicaciones de Windows .NET Framework al desviar las restricciones de la Seguridad de acceso a códigos (CAS).
La actualización de seguridad trata la vulnerabilidad al corregir la forma en que .NET Framework valida los datos pasados a los apuntadores de función.
Esta actualización de seguridad está calificada como Crítica para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5.1 y Microsoft .NET Framework 4 en todas las versiones con soporte de Microsoft Windows.
En un escenario de ataque al explorar la Web, el agresor podría albergar un sitio Web que contenga una página Web utilizada para explotar esta vulnerabilidad. Además, los sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad.
· Se debe convencer a los usuarios de que visiten el sitio Web de un agresor.
· Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían tener menos impacto que aquellos que operan con derechos de usuario administrativos.
· De manera predeterminada, IE en Windows 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecutan en modo restringido.
· Las aplicaciones estándar de .NET Framework no se ven afectados por esta vulnerabilidad.
Esta actualización puede requerir un reinicio.
Ninguno
http://technet.microsoft.com/security/bulletin/MS12-038
Boletín de seguridad de Microsoft MS12-039
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y tres vulnerabilidades reportadas de manera privada en Microsoft Lync. Las vulnerabilidades más severas podrían permitir la ejecución remota de códigos si un usuario visualiza contenidos compartidos con fuentes TrueType especialmente diseñados.
La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que se manejan archivos de fuentes True Type especialmente diseñados, corrigiendo la forma en que Microsoft Lync carga las bibliotecas externas, y modificando la forma en que la función SafeHTML desinfecta el contenido HTML.
Esta actualización de seguridad se considera Importante para Microsoft Lync 2010, Microsoft Lync 2010 Attendee, Microsoft Lync 2010 Attendant (32 bits) y Microsoft Lync 2010 Attendant (64 bits).
· Un archivo de fuente TrueType creado de manera malintencionada para CVE-2011-3402 y CVE-2012 0159.
· Un ataque de guiones entre sitios para CVE-2012-1858.
· Un archivo legítimo relacionado con Lync que se encuentra en el mismo directorio de red, como un archivo de biblioteca de enlace dinámico (DLL) especialmente diseñado.
· Microsoft no ha identificado factores atenuantes para CVE-2012-1858.
· Para CVE-2012-1849
o Se debe persuadir a un usuario que visite una ubicación de un sistema remoto de archivos o un uso compartido WebDAV y abrir un archivo legítimo (como un archivo .ocsmeet).
o El protocolo de intercambio de archivos, Server Message Block, es a menudo deshabilitado en el firewall perimetral.
http://technet.microsoft.com/security/bulletin/MS12-039
Boletín de seguridad de Microsoft MS12-040
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Dynamics AX Enterprise Portal. La vulnerabilidad podría permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada o visita un sitio Web especialmente diseñado. En caso de un ataque por correo electrónico, un atacante podría aprovechar esta vulnerabilidad mediante el envío de un mensaje de correo electrónico con una dirección URL especialmente diseñada al usuario del sitio específico de Microsoft Dynamics AX Enterprise Portal y convence al usuario que haga clic en la dirección URL especialmente diseñada.
La actualización de seguridad trata la vulnerabilidad al corregir la forma en que Microsoft Dynamics AX Enterprise Portal valida y limpia las entradas del usuario.
Esta actualización de seguridad está calificada como Importante para todas las versiones con soporte de Microsoft Dynamics AX 2012 Enterprise Portal.
· Un ataque de guiones entre sitios.
· No se puede aprovechar automáticamente mediante un correo electrónico, ya que un usuario debe hacer clic en una URL especialmente diseñada enviada en un mensaje de correo electrónico.
· Los usuarios de Internet Explorer 8 e Internet Explorer 9 que exploran un sitio de Microsoft Dynamics AX Enterprise Portal en la zona de Internet tienen un riesgo reducido.
· Por defecto, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 impide el ataque en la zona Internet. Sin embargo, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 no se deshabilita por defecto en la zona Internet.
http://technet.microsoft.com/security/bulletin/MS12-040
Boletín de seguridad de Microsoft MS12-041
Esta actualización de seguridad resuelve cinco vulnerabilidades en Microsoft Windows que podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada.
La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que los controladores en modo kernel de Windows validan la entrada pasada desde el modo de usuario y manejan la carga de fuentes TrueType, y mediante la introducción de la validación en tiempo de ejecución adicional para el mecanismo de la creación del hilado.
Esta actualización de seguridad está calificada como Importante para todas las versiones con soporte de Microsoft Windows.
· Una aplicación preparada de manera maliciosa.
· Un atacante debe tener credenciales válidas para iniciar una sesión y poder iniciar una sesión localmente para explotar esta vulnerabilidad.
MS12-018
http://technet.microsoft.com/security/bulletin/MS12-041
Boletín de seguridad de Microsoft MS12-042
Esta actualización de seguridad resuelve una vulnerabilidad privada y una pública en Microsoft Windows que podrían permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado y ejecuta una aplicación especialmente diseñada.
La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que el usuario de Windows de modo Scheduler se encarga de una solicitud de sistema en particular y la forma en que Windows maneja el BIOS ROM.
Esta actualización de seguridad se considera Importante para todas las ediciones de 32 bits de Windows XP y Windows Server 2003, Windows 7 para sistemas basados en x64 y Windows Server 2008 R2 para sistemas basados en x64.
· CVE-2012-0217 sólo afecta a versiones basadas en x64 de Intel en Windows 7 y Windows Server 2008 R2.
· CVE-2012-0217 no afecta a los sistemas con CPUs AMD o basados en ARM.
MS11-098 y MS11-068.
http://technet.microsoft.com/security/bulletin/MS12-042
Como siempre, si tiene problemas al bajar o instalar cualquier actualización, o problemas después de instalarlas, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:
También quiero aprovechar para exterder una invitación para que nos sigan en twitter en los siguientes alias:
La semana pasada se dió a conocer un nuevo malware con características técnicas bastante complejas, bautizado por sus descubridores como "Flame", que se ha utilizado en ataques altamente sofisticados y específicos. Hemos descubierto a través de nuestro análisis que algunos componentes del malware han sido firmados de manera fraudulenta por certificados digitales que permiten al software aparecer ante el sistema afectado como si hubieran sido producidos por Microsoft.
Un certificado digital no autorizado podría ser utilizado para suplantar contenido, realizar ataques de phishing o llevar a cabo el ataque de "man-in-the-middle" (hombre en el medio). Este problema afecta a todas las versiones compatibles de Microsoft Windows. Más información acerca de los ataques se presenta en los blogs externos de referencia en la parte inferior de este post.
Si bien la naturaleza de estos ataques sugiere que la gran mayoría de los clientes de Microsoft no están en riesgo con este malware, hemos tomado varias medidas para proteger a nuestros usuarios.
Microsoft ofrece una actualización para todas las versiones compatibles de Microsoft Windows. La actualización revoca la confianza de los siguientes certificados de CA intermedios:
La investigación de Microsoft de este asunto está en curso y daremos nuevas orientaciones en su caso.
Recomendaciones
Vínculos a recursos adicionales
Externos:
· Microsoft Aviso de seguridad 2718704 - Certificados digitales no autorizados podrían permitir la suplantación - http://technet.microsoft.com/security/advisory/2718704
· Blog de Microsoft Security Response Center (MSRC): http://blogs.technet.com/msrc
· Blog de Microsoft Malware Protection Center (MMPC): http://blogs.technet.com/mmpc
· Blog de Investigación y defensa de vulnerabilidad de seguridad (SRD): http://blogs.technet.com/srd
· Blog del equipo de Servicios de escritorio remoto (Terminal Services): http://blogs.msdn.com/b/rds
Como siempre, sicree que ha sido afectado, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:
Microsoft publicó los siguientes siete boletines de seguridad para vulnerabilidades recientemente descubiertas:
MS12-029
La vulnerabilidad en Microsoft Word podría permitir la ejecución de código remoto (2680352)
Microsoft Word 2003, Word 2007, Office Compatibility Pack, Office 2008 para Mac y Office para Mac 2011.
MS12-030
Las vulnerabilidades en Microsoft Office podrían permitir la ejecución de código remoto (2663830)
Microsoft Excel 2003, Excel 2007, Excel 2010, Excel Viewer, Office 2007, Office 2010, Office Compatibility Pack, Office 2008 para Mac y Office para Mac 2011.
MS12-031
Las vulnerabilidades en Microsoft Visio Viewer 2010 podrían permitir la ejecución remota de códigos (2597981)
Microsoft Visio Viewer 2010
MS12-032
La vulnerabilidad en TCP/IP podría permitir la elevación de privilegios (2688338)
Microsoft Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS12-033
La vulnerabilidad en Windows Partition Manager podría permitir la elevación de privilegios (2690533)
MS12-034
Actualización de seguridad combinada para Microsoft Office, Windows, .NET Framework y Silverlight (2681578)
Microsoft Office 2003, Office 2007, Office 2010, .NET Framework, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Silverlight 4 Y Silverlight 5.
MS12-035
Las vulnerabilidades en .NET Framework podrían permitir la ejecución remota de códigos (2693777)
Microsoft .NET Framework, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
Los resúmenes para los nuevos boletines se pueden encontrar en http://technet.microsoft.com/security/bulletin/MS12-may.
Microsoft publicó un nuevo aviso de seguridad el martes, 08 de mayo de 2012. Aquí está una descripción de este nuevo aviso de seguridad:
Aviso de seguridad 2695962
Acumulativo de actualizaciones para bits de interrupción de ActiveX
· Microsoft Windows XP
Microsoft publica un nuevo conjunto de bits de interrupción de ActiveX con este documento informativo. Esta actualización configura los bits de interrupción para el siguiente software de terceros:
· Solución VPN sin cliente de Cisco
· El identificador de clase (CLSID) de este control ActiveX es:
· {B8E73359-3422-4384-8D27-4EA1B4C01232}
http://technet.microsoft.com/security/advisory/2695962
Título: Información sobre los Boletines de seguridad de mayo de Microsoft (Nivel 200)
Fecha: Jueves, 10 de mayo 2012, 10:00 AM UTC/GMT -05 ( Bogotá, Lima, Quito)
URL: https://www142.livemeeting.com/cc/microsoft/join?id=7PFBCJ&role=attend
Boletín de seguridad de Microsoft MS12-029
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario abre un archivo RTF especialmente preparado. La actualización de seguridad corrige las vulnerabilidades al cambiar la forma en que Microsoft Office analiza los datos con formato RTF.
· Esta actualización de seguridad está calificada como Crítica para todas las versiones con soporte de Microsoft Word 2007.
· Esta actualización de seguridad también se considera Importante para todas las ediciones compatibles de Microsoft Word 2003, Microsoft Office 2008 para Mac y Microsoft Office para Mac 2011, y todas las versiones del Paquete de compatibilidad de Microsoft Office.
· Esta vulnerabilidad requiere que un usuario abra o tenga una vista previa abierta datos especialmente diseñados con formato RTF con una versión afectada de software de Microsoft Office.
· En caso de un ataque de correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía datos especialmente diseñados con formato RTF en el contenido de un mensaje de correo electrónico. La vulnerabilidad podría ser aprovechada cuando el mensaje RTF especialmente diseñado de correo electrónico está en vista previa o se abre en Outlook mientras se utiliza Microsoft Word como el visor de correo electrónico. Un atacante también podría aprovechar esta vulnerabilidad mediante el envío de un archivo RTF especialmente diseñado como archivo adjunto y convencer al usuario para que abra el archivo RTF especialmente diseñado. Tenga en cuenta que de forma predeterminada, Microsoft Word es el lector de correo electrónico en Outlook 2007.
· En el escenario de ataque basado en el Web, el agresor podría albergar un sitio Web que contenga un archivo de Office utilizada para intentar explotar esta vulnerabilidad. Además, los sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. En todos los casos, un agresor no tendría forma de obligar al usuario a visitar un sitio Web especialmente diseñado. En su lugar, un atacante tendría que convencerlos para que visiten el sitio Web, por ejemplo, al incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para que abran el archivo de Office especialmente diseñado.
· Un atacante que explote con éxito esta vulnerabilidad podrá conseguir los mismos derechos de usuario que el usuario actual. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían tener menos impacto que aquellos que operan con derechos de usuario administrativos.
· En caso de un ataque basado en la Web, un atacante no podría obligar a los usuarios a visitar un sitio Web malicioso. En su lugar, el atacante tendría que convencer a los usuarios a visitar el sitio Web, al hacer clic en un vínculo en un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio Web del atacante y, después, convencerlos para que abran el archivo de Office especialmente diseñado.
MS11-094, MS11-089 y MS10-079.
http://technet.microsoft.com/security/bulletin/MS12-029
Boletín de seguridad de Microsoft MS12-030
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y cinco vulnerabilidades reportadas de manera privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de códigos si un usuario abre un archivo en Office especialmente preparado. La actualización de seguridad trata las vulnerabilidades al corregir la forma en que Microsoft Excel valida los datos al abrir archivos en Excel especialmente preparados.
Esta actualización de seguridad se considera Importante para todas las ediciones compatibles de Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Office 2007, Microsoft Excel 2010, Microsoft Office 2010, Microsoft Office 2008 para Mac y Microsoft Office 2011 para Mac, y también se considera Importante para versiones compatibles de Microsoft Excel Viewer y el Paquete de compatibilidad de Microsoft Office.
· Estas vulnerabilidades requieren que un usuario abra un archivo especialmente diseñado de Excel con una versión afectada de Microsoft Excel.
· En caso de un ataque de correo electrónico, un atacante podría aprovechar esta vulnerabilidad mediante el envío de un archivo de Excel especialmente diseñado al usuario y le convence de que abra el archivo.
· En el escenario de ataque basado en la Web, el agresor tendría que albergar un sitio Web que contenga un archivo de Excel especialmente diseñado utilizado para intentar explotar esta vulnerabilidad. Además, los sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Un agresor no tendría forma de obligar al usuario a visitar un sitio Web especialmente diseñado. En su lugar, un atacante tendría que convencer a los usuarios para que visiten el sitio Web, por ejemplo, al incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para que abran el archivo de Excel especialmente diseñado.
· En un escenario de ataque basado en la Web, un atacante tendría que convencer a los usuarios a visitar el sitio Web malicioso, al hacer clic en un vínculo en un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio Web del atacante y, después, convencerlos para que abran el archivo de Excel especialmente diseñado.
· Un atacante que explote con éxito estas vulnerabilidades podría conseguir los mismos derechos de usuario que el usuario que inició la sesión. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían tener menos impacto que aquellos que operan con derechos de usuario administrativos.
· Estas vulnerabilidades no se puede aprovechar automáticamente mediante un correo electrónico. Para que un ataque tenga éxito el usuario debe abrir un archivo adjunto que se envía en un mensaje de correo electrónico.
MS11-096, MS11-094, MS11-089 y MS11-072.
http://technet.microsoft.com/security/bulletin/MS12-030
Boletín de seguridad de Microsoft MS12-031
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario abre un archivo en Visio especialmente preparado. La actualización de seguridad trata la vulnerabilidad al modificar la forma en que Microsoft Visio Viewer valida los datos al abrir archivos en Visio especialmente preparados.
Esta actualización de seguridad está calificada como Importante para todas las versiones con soporte de Microsoft Visio Viewer 2010.
· Esta vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado de Visio con una versión afectada de Microsoft Visio Viewer.
· En caso de un ataque de correo electrónico, un atacante podría aprovechar esta vulnerabilidad mediante el envío de un archivo de Visio especialmente diseñado al usuario y le convence de que abra el archivo.
· En el escenario de ataque basado en la Web, el agresor tendría que albergar un sitio Web que contenga un archivo de Visio especialmente diseñado utilizado para intentar explotar esta vulnerabilidad. Además, los sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Un agresor no tendría forma de obligar al usuario a visitar un sitio Web especialmente diseñado. En su lugar, un atacante tendría que convencer a los usuarios para que visiten el sitio Web, por ejemplo, al incitarles a hacer clic en un vínculo que les llevara al sitio del atacante y, después, convencerlos para que abran un archivo de Visio especialmente diseñado.
· De manera predeterminada, todas las versiones compatibles con Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren mensajes por correo HTML en la zona de sitios Restringidos. La zona de sitios Restringidos, que deshabilita secuencias de comandos y controles ActiveX, ayuda a reducir el riesgo de que un atacante pueda utilizar esta vulnerabilidad para ejecutar código malicioso. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, el usuario aún podría ser vulnerable a la explotación de esta vulnerabilidad a través de la posibilidad de un ataque basado en la Web.
· De manera predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecutan en modo restringido conocido como una Configuración de seguridad mejorada. Este modo soluciona esta vulnerabilidad.
· En un escenario de ataque basado en la Web, un atacante tendría que convencer a los usuarios a visitar el sitio Web, al hacer clic en un vínculo en un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio Web del atacante y convencerlos para que abran el archivo de Visio especialmente diseñado.
MS12-015
http://technet.microsoft.com/security/bulletin/MS12-031
Boletín de seguridad de Microsoft MS12-032
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente y una vulnerabilidad reportada de manera privada en Microsoft Windows. La más severa de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación preparada especialmente. La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que el Firewall de Windows se encarga de los paquetes de salida de transmisión y modificando el modo en que Windows TCP/IP se encarga de la unión de una dirección IPv6 a una interfaz local.
Esta actualización de seguridad está calificada como Importante para todas las ediciones con soporte de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
CVE-2012-0174 (Vulnerabilidad que pasa por encima del Firewall de Windows)
· Con el fin de utilizar esta vulnerabilidad, un atacante tendría que tener acceso a la subred local del equipo de destino. Un atacante podría utilizar otra vulnerabilidad para adquirir información sobre el sistema de destino o ejecutar código en el sistema de destino.
CVE-2012-0179 (Vulnerabilidad de doble liberación de TCP/IP)
· Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en el sistema. Un atacante podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad y tomar el control completo del sistema afectado.
· Microsoft no ha identificado factores atenuantes para esta vulnerabilidad.
MS11-083
http://technet.microsoft.com/security/bulletin/MS12-032
Boletín de seguridad de Microsoft MS12-033
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación preparada especialmente. La actualización de seguridad corrige la vulnerabilidad al corregir la manera en que Windows Partition Manager asigna los objetos en la memoria.
Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en el sistema y luego ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad y tomar el control completo del sistema afectado.
Un atacante debe tener credenciales válidas para iniciar una sesión y poder iniciar una sesión localmente para explotar esta vulnerabilidad.
http://technet.microsoft.com/security/bulletin/MS12-033
Boletín de seguridad de Microsoft MS12-034
Esta actualización de seguridad resuelve tres vulnerabilidades divulgadas de manera pública y siete vulnerabilidades reportadas de manera privada en Microsoft Office, Microsoft Windows, Microsoft .NET Framework y Microsoft Silverlight. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un documento especialmente diseñado o visita una página Web maliciosa que incorpore los archivos de fuentes TrueType. La actualización de seguridad corrige la más grave de estas vulnerabilidades al modificar la manera en que los componentes afectados especialmente diseñados manejan los archivos de fuentes TrueType y al modificar la manera en que GDI+ valida tipos de registro EMF e imágenes EMF especialmente diseñadas incrustadas dentro de los archivos de Microsoft Office.
· Esta actualización de seguridad se considera Crítica para todas las versiones compatibles de Microsoft Windows, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5.1 y Microsoft .NET Framework 4, excepto cuando se instala en las ediciones con Itanium de Microsoft Windows y Microsoft Silverlight 4 y 5.
· Esta actualización de seguridad se considera Importante para Microsoft Office 2003, Microsoft Office 2007 y Microsoft Office 2010.
CVE-2011-3402 (Vulnerabilidad al analizar las fuentes TrueType)
· En caso de un ataque basado en la Web, el intruso podría alojar un sitio Web especialmente diseñado que está diseñado para explotar esta vulnerabilidad y convencer a un usuario para que vea el sitio Web.
· En un escenario de ataque al uso compartido de archivos, un atacante podría proporcionar un archivo de documento especialmente preparado que esté diseñado para aprovechar esta vulnerabilidad, y convencer a un usuario para que abra el archivo del documento.
CVE-2012-0159 (Vulnerabilidad al analizar las fuentes TrueType)
· En caso de un ataque local, un atacante también podría aprovechar esta vulnerabilidad mediante la ejecución de una aplicación especialmente diseñada para tomar el control completo del sistema afectado.
CVE-2012-0162 (Vulnerabilidad en la asignación de buffer en .NET Framework)
· Escenario de ataque al navegar por la Web: Un atacante podría alojar un sitio Web especialmente diseñado que contenga una XBAP especialmente diseñada (aplicación del explorador XAML) que podría aprovechar esta vulnerabilidad y convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. También podría ser posible la visualización de contenido Web diseñado especialmente mediante titulares de anuncios tipo banner u otros métodos para hacer llegar contenido Web a los sistemas afectados.
· Escenario de ataque en aplicaciones Windows .NET: Esta vulnerabilidad también podría ser utilizada por las aplicaciones de Windows. NET al desviar las restricciones de la Seguridad de acceso a códigos (CAS).
CVE-2012-0164 (Vulnerabilidad en la comparación del índice en .NET Framework)
· Un atacante no autenticado podría enviar un pequeño número de peticiones especialmente diseñadas a un sitio afectado, causando una condición de negación de servicio.
CVE-2012-0165 (Vulnerabilidad en el tipo de registro GDI+)
· Escenario de ataque en la Web: Un intruso podría alojar un sitio Web especialmente diseñado que está diseñado para explotar esta vulnerabilidad con Internet Explorer y convencer a un usuario para que vea el sitio Web. Esto también podría incluir sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios Web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. También podría ser posible la visualización de contenido Web diseñado especialmente mediante titulares de anuncios tipo banner u otros métodos para hacer llegar contenido Web a los sistemas afectados.
· Escenario de un ataque de correo electrónico: un atacante podría aprovechar esta vulnerabilidad mediante el envío de un correo electrónico especialmente diseñado a los usuarios con Outlook, o mediante el envío de un documento de Office especialmente diseñado para el usuario y le convence de abrir el archivo o leer el mensaje.
· Los atacantes también podrían aprovechar esta vulnerabilidad alojando una imagen maliciosa en una red compartida y convencer a un usuario para navegar a la carpeta en el Explorador de Windows.
CVE-2012-0167 (Vulnerabilidad por desbordamiento de GDI+)
· Esta vulnerabilidad requiere que un usuario abra un documento especialmente diseñado de Office con una versión afectada de Microsoft Office.
· En caso de un ataque de correo electrónico, un atacante podría aprovechar esta vulnerabilidad mediante el envío de un archivo de Office especialmente diseñado al usuario y le convence de que abra el archivo.
· En el escenario de ataque basado en la Web, el agresor tendría que albergar un sitio Web que contenga un documento de Office especialmente diseñado utilizado para intentar explotar esta vulnerabilidad. Además, los sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido proporcionado por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad.
CVE-2012-0176 (Vulnerabilidad por doble liberación de Silverlight)
· Un atacante podría alojar un sitio Web especialmente diseñado que contenga una aplicación Silverlight especialmente diseñada que podría aprovechar esta vulnerabilidad y convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios Web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. También podría ser posible la visualización de contenido Web diseñado especialmente mediante titulares de anuncios tipo banner u otros métodos para hacer llegar contenido Web a los sistemas afectados.
CVE-2012-0180 (Vulnerabilidad con Windows y mensajes)
· Un atacante tendría que iniciar sesión en el sistema y luego ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad y tomar el control completo del sistema afectado.
CVE-2012-0181 (Vulnerabilidad con archivo de distribución del teclado)
CVE-2012-1848 (Vulnerabilidad con cálculo de la barra de desplazamiento)
CVE-2011-3402 (Vulnerabilidad en análisis de fuente TrueType) y CVE-2012-0159 (Vulnerabilidad en análisis de fuente TrueType)
· En caso de un ataque por navegación en la Web, un atacante no podría obligar a los usuarios a visitar estos sitios Web. En lugar de esto, un atacante tendría que convencer a los usuarios de visitar el sitio Web, típicamente al logar que hagan clic en un vínculo en un mensaje de correo electrónico o Instant Messenger que les lleve a la página Web del atacante.
· De manera predeterminada, todas las versiones compatibles con Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren mensajes por correo HTML en la zona de sitios Restringidos, que deshabilita las fuentes descargadas por sistema. Si un usuario hace clic en un vínculo de un mensaje de correo electrónico, el usuario aún podría ser vulnerable a la explotación de esta vulnerabilidad a través de la posibilidad de un ataque basado en la Web. La vulnerabilidad podría ser explotada si un usuario abre un archivo adjunto que se envía en un mensaje de correo electrónico.
· De manera predeterminada, Internet Explorer en Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 se ejecutan en modo restringido conocido como una Configuración de seguridad mejorada. Este modo soluciona esta vulnerabilidad sólo en Windows Server 2008 y Windows Server 2008 R2, y sólo en un escenario de ataque por navegación en la Web.
· En los sistemas en donde se ha aplicado MS11-044, se le preguntará a los usuarios antes de ejecutar las aplicaciones XBAP cuando estén en la zona de Internet de Internet Explorer. Un usuario debe hacer clic a esta solicitud con el fin de ejecutar la aplicación XBAP en su sistema.
CVE-2012-0165 (Vulnerabilidad en el tipo de registro GDI+) y CVE-2012-0167 (Vulnerabilidad de desbordamiento de GDI+)
· Un atacante que explote con éxito esta vulnerabilidad podrá conseguir los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían tener menos impacto que aquellos que operan con derechos de usuario administrativos.
CVE-2012-0180 (Vulnerabilidad de Windows y mensajes), CVE-2012-0181 (Vulnerabilidad de archivo de distribución de teclado) y CVE-2012-1848 (Vulnerabilidad de cálculo de la barra de desplazamiento)
MS11-029, MS12-018 y MS12-019.
http://technet.microsoft.com/security/bulletin/MS12-034
Boletín de seguridad de Microsoft MS12-035
Esta actualización de seguridad resuelve dos vulnerabilidades reportadas de manera privada en .NET Framework. Las vulnerabilidades podrían permitir la ejecución remota de códigos en un sistema de cliente si un usuario visualiza una página Web especialmente preparada usando un explorador Web que pueda ejecutar las Aplicaciones del explorador XAML (XBAPs). La actualización de seguridad corrige las vulnerabilidades al modificar la manera en la que el proceso de serialización de .NET Framework maneja los datos confiables y no confiables.
Esta actualización de seguridad se considera Crítica para todas las ediciones compatibles de Microsoft .NET Framework en todas las ediciones compatibles de Microsoft Windows.
· Escenario de ataque en la Web: Un atacante podría alojar un sitio Web especialmente diseñado que contenga una XBAP especialmente diseñada (aplicación del explorador XAML) que podría aprovechar esta vulnerabilidad y convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan u hospedan contenido o anuncios proporcionados por el usuario. Estos sitios Web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, en todos los casos, un atacante no podría obligar a los usuarios a visitar estos sitios Web. En lugar de esto, un atacante tendría que convencer a los usuarios de visitar el sitio Web, típicamente al logar que hagan clic en un vínculo en un mensaje de correo electrónico o en un mensaje por Instant Messenger que les lleve a la página Web del atacante. También podría ser posible la visualización de contenido Web diseñado especialmente mediante titulares de anuncios tipo banner u otros métodos para hacer llegar contenido Web a los sistemas afectados.
· En un escenario de ataque por navegación en la Web, un atacante tendría que convencer a los usuarios de visitar el sitio Web, típicamente al logar que hagan clic en un vínculo en un mensaje de correo electrónico o Instant Messenger que les lleve a la página Web del atacante.
· Para CVE-2012-0160: Las aplicaciones estándar de .NET Framework no se ven afectados por esta vulnerabilidad. Sólo aplicaciones especialmente diseñadas .NET Framework podrían aprovechar esta vulnerabilidad.
MS11-044, MS11-078, MS11-100 y MS12-016.
http://technet.microsoft.com/security/bulletin/MS12-035
Microsoft publica los siguientes seis boletines de seguridad para vulnerabilidades recientemente descubiertas:
Actualización de seguridad acumulativa para Internet Explorer (2675157)
Microsoft Internet Explorer en Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS12-024
La vulnerabilidad en Windows podría permitir la ejecución de código remoto (2653956)
MS12-025
La vulnerabilidad en .NET Framework podría permitir la ejecución remota de códigos (2671605)
MS12-026
Las vulnerabilidades en Unified Access Gateway (UAG) de Forefront podrían permitir la divulgación de información (2663860)
Divulgación de la información
Microsoft Forefront United Access Gateway 2010
MS12-027
La vulnerabilidad en los controles comunes de Windows podría permitir la ejecución remota del código (2664258)
Microsoft Office 2003, los componentes Web de Office 2003, Office 2007, Office 2010 (a 32 bits), SQL Server 2000, SQL Server 2005, SQL Server 2008, SQL Server 2008 R2, BizTalk Server, Commerce Server, Visual FoxPro 8.0, Visual FoxPro 9.0 y Visual Basic 6.0 Runtime.
MS12-028
La vulnerabilidad en Microsoft Office podría permitir la ejecución de código remoto (2639185)
Microsoft Office 2007, Works 9 y Works 6-9 File Converter.
Los resúmenes para los nuevos boletines se pueden encontrar en http://technet.microsoft.com/security/bulletin/MS12-apr.
Microsoft libera una versión actualizada de la Herramienta de Microsoft Windows para remover software malicioso en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información en la Herramienta de Microsoft Windows para remover software malicioso se encuentra en http://support.microsoft.com/?kbid=890830.
Título: Información sobre los Boletines de seguridad de abril de Microsoft (Nivel 200)
Fecha: Jueves, abril 12, 2012, 10:00 A.M. GMT / UTC -05 (Bogotá, Lima, Quito)
URL: https://www142.livemeeting.com/cc/microsoft/join?id=65ZP6C&role=attend
Boletín de seguridad de Microsoft MS12-023
Esta actualización de seguridad resuelve cinco vulnerabilidades reportadas de manera privada en Internet Explorer. Las vulnerabilidades más severas podrían permitir la ejecución remota de códigos si un usuario visualiza una página Web especialmente preparada al usar Internet Explorer.
La actualización de seguridad corrige las vulnerabilidades al modificar la manera en que Internet Explorer maneja la impresión de contenido HTML especialmente diseñado y la forma en que Internet Explorer trata los objetos en la memoria.
· Una página HTML especialmente diseñada.
· Mecanismos comunes de entrega: una página Web preparada de manera maliciosa, un archivo adjunto de un correo, un mensaje instantáneo, un uso compartido de un archivo peer-a-peer, un uso compartido de una red y/o una unidad de pulgar USB.
· Los usuarios tendrían que estar convencidos de visitar el sitio Web, típicamente al logar que hagan clic en un vínculo en un mensaje de correo electrónico o mensaje instantáneo que les lleva a la página Web del atacante.
· Los usuarios que cuenten con menos derechos tendrán un riesgo menor que aquellos con derechos administrativos.
· De manera predeterminada, todas las versiones compatibles con Outlook, Outlook Express y Windows Mail abren mensajes por correo HTML en la zona de Sitios restringidos.
· Internet Explorer 8 e Internet Explorer 9 no se ven afectados por CVE-2012-0170.
MS12-010
http://technet.microsoft.com/security/bulletin/MS12-023
Boletín de seguridad de Microsoft MS12-024
La vulnerabilidad en Windows podría permitir la ejecución remota de códigos (2653956)
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario o aplicación se ejecuta o instala un archivo especialmente diseñado, ejecutable portátil (PE) firmado en un sistema afectado.
La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que se lleva a cabo la función de Verificación de firma con código auténtico de Windows al verificar los archivos ejecutables portátiles.
Esta actualización de seguridad está calificada como Crítica para todas las versiones con soporte de Microsoft Windows.
· Un archivo PE especialmente preparado.
· Mecanismos comunes de entrega: una página Web preparada de manera maliciosa, un archivo adjunto de un correo, un mensaje instantáneo, un uso compartido de un archivo peer-a-peer, un uso compartido de una red y/o una unidad de pulgar USB
MS10-019
http://technet.microsoft.com/security/bulletin/MS12-024
Boletín de seguridad de Microsoft MS12-025
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de códigos en un sistema de cliente si un usuario visualiza una página Web especialmente preparada usando un explorador Web que pueda ejecutar las Aplicaciones del explorador XAML (XBAPs).
La vulnerabilidad podría permitir la ejecución remota de códigos en un sistema de servidor que ejecute IIS, si el servidor permite el procesamiento de páginas ASP.NET y un atacante consigue cargar una página ASP.NET especialmente diseñada en ese servidor y luego ejecuta la página, como podría ser el caso en un escenario de hospedaje Web. Esta vulnerabilidad también podría ser utilizada por las aplicaciones de Windows. NET al desviar las restricciones de la Seguridad de acceso a códigos (CAS).
La actualización de seguridad trata la vulnerabilidad al corregir la forma en que Microsoft .NET Framework valida los parámetros a pasar los datos a esa función.
Esta actualización de seguridad se considera Crítica para Microsoft .NET Framework 1.0 Service Pack 3, Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5.1 y Microsoft .NET Framework 4 en todas las ediciones compatibles con Microsoft Windows.
· Una aplicación de explorador XAML especialmente preparada.
· Una aplicación de Windows .NET especialmente preparada.
· Los usuarios tendrían que estar convencidos de visitar el sitio Web, convenciéndolos para que hagan clic en un vínculo en un mensaje de correo electrónico o mensaje instantáneo que les lleva a la página Web del atacante.
· De manera predeterminada, IE en Windows 2003, Windows 2008 y Windows 2008 R2 se ejecutan en modo restringido.
· De forma predeterminada, a los usuarios anónimos no se les permite cargar y ejecutar códigos de Microsoft .NET en IIS.
http://technet.microsoft.com/security/bulletin/MS12-025
Boletín de seguridad de Microsoft MS12-026
Esta actualización de seguridad resuelve dos vulnerabilidades reportadas de manera privada en Microsoft Forefront Unified Access Gateway (UAG). La más grave de las vulnerabilidades podría permitir la divulgación de información si un atacante envía una consulta especialmente diseñada para el servidor UAG.
La actualización de seguridad corrige las vulnerabilidades al modificar el código UAG para exigir una verificación adicional antes de redirigir a un usuario a otro sitio Web, y mediante la modificación de la configuración obligatoria predeterminada del servidor UAG para no permitir un acceso irrestricto a los recursos internos.
Esta actualización de seguridad se considera Importante para Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 y Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 Update 1.
· Sitio Web especialmente diseñado.
· Consulta HTTPS especialmente diseñada para el servidor UAG.
http://technet.microsoft.com/security/bulletin/MS12-026
Boletín de seguridad de Microsoft MS12-027
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en los controles comunes de Windows. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario visita un sitio Web con contenido especialmente diseñado para aprovecharse de la vulnerabilidad.
La actualización de seguridad corrige la vulnerabilidad mediante la desactivación de la versión vulnerable de los controles comunes de Windows y su sustitución con una nueva versión que no contiene la vulnerabilidad.
Esta actualización de seguridad se considera Crítica para todo el software compatible con Microsoft que incluyó los controles comunes de Windows en sus instalaciones por sistema.
· Un sitio Web especialmente diseñado.
· Un archivo de Office y/o WordPad especialmente diseñado.
· No se puede aprovechar automáticamente mediante un correo electrónico, ya que un usuario debe abrir un archivo contenido en un mensaje de correo electrónico.
MS09-004 sólo en SQL 2000.
http://technet.microsoft.com/security/bulletin/MS12-027
Boletín de seguridad de Microsoft MS12-028
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Office Microsoft Works. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario abre un archivo en Works especialmente preparado.
La actualización de seguridad corrige la vulnerabilidad al volver obsoleto al convertidor vulnerable de Microsoft Works. Los clientes deben utilizar la última versión del convertidor de Microsoft Works, que no se ve afectado por la vulnerabilidad. Después de instalar la actualización, los clientes con el convertidor obsoleto de Microsoft Works, que aún no han descargado la última versión del convertidor de Microsoft Works, se le solicitará intentar abrir un archivo de Works con instrucciones sobre cómo descargar la última versión del convertidor de Microsoft Works.
Esta actualización de seguridad se considera Importante para Microsoft Office 2007 Service Pack 2, Microsoft Works 9 y Microsoft Works 6-9 File Converter.
· Archivos .wps especialmente diseñados.
· No se puede aprovechar automáticamente mediante un correo electrónico, ya que un usuario debe hacer clic en un vínculo incluido en un mensaje de correo electrónico.
MS09-024 y MS10-105.
http://technet.microsoft.com/security/bulletin/MS12-028
Microsoft lo invita a asistir a nuestra presentación en español de los boletines de seguridad de este mes.
AGENDA:
Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados este mes a nivel mundial. Esta conferencia provee información técnica para clientes y en español, del equipo de Customer Service and Support - Security (CSS Security) de Microsoft.
INVITACIÓN
Security Bulletin Release Presentation - For clients and partners (In Spanish)
Registro:
https://www142.livemeeting.com/cc/microsoft/join?id=65ZP6C&role=attend
Jueves, 12 de Abril de 2012 10:00 A.M. UTC/GMT –05 (Bogotá, Lima, Quito) Duración: 30 Minutos
Hola,les escribe Roberto Arbeláez.
Ya hay indicios sobre la aparición de código de prueba de concepto (POC – Proof of Concept) que trata de explotar la vulnerabilidad CVE2012-002. Esta vulnerabilidad hace posible la ejecución remota de código explotando una debilidad en el protocolo RDP – Remote Desktop Protocol.
Aunque aún no ha sido confirmada por Microsoft, la aparición del código de prueba de concepto ha sido documentada en la web en artículos como éste de Sophos, y éste de Threat Post. La generación de una prueba de concepto que demuestre la viabilidad de explotación de una vulnerabilidad es un paso previo al desarrollo de un código de explotación que funcione de manera confiable.
Debido a que la vulnerabilidad es potencialmente explotable por un gusano autoreplicante, es posible que en el futuro cercano / mediano, aparezca malware de éste tipo que explote la vulnerabilidad de manera automática, posiblemente llevando a que se presenten infecciones masivas.
Esta vulnerabilidad ya fue parchada por el boletín de seguridad de Microsoft MS12-020, publicado el Martes 13 de Marzo de 2012, por lo que es necesario que todos nuestros clientes instalen esta actualización en sus sistemas lo mas pronto posible.
¿Que debo hacer para protegerme?
Cómo protegerme: Implementando de inmediato las soluciones temporales
Las soluciones temporales no corrigen la vulnerabilidad subyacente pero ayudan a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las siguientes soluciones temporales:
Solución #1: Deshabilitar Terminal Services, Escritorio remoto, Asistencia remota y la característica Lugar de trabajo remoto en Web de Windows Small Business Server 2003 si ya no se necesitan
Cómo deshabilitar Escritorio remoto manualmente: Deshabilitar Escritorio remoto
Cómo deshabilitar Escritorio remoto mediante Directiva de grupo: artículo 306300 de Microsoft Knowledge Base
Cómo deshabilitar Asistencia remota manualmente y con Directiva de grupo, vea el artículo de TechNet Asistencia remota.
Cómo deshabilitar Terminal Services y Lugar de trabajo remoto en Web de Windows Small Business Server 2003: Proteger la red de Windows Small Business Server 2003.
Solución # 2: Bloquear el trafico entrante al puerto TCP 3389 en el firewall perimetral de la empresa
El puerto 3389 se usa para iniciar una conexión con el componente afectado. Al bloquear este puerto en el firewall perimetral de la red, se contribuirá a proteger los sistemas situados detrás del firewall frente a los intentos de aprovechar esta vulnerabilidad. Esto puede proteger a las redes de los ataques que se originan fuera del perímetro de la empresa.
Para Windows XP y Windows 2003 Server: En Windows XP y Windows Server 2003, el Firewall de Windows puede proteger los sistemas individuales. De forma predeterminada, Firewall de Windows no permite conexiones a este puerto, menos en Windows XP Service Pack 2 cuando la característica de Escritorio remoto está habilitada. Para obtener información acerca de cómo deshabilitar la excepción de Firewall de Windows para Escritorio remoto en estas plataformas, vea el artículo de TechNet Habilitar o deshabilitar la regla de firewall de Escritorio remoto.
Para Windows Small Business Server 2003: Windows Small Business Server 2003 usa una característica denominada Lugar de trabajo remoto en Web. Esta característica usa el puerto TCP 4125 para escuchar conexiones RDP. Si usa esta característica, debe validar que este puerto también esté bloqueado para Internet además del puerto 3389.
Nota Es posible cambiar manualmente los componentes afectados para que usen otros puertos. Si ha realizado estas acciones, también debe bloquear esos puertos adicionales.
Solución #3: Habilitar la autenticación de nivel de red en sistemas que ejecuten ediciones compatibles de Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2
Puede habilitar la autenticación de nivel de red para impedir que los atacantes no autenticados aprovechen esta vulnerabilidad. Con la autenticación de nivel de red activada, un atacante primero debería autenticarse en Servicios de Escritorio remoto mediante una cuenta válida en el sistema de destino para que pudiera aprovechar la vulnerabilidad.
En el artículo 2671387 de Microsoft Knowledge Base hay disponible una solución Microsoft Fix it que automáticamente habilita esta solución temporal.
Para usar la autenticación de nivel de red, el entorno debe cumplir los siguientes requisitos:
Consecuencias de la solución provisional. Los equipos cliente que no admiten el protocolo de proveedor de compatibilidad para seguridad de credenciales (CredSSP) no podrán obtener acceso a los servidores protegidos con la autenticación de nivel de red. Nota Para los administradores que implementen esta solución provisional en un entorno de red mixto donde los sistemas Windows XP Service Pack 3 deban usar Escritorio remoto, vea el artículo de Microsoft Knowledge Base 951608 para obtener información acerca de cómo habilitar CredSSP en Windows XP Service Pack 3.
Para obtener más información acerca de la autenticación de nivel de red, incluido el modo de habilitar dicha autenticación mediante Directiva de grupo, vea el artículo de Technet Configurar la autenticación de nivel de red para las conexiones de Servicios de Escritorio remoto.
Cómo protegerme: Instalando la actualización tan pronto sea posible
Las actualizaciones de seguridad se pueden descargar del Catálogo de Microsoft Update. Microsoft siempre recomienda a sus clientes hacer pruebas en un laboratorio / entorno de pruebas controlado antes de liberar sus actualizaciones en el entorno de producción. En el caso de esta actualización, recomendamos darle la más alta prioridad, de manera que sea probada y liberada en producción lo antes posible.
Como siempre, si tiene problemas al bajar o instalar la actualización MS12-020 o cualquier otra actualización, o problemas después de instalarlas, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui: