Hola a todos,

como actualización a la información entregada anoche, hoy hemos liberado el boletin MS08-67.

Esta actualización resuelve una vulnerabilidad al servicio Server de Windows que afecta todas las versiones actualmente soportados de estos sistemas operativos. Windows XP y versiones anteriores esto tienen una importancia máxima de “Critica” mientras que para Windows Vista y versiones más nuevas esta categorizada como “Importante”. Más detalle al respecto puede ser encontrada en el blog de MSRC, así como en el boletín en si.

Recomendamos a todos nuestros clientes que se dirijan al sitio de Seguridad de Microsoft para Latinoamerica: www.microsoft.com/latam/seguridad/ para revisar las acciones recomendadas.

La recomendación principial es probar e instalar la actualización de seguridad lo antes posible.

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

Escribe Christian Linacre y cómo Uds. probablemente ya saben nuestro trabajo no termina con la liberación de una actualización de seguridad. Nuestros equipos de respuesta, en toda la región así como a nivel mundial a través del Centro de Respuesta de Seguridad de Microsoft (MSRC) siguen monitoreando la situación para entender tanto como sea posible respecto de las amenazas en el ambiente así como conocer el estado de instalación de las actualizaciones de seguridad.

Basado en la última información disponible al día de hoy, queremos darles una actualización de estado general. Esto en base a que Uds. como clientes nos han dicho que es mejor recibir información en la medida que las cosas van ocurriendo.

En términos de la actualización de seguridad en sí, estamos viendo altas tasas de instalación en toda Latinoamérica. Tampoco hemos recibido reportes o quejas de problemas conocidos con la actualización de seguridad a esta altura.

En términos del ambiente general de amenazas, no hemos vista ningún cambio significativo. Estamos al tanto de que hay gente trabajando para desarrollar y publicar código de explotación confiable para esta vulnerabilidad. También estamos al tanto acerca de código publicado en un sitio web público, pero nuestros análisis han mostrado que ese código resulta en un ataque de denegación de servicio para demostrar la vulnerabilidad. Hasta el momento, no hemos visto evidencia pública de un código de explotación que muestre ejecución de código de manera confiable.

Adicionalmente, no estamos informados de ningún ataque masivo o un nuevo malware que busque explotar esta vulnerabilidad desde que liberamos la actualización de seguridad el Jueves pasado. A pesar de que han habido un par de reportes de un “nuevo gusano” (o worm) esos reportes son inexactos: ellos hablan acerca de un malware que el MSRC encontró en nuestra investigación de los ataques limitados y dirigidos de los que se habló el el comunicado del día Jueves. Específicamente, esos reportes hablan de TrojanSpy:Win32/Gimmiv.A y TrojanSpy:Win32/Arpoc.A (que es el ataque específico asociado con Exploit:Win32/MS08067.gen!A). Ambos son troyanos y no gusanos que se multipliquen automáticamente.

Mientras que las instalaciones de las actualizaciones han ocurrido de manera rápida y relativamente sin problemas, y el ambiente de amenazas no ha cambiado mayormente desde el Jueves, no queremos que nuestros clientes tomen esto como una señal de que deben disminuir el paso o incluso demorar la instalación de la actualización. Esta es una vulnerabilidad Crítica que ha sido atacada activamente, aunque sea en ataques limitados y dirigidos. Esas fueron las razones para liberar una actualización fuera de programación y es po lo mismo que seguimos instando a nuestros clientes a probar e instalar la actualización lo antes posible.

Más aún, nosotros no estamos relajando nuestra vigilancia en Microsoft. Nuestros equipos alrededor del mundo y Latinoamérica continuan trabajando todo el día y la noche revisando y vigilando cualquier cambio en el ambiente de amenazas o problemas que puedan impactar a nuestros clientes o la capacidad de ellos para instalar la actualización. Como simpre, pueden seguir pendientes de las noticias en este mismo blog o en el del MSRC (en inglés) donde informaremos cualquier cambio en la situación.

Gracias,

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

  Hola a todos,

como muchos saben los segundos martes de cada mes anunciamos las actualizaciones de seguridad de nuestra plataforma para ese mes. Estas actualizaciones son comunicadas mensualmente en nuestro newsletter de seguridad y se publican en: www.microsoft.com/latam/seguridad/

Durante los últimos días hemos recibido preguntas de algunos clientes y socios que han estado recibiendo correos electrónicos que dicen ser de “Seguridad de Microsoft”. El correo en cuestión viene adicionalmente con un archivo adjunto que es un ejecutable que reclama ser la última actualización de seguridad y anima al lector del correo a ejecutarla dado que con ello estará seguro.

Si bien los correos falsos con falsas notificaciones no son novedad, ya que han sido un problema por años. Este en particular viene firmado por Steve Lipner, director de Seguridad de Microsoft, y viene con un segmento de firma que aparenta ser PGP y la dirección de envío es securityassurance@microsoft.com. 

Este correo es sin lugar a ninguna duda SPAM, que en un intento por aumentar la credibilidad incluye firmas de gente y simula esta firma PGP. Adicionalmente, al tradicional spam este incluye una forma de malware o software malicioso, que en específico es Backdoor:Win32/Haxdoor. Actualmente, nuestras soluciones de seguridad (Windows Defender, Microsoft Malicious Software Removal Tool (MSRT), Microsoft Forefront Security for Exchange Server, Microsoft Forefront Client Security, Windows Live OneCare, y Windows Live OneCare Safety) tienen vacunas para limpiar este tipo de infección. Más detalles se pueden encontrar en el Malware Protection Center y aprovecho de recordarles que todos pueden enviar muestras de malware o con sospechas de contaminación, aquí.

Dejando de un lado el mail falso en si, quiero recordarles cuales son nuestras prácticas de comunicación respecto de los boletines y las actualizaciones de seguridad.

Primero, NUNCA, pero NUNCA enviamos archivos adjuntos en la comunicación de las actualizaciones de seguridad. Además, por política interna de Microsoft nunca enviaremos un ejecutable como archivo adjunto. Las formas de obtener las actualizaciones son:

• Sitios de seguridad de Microsoft (solo del dominio Microsoft.com)
• Windows Updates
• Instalación interna en oficinas del usuario a través de WSUS o System Center

Segundo, las notificaciones de boletines de seguridad se envían como texto plano, nunca HTML. Si le llega algo como HTML anunciando ser las actualizaciones del mes, bórrelo.

Tercero,  si bien nosotros usamos PGP para firmar las notificaciones, que venga un bloque de texto en el mail no siginifica que sea válido. Para verificar la autenticidad de un mail que dice ser firmado con PGP puede utilizar nuestras herramientas disponibles aquí.

Finalmente, si la duda lo asalta, pregunte. Si le llega un mail y no sabe si es legítimo vaya a los sitios de Microsoft y verifique. Dónde? Puede revisar en www.microsoft.com/latam/seguridad. Sino cualquier duda adicional, en este mismo blog.

Si tiene dudas adicionales, no deje de revisar el sitio de soporte de Microsoft: http://support.microsoft.com/contactus donde podrá encontrar los centros de soporte y ayuda.

Espero esto les sirva para prevenirse de ataques como este y les ayude a protegerse mejor.

Dudas o comentarios bienvenidos.

Saludos, Christian.-

Hola a todos,

escribe Christian Linacre revisando las últimas noticias respecto de la vulnerabilidad publicada en el boletín MS08-067. Actualmente, seguimos viendo altas tasas de instalación y sin problemas reportados de compatibilidad. Microsoft le recomienda a sus clientes que apliquen la actualización lo más pronto posible y con mayor urgencia.

Como siempre y como dije en un post anterior, nosotros continamos monitoreando  el ambiente y tenemos visibilidad de una cantidad limitada y especifica de ataques e investigaciones iníciales confirman que sólo afecta a las versiones de Windows 2000, Windows XP, y Windows Server 2003 que no aplicaron la actualización detallada en MS08-067. Los sistemas que corren Microsoft Vista y Windows Server 2008 no se ven afectados. Microsoft ha activado su Proceso de Respuesta a Incidentes de Seguridad de Software y continúa investigando este tema. Adicionalmente, actualizamos Windows Live Safety Scanner, Windows Live One Care, y los productos de seguridad Forefront con protecciones para clientes. Esto está reportado en el documento informativo 958963.

Como siempre la seguridad de los computadores de nuestros clientes es una prioridad principal y continuamos enfocando nuestros esfuerzos para mejorar la seguridad de nuestro software, mejorar el proceso de actualización, así como ofrecer información oportuna y reciente para ayudar que los sistemas de nuestros clientes sean más seguros y estén preparados para amenazas inminentes. Con esta información esperamos impulsar a los usuarios para que tomen acción y protejan sus bienes.

Los usuarios pueden asegurarse que las actualizaciones están siendo instaladas mediante las Actualizaciones Automáticas de Windows o utilizando su infraestructura de instalación en su empresa o pequeño negocio.
Los usuarios que crean estar infectados o no están seguros deberían visitar Safety.live.com y elegir "Protection Scan". Adicionalmente, Windows Live OneCare de Microsoft, provee detección contra esta amenaza.

Recomendamos que todos nuestros clientes instalen las más recientes actualizaciones de seguridad distribuidas por Microsoft para asegurar que sus sistemas están protegidos. Los clientes que tienen habilitados las actualizaciones automáticas recibirán todas las actualizaciones de manera automática. Para más información acerca de las actualizaciones de seguridad visite el sitio de Seguridad de Microsoft: www.microsoft.com/latam/seguridad/

Gracias,

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola

este nuevo blog estará especialmente dedicado a noticias de seguridad, relativas a Microsoft como a tendencias de industria.

La idea es que sea un espacio de discusión así como de comunicación relativo al tema.

Espero sus sugerencias y comentarios.

Saludos, Christian.-

Se que muchos ya están suscritos al Newsletter de Seguridad, pero para quienes aún no lo estén les comparto la edición de Octubre.

Los invito a suscribirse y estar al día con las últimas novedades en: www.microsoft.com/latam/technet/boletin/seguridad/

Reduce las vulnerabilidades de tus aplicaciones ¿Hay innovación posible en seguridad? Claramente es necesario que la haya. Por eso, en pocas semanas, en el marco del Microsoft Security Development Lifecycle (SDL) se presentarán tres nuevas iniciativas orientadas a la industria: SDL Pro Network, SDL Optimization Model y SDL Threat Modeling Tool 3.0, una herramienta que permitirá un estructurado análisis de los riesgos potenciales en una aplicación determinada, considerando cuál sea la arquitectura sobre la que esté corriendo, para implementar tempranamente todas las estrategias de mitigación necesarias. Quiero recordarte que SDL ha sido concebido tanto para incrementar permanentemente los resguardos a la seguridad de los sistemas y la privacidad de los usuarios a partir de la introducción de mejoras en los productos Microsoft, y es a la vez una plataforma de conocimientos, buenas prácticas y soluciones para que otras empresas puedan crear software confiable. En lo que a nosotros refiere, gracias a esto hemos reducido en un 45% las vulnerabilidades descubiertas en el primer año de vida de Windows Vista versus Windows XP, se redujeron, prácticamente en un 100% en SQL Server, y un 63% en IE7 respecto de IE6. ¿Estás observando la seguridad de las aplicaciones que se crean en tu organización? Apóyate en SDL para estar más seguro.   Christian Linacre Gerente de las Iniciativas de Seguridad y Privacidad Microsoft Latinoamérica christian.linacre@microsoft.com   ¿Qué es lo que piensas del Newsletter de Seguridad? Déjanos tus comentarios aquí... Buenas prácticas corporativas La seguridad de los datos y transacciones depende en gran parte de establecer buenas prácticas para su protección. Consulta esta recopilación de documentos, que te servirá de guía para implementarlas con éxito. Más información. Correo Protegido Una vía directa para la entrada de todo tipo de agresiones es el correo electrónico, por lo que debe ser un área de máximo cuidado. En esta guía se detallan todos los procedimientos, funcionalidades y configuraciones que hacen de Microsoft Exchange Server 2007 la plataforma de comunicaciones más segura. Más...  ¿Sus empleados instalan software ilegal o inconveniente? Este es un problema recurrente, y que compromete la seguridad corporativa: usuarios que instalan programas que nada tienen que ver con su tarea específica en la empresa, o intercambian archivos con otros usuarios externos (a través de redes P2P) o ejecutan software sin control. Luis Montenegro, MVP Microsoft, aborda esta problemática en profundidad, utilizando herramientas de seguridad nativas de Active Directory. ¡Descúbrelo! ¡Warning! Si recibes un mail con el asunto “Seguridad de Microsoft” y un archivo adjunto, ten cuidado, se trata de spam. ¡Infórmate! Remover software malicioso El MSRT (Microsoft Windows Malicious Software Removal Tool) revisa una computadora que corre Windows Vista, Windows XP, Windows 2000 o Windows Server 2003 en busca de software malicioso –incluyendo Blaster, Sasser y Myddom- y luego permite removerlo. Infórmate y descárgalo. Nueva versión del MSAT en español disponible ¿Son seguros los procesos en tu empresa?, ¿y qué acerca de los empleados que interactúan con los sistemas y las tecnologías? Microsoft Security Assessment Tool 4.0 es la nueva versión de una herramienta que, con un enfoque holístico, te ayudará a “diagnosticar” el estado de “salud” de tu organización y brindará el “tratamiento” adecuado. Infórmate y descárgala. En cada edición del Newsletter de Seguridad iremos comentando las diferentes herramientas gratuitas de Microsoft para usar día a día en la protección de la infraestructura informática y las aplicaciones.   Microsoft y el CLCERT por la seguridad En una muestra de la importancia de asociar esfuerzos públicos y privados, Microsoft y el Computer Emergency Response Team de Chile, se unieron en busca de aumentar la conciencia en materia de seguridad para la región, promoviendo la reducción de incidentes asociados a este sector clave en la infraestructura informática de toda empresa (en inglés). Infórmate de todos los detalles  Análisis de los boletines actuales de seguridad {28-Oct / Evento On Line } ¿Tienes más preguntas luego de leer los boletines de seguridad? ¿Necesitas más información? ¿Preocupado por la seguridad de tu red? Comparte con los expertos y conoce todos los detalles técnicos disponibles.   NAP agregando valor a la red {28-Oct / Evento On Line } Proteger la red y cumplir con las políticas de seguridad suelen ser los objetivos principales a la hora de administrar recursos; NAP (Network Access Protection) es una solución nativa disponible en Windows Server 2008. Aprende todo acerca de NAP .   Nuevos beneficios y funciones en IIS 7 {4-Nov / Evento On Line } Una sesión en la que se mostrará todo lo nuevo en materia administrativa, en seguridad, rendimiento y capacidad de ampliación para Internet Information Server 7 en Windows Server 2008. ¡Regístrate!   Lo nuevo en Internet Explorer 8 {10-Nov / Evento On Line} Todas las novedades acerca de la próxima versión del navegador, que incluyen las mejoras en cuanto a compatibilidad, seguridad y privacidad. Los secretos necesarios para preparar tu organización de un modo adecuado para distribuir en IE 8. Más...   Proteger con NAP {10-Nov / Evento On Line} En esta sesión se verá la forma en que Network Access Protection permite configurar las condiciones y requisitos necesarios para acceder a la red privada, asegurando así un buen estado de salud general del sistema, negando / permitiendo acceso, o bien derivando a las PCs que no califiquen, de acuerdo a políticas de seguridad corporativa previamente establecidas. ¡Participa!   Administrando una mensajería segura {11-Nov / Evento On Line} Con los últimos avances en el área de mensajería, esta actividad se ha vuelto relevante en el mundo de los negocios y por lo tanto, susceptible de recibir ataques. En esta sesión, se mostrará como configurar Microsoft Internet Security and Acceleration Server 2006 (ISA), Windows Rights Management Services, Microsoft Forefront y Microsoft Exchange Hosted Services para brindar una infraestructura de servidor más segura. ¡Regístrate!   Seguridad en la empresa con System Center Operations Manager 2007 {12-Nov / Evento On Line} Una sesión donde se analizarán las nuevas funciones disponibles en Operations Manager 2007 tendientes a cubrir escenarios de seguridad en los negocios. Más...   Más eventos de seguridad durante Octubre serán informados en el TechNet Flash. Si aun no estás suscripto, hazlo ahora! Actualizaciones en seguridad Octubre ’08 Entre otras actualizaciones, se destacan las que protegen de la ejecución remota de código a partir de Active Directory, del servicio RPC de Host Integration Server, de Microsoft Excel y también una actualización de seguridad acumulativa para Internet Explorer. ¡Infórmate!

Saludos, Christian.-

Hola a todos,

Quiero avisarles que hemos publicado una Notificación Avanzada para la liberación de un boletín de seguridad fuera de banda, es decir, fuera de la programación habitual. Estamos planificando liberar un boletín de seguridad con una severidad máxima de Crítica, a ser liberada el 23 de Octubre a las 10:00 AM PST (Pacific Time). Un reinicio será requerido.

Adicionalmente, se ha agendado un webcast especial para cubrir esta liberación. Pueden registrarse aquí  y se realizará a las 13:00 PST, este será en inglés luego anunciaremos otro en español en el transcurso de la tarde.

Gracias.

Christian Linacre.

**Esto se publica “como está” sin garantías y no confiere derechos**