Hola a todos,

escribe Christian Linacre para dar un actualización sobre el boletin de seguridad MS08-067. El día de hoy hemos recibido reportes de infecciones con un gusano recién descubierto llamado Conficker.A que podría afectar a sistemas que no hayan sido actualizados. Adicionalmente, existe un troyano llamado Win32/IRCbot.BH.

Como estaba indicado en el boletín original esta vulnerabilidad afecta de manera crítica a sistemas Windows 2000, XP y 2003. Si la vulnerabilidad es explotada exitosamente, un externo puede tomar control del equipo cuando se habilite el modo de compartir archivos. Este gusano afecta de manera menor a Windows Vista y Windows Server 2008, y todas sus ediciones soportadas.

Como saben y como parte de nuestro compromiso con la seguridad, hemos liberado la actualización de seguridad para corregir esta vulnerabilidad el día 23 de Octubre. Si aún no la ha instalado, recomendamos instalarla a la brevedad siguiendo las instrucciones descritas en el boletín MS08-067.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live OneCare Examen de Seguridad, que les permite realizar un Examen completo y gratuito.

Como siempre las recomendaciones no cambian:

1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros.
2. Active el firewall.
3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog. 

Ahora revisemos algunos detalles técnicos de este malware en particular.

La descripción completa puede ser encontrada en la Enciclopedia del Centro de Protección contra el Malware de Microsoft, buscando por Conficker.A y Win32/IRCbot.BH. Particularmente el gusano tiene las siguientes características:

• Afecta: al sistema explotando una vulnerabilidad en el servicio SVCHOST
• Se instala: buscando el ejecutable services.exe y crea .dll aleatorios en la carpeta de sistema
• Se contagia: a través de computadores conectados a la red que no tengan la actualización para la vulnerabilidad
• Provoca:
  • Crea un servidor HTTP
  • Puede borrar los puntos de restauración
  • Baja archivos desde direcciones externas

Para prevenirlo siga las recomendaciones de más arriba y si cree que que está infectado use el servicio de Windows Live OneCare Examen de Seguridad o contacte a Microsoft.

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

escribe Christian Linacre para contarles que el día de hoy hemos liberado la quinta versión del Informe de Inteligencia de Seguridad, que entrega una visión única del panorama de las amenazas de seguridad fundamentados en datos de millones de computadores en todo el mundo. Esta investigación está diseñada una mejor protección contra delincuentes informáticos y, a pesar de que Microsoft y otros actores relevantes de la industria han mejorado de manera sustancial en la protección de las amenazas en línea, el ecosistema de amenazas continua evolucionando.

El reporte describe en específico el aumento en el software malicioso – malware – y el software no deseado, que fue de un 43% durante los primeros 6 meses del 2008. El alza sostenida de troyanos como vulnerabilidades críticas, y que demuestra que la principal motivación sigue siendo la ganancia financiera.

También es interesante destacar que los atacantes se están moviendo hacia la capa de aplicaciones y alejandose de los sistemas operativos que son cada vez más resistentes a ataques. Siendo que el 90% de las vulnerabilidades detectadas el primer semestre afectaron aplicaciones y sólo el 10% afectaron a sistemas operativos (para detalle del reporte de vulnerabilidades de sistemas operativos de escritorio revisen este post)

Un fenomeno interesante y que refuerza el origen de la motivación de los atacantes, son las “botnets”, el informe describe como se crean y cual es el modus operandi de quienes las utilizan. Los siguientes gráficos explican como se crea un botnet y como se usa para fines maliciosos:

Como saben, en Microsoft trabajamos de cerca con la industria en el desarrollo de mejores prácticas para reportar vulnerabilidades de manera responsable, recortando el tiempo de respuesta, y desarrollando código más seguro. La compañía está trabajando para compartir lo que ha aprendido, como parte de su compromiso, para crear un ambiente de cómputo más confiable para todos.

Además el reporte refleja la disminución de las vulnerabilidades de Microsoft durante el primer semestre de 2008, donde hubo una disminución del 33,6% respecto del segundo semestre del 2007.

Finalmente, el reporte refleja la cantidad de computadores limpiados usando la herramienta de remoción de software malicioso (MSRT: Malicious Software Removal Tool) donde la métrica que utilizamos es CCM: Computadores limpiados cada Mil (por sus siglas en inglés Clean Cleaned per Mil) que representa el número de computadores limpiados por cada mil ejecuciones del MSRT.

El siguiente mapa muestra de manera ilustrativa y comparativa las diferencias entre regiones y las tasas de CCM, es decir, de infecciones por malware; donde verde es menos infección y rojo es más infección por cada mil ejecuciones.

El reporte tiene las tasas actualizadas por país y otros datos locales que pueden encontrar interesantes para hacer análisis particulares.

Como siempre recomendamos a todos nuestros clientes que tomen las siguientes precauciones para mantenerse protegidos:

• Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros.
• Active el firewall.
• Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
• Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.

Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad

Las versiones del reporte pueden encontrarse en los siguientes vínculos:

1. Versión Completa en inglés: PDF o XPS
2. Versión Reducida en español: PDF o XPS

Como siempre cualquier comentario es bienvenido.

Saludos, Christian.-

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de seguridad de Noviembre.

Este mes estamos liberando dos boletines de seguridad:

1. MS08-068 (Importante):Una vulnerabilidad en SMB podría permitir la ejecución remota de código (957097)
   • Detalles en www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-068.mspx
2. MS08-069 (Crítica): vulnerabilidad en Microsoft XML Services podrían permitir ejecución remota de código
   1. Detalles en www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-069.mspx

Como siempre recomendamos revisar los sistemas operativos o software afectados y evaluar las instalaciones de estas actualizaciones lo antes posible. Recuerden que tienen herramientas gratuitas para poder hacer esto:

1. Detección con MBSA (Microsoft Baseline Security Analyzer)
2. Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

• Gimmiv relacionada con el boletin MS08-067
• FakeSecSen

Como punto de revisión, les recuerdo que pueden revisar que familias de malware tienen más impacto hoy y cuáles son los países más expuestos en el Informe de Inteligencia de Seguridad, que pueden bajar desde www.microsoft.com/sir y donde tienen un resumen en español.

Cualquier duda no dejen de poner sus comentarios aquí.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Se que muchos ya están suscritos al Newsletter de Seguridad, pero para quienes aún no lo estén les comparto la edición de Noviembre.

Los invito a suscribirse y estar al día con las últimas novedades en: www.microsoft.com/latam/technet/boletin/seguridad/

Rápida respuesta a incidentes de seguridad Diariamente miles de personas en todo el mundo destinan tiempo e inteligencia a generar nuevo software malicioso, o a “crear” vulnerabilidades a partir del desarrollo de malware que toma características de un sistema para afectarlo. Una lástima, pero es así. La cuestión, desde nuestra perspectiva, es reaccionar rápidamente y generar las protecciones necesarias, ya sea a través de actualizaciones, nuevas guías o herramientas. Obviamente para lograr esto, es necesario tener un plan preparado para responder de manera efectiva y eficiente. Como verás más abajo, recientes estudios dan cuenta de que el compromiso de Microsoft con la seguridad es efectivo: la rápida reacción ante nuevos peligros es clave para ayudar a los usuarios a protegerse. Es que estamos trabajando muy de cerca con la industria en el desarrollo de mejores prácticas para reportar vulnerabilidades de manera responsable, recortando el tiempo de respuesta, y desarrollando código más seguro. La rápida reacción en octubre pasado frente a nuevos desafíos, un esfuerzo que comprometió a toda la compañía, es un claro ejemplo de esto, a lo que se suma la propuesta permanente de compartir conocimientos, para crear un ambiente de cómputo más confiable para todos. Christian Linacre Gerente de las Iniciativas de Seguridad y Privacidad Microsoft Latinoamérica christian.linacre@microsoft.com   ¿Qué es lo que piensas del Newsletter de Seguridad? Déjanos tus comentarios aquí... Todas las guías de seguridad a un clic de distancia Fernando García Loera, responsable del programa de MVPs de Latinoamérica, se ha encargado de recopilar las guías de seguridad de Windows Server 2008, Windows Vista y Microsoft Office 2007, en sus versiones más recientes (en inglés). Además, en su blog encontrarás el GPO Accelerator Tool que te brinda las recomendaciones más adecuadas en base al estado de tu equipo en forma automática. ¡Descárgalas ya mismo!   Conoce cómo Microsoft maneja su información sensible Daniel Levi, reconocido especialista de Microsoft, dictó una charla en el Consejo Argentino de Seguridad Informática sobre las prácticas más convenientes para manejar la información importante de la empresa. Fue una demostración en la que se analizó cómo mantener información segura y ordenada, a través de la clasificación de datos y de herramientas específicas como BitLocker de Windows Vista y Windows Server 2008. La charla está disponible en su blog.   BitLocker y la protección de datos Benjamín Figueroa de Microsoft México, nos acerca una buena introducción a una de las características innovadoras de Windows Vista que más han llamado la atención: BitLocker Drive Encryption. Aprovéchala! Windows Live OneCare Examen de Seguridad Si te demoraste en instalar la última actualización de Windows o tienes dudas sobre la “salud” de tu equipo, realiza el Examen de Seguridad gratuito Windows Live OneCare Examen de Seguridad y selecciona “Examen Completo”.   Microsoft Security Assessment Tool 4.0 disponible y en español Evalúa la seguridad en los procesos de la empresa con MSAT 4.0, la nueva versión de esta herramienta, con un amplio enfoque que te ayudará a “diagnosticar” la forma en que tu organización enfrenta los retos que la seguridad plantea hoy día. Infórmate y descárgala!. Más abajo, en la sección de Capacitación, un ciclo de charlas online donde encontrarás más información sobre esta útil herramienta. Las amenazas evolucionan Como responsable de la seguridad en tu entorno laboral o personal, encontrarás de valor la quinta edición del Informe de Inteligencia de Seguridad, donde se publican datos relevantes provenientes de millones de computadoras de Latinoamérica y de todo el mundo que utilizan Windows o servicios online. También dispones de un resumen del reporte en español. Windows Vista: el menos vulnerable. Microsoft: la respuesta más rápida ante nuevos riesgos En el informe semestral que Jeff Jones publica comparando sistemas Red Hat, Ubuntu, Apple y Microsoft, Windows Vista y Windows XP SP2 resultaron ser los dos sistemas que presentan la mejor relación entre la cantidad de vulnerabilidades registradas y los días transcurridos entre el reporte de las mismas y su actualización. Conoce más resultados de esta investigación. Compromiso con la Seguridad Infórmate sobre el anuncio del último informe sobre seguridad, que muestra el incremento del software dañino y la disminución de vulnerabilidades de Windows, y las medidas que se recomiendan tomar al respecto. Más... Ciclo de Capacitación “Evalúa y Mejora tu Seguridad en 4 sesiones” (Online) 1- Lo nuevo en MSAT 4.0 {19-Nov / Evento Online} Todas las novedades en la última versión del software que te permitirá auditar la seguridad de tu compañía. Con ella, podrás medir el nivel de madurez conseguido en esta crítica área, y a la vez recibir las recomendaciones pertinentes para realizar las mejoras necesarias. Regístrate!   2- Analiza la seguridad de tu red {26-Nov / Evento Online} MBSA (Microsoft Baseline Security Analyzer) es una herramienta que permite determinar el estado de seguridad en función de las recomendaciones que formula Microsoft. La nueva versión permite analizar, en este sentido, el estado de los servidores, configuración y estado de implementación de fixes y parches. Adicionalmente, esta herramienta permite bajar las actualizaciones que necesitas aplicar. No te lo pierdas!   3- Implementación de Actualizaciones {2-Dic / Evento Online} La Seguridad es, como todo proceso, un tema dinámico y que requiere permanente atención por parte del profesional IT. Aprende, con Enrique Dutra, a realizar un despliegue controlado y centralizado de actualizaciones y parches, lo que te permitirá mantener un esquema de seguridad eficaz en la compañía. Participa!   4- Cara a cara con el Auditor {3-Dic / Evento Online} Nada como una buena conversación con el auditor para una mejor toma de decisión que permita contar con un escenario de infraestructura segura en la empresa. Conversa también tú con el Auditor. Más Capacitación sobre Seguridad Acerca de los temas de esta edición {25-Nov / Evento Online} Te han quedado dudas?, tienes más preguntas aún? Un Webcast basado en el Newsletter que tienes en tu monitor y las preguntas de los participantes. Haz también tu pregunta.   Seguridad para SharePoint {10-Dic / Evento Online} Una presentación donde se analizarán algunas de las capacidades de Forefront Security para SharePoint, incluyendo las mejoras contenidas en el SP1. Se abordará también el tratamiento de la consola de administración y la posibilidad de integrar el sistema dentro de la familia de productos de administración Microsoft Operations Manager o Systems Center. Finalmente se analizarán algunas herramientas para resolución de problemas y también los métodos de licenciamiento. Regístrate!   Windows Server 2008 protege tu información {5-Dic / Evento Online} Las principales funciones de seguridad del sistema de archivos en Windows Server 2008 serán el centro de este Webcast. Adicionalmente se cubrirá el servicio de administración de derechos (RMS) y también el uso de la política de grupos como forma de controlar la protección de documentos y las librerías en RMS mediante la integración con Microsoft Office 2007 y SharePoint Server 2007. Participa! Actualizaciones en seguridad Noviembre ’08 Entre otras actualizaciones, este mes se destaca la que protege de la ejecución remota de código a partir de Microsoft XML Core Services. Infórmate!   Asegúrate de estar protegido! Semanas atrás se dio a conocer ampliamente una importante actualización para protegerse de esta vulnerabilidad. Verifica tu también tenerla instalada.

Saludos, Christian.-