Hola, escribe Christian Linacre

para contarles que hemos descubierto un nuevo brote del gusano llamado Conficker, con una variación conocida como Conficker.B. Este gusano usa una vulnerabilidad que corregimos en Octubre con el boletín MS08-067. Esto significa que todos los clientes que hayan instalado correctamente esa actualización están fuera de peligro.

Este gusano puede infectar computadores en un red explotando la vulnerabilidad en Windows Server Services (SVCHOST.EXE) y, si la vulnerabilidad es exitosamente explotada podría permitir ejecución remota de código cuando la compartición de archivos está habilitada. Este malware deshabilita importantes servicios de sistema y productos de seguridad.

Ahora como saber si su sistema está infectado con este software malicioso. Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

• Detiene y deshabilita los servicios
• Windows Update Service
• Background Intelligent Transfer Service
• Windows Defender
• Windows Error Reporting Services
• Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista)
• El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si
• Reinicia los puntos de restauración del sistema
• Baja archivos arbitrarios de sitios desconocidos

Para prevenir ser infectados recomendamos:

1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. Para software Microsoft utilice Windows Update 
2. Active el firewall.
3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live Examen de Seguridad, que les permite realizar un Examen completo y gratuito, o contacte a Microsoft.

Adicionalmente, los productos de seguridad de Microsoft ya tienen la vacuna para este gusano. Requiere tener instalado la firma 1.49.1167.0 o posterior.  Esto es válido para:

Forefront Client Security
Windows Live OneCare
Windows Live Safety Scanner (gratis)

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, escribe Christian Linacre,

para informarles acerca de un nuevo documento informativo recién liberado. El Documento Informativo de Seguridad 961509, describe los potenciales problemas por posibles ataques de colisiones en el algoritmo MD5.

Estamos al tanto de que dos investigadores recientemente publicaron en una conferencia de seguridad una nueva forma de generar ataques exitosos contra certificados digitales X.509 firmados con el algoritmo de hashing MD5. El método de ataque podría permitir la generación de certificados digitales con diferente contenido que tiene la misma firma digital como un certificado original. Los investigadores no revelaron detalles de cómo esto podría convertirse en ataques activos, sabemos que clientes podrían estar interesados o tener preguntas al respecto. Este nuevo descubrimiento NO aumenta significativamente el riesgo de los clientes ya que sin la información anterior no es posible reproducir el ataque.

Esta NO es una vulnerabilidad en nuestros productos, es en realidad un problema que afecta a toda la industria. Esto no significa que haya que obviar este problema sino que verificar que las entidades certificadoras están usando un protocolo más seguro.

Invito a quienes tengan soluciones de entidades certificadoras, de cualquier proveedor, a revisar sus soluciones y verificar que algoritmos están utilizando.

Más información puede ser encontrada en el Documento Informativo de Seguridad 961509

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, escribe Christian Linacre,

para informarles de un nuevo Documento Informativo de Seguridad Microsoft 961040 recién liberado el día 22 de Diciembre.

Este documento contiene información acerca de la investigación de nuevos reportes públicos de una vulnerabilidad que podría permitir ejecución remota de código en SQL Server. 

Estamos al tanto de que código de explotación ha sido publicado en Internet para esta vulnerabilidad anunciado por este documento informativo. Nuestra investigación de este código de explotación ha verificado que este no afecta a los sistemas que tengan aplicadas las soluciones provisionales indicadas en el documento. Actualmente, Microsoft no está al tanto de ataques que estén usando activamente este código de explotación o de clientes con problemas en estos momentos.

Esta vulnerabilidad NO es expuesta anónimamente. Un atacante necesitaría o estar autenticado para explotar esta vulnerabilidad o tomar ventaja de una vulnerabilidad de inyección SQL en una aplicación Web que pueda autenticarse.

Es importante notar que sistemas con Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3, and Microsoft SQL Server 2008 NO son afectadas por este problema.

Adicionalmente, como factores de mitigación para las instalaciones por defecto de MSDE 2000 y SQL Server 2005 Express, no estamos al tanto de ninguna aplicación de terceros que use MSDE 2000 o SQL Server 2005 Express que pudieran ser vulnerables a un ataque remoto. Sin embargo, estamos monitoreando activamente la situación para proveer guía a los clientes cuando sea necesario.

Cualquiera que crea que haya sido afectado puede en español con Microsoft: http://support.microsoft.com/contactus o consultar en este mismo blog.

Continuaremos publicando información apenas la tengamos en este mismo blog. Así como también en el blog del Microsoft Security Response Center.

Saludos, Christian.-

Hola

escribe Christian Linacre, para informar que hemos liberado un boletin de seguridad fuera de programación, para solucionar un problema en Internet Explorer.

El detalle del boletin se puede encontrar en el sitio de Microsoft bajo el nombre MS08-078. Este boletín libera una actualización para Internet Explorer para solucionar una vulnerabilidad que fue explicada en el documento informativo 961051. Las versiones afectadas pueden revisarse en el boletin en detalle pero incluyen Internet Explorer 5.01, 6, 6 SP1 y 7.

Exhortamos a nuestros clientes a instalar esta actualización lo antes posible para estar protegidos. Esto lo pueden hacer directamente a través de Windows Update: http://update.microsoft.com. Si ya se encuentra activo, la computadora instalará la actualización de seguridad en forma automática. 

Los usuarios para verse afectados por esta vulnerabilidad, deben ser engañados para dirigirse a un sitio maliciosamente configurado que intente tomar ventaja de esta situación. Por el momento, no hay maneras automatizadas o masivas de realizar esto. Es por eso que nuestra recomendación es siempre navegar por sitios que sean de su confianza o de fuentes conocidas.

Para determinar si su sistema ha sido afectado y cómo repararlo, acceda a la herramienta Windows Live OneCare Examen de Seguridad, que le permitirá realizar un examen completo y gratuito.

Como siempre recomendamos llevar a cabo los siguientes pasos para “Proteger su PC”:

• activando un firewall
• instalando las actualizaciones de software (www.microsoft.com/latam/seguridad/)
• instalando un antivirus y un anti-spyware
• siendo cuidadoso al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.

Cualquier problema pueden contactarse en español con Microsoft directamente en http://support.microsoft.com/contactus 

Saludos, Christian.-

Hola a todos,

escribe Christian Linacre para informarles que el día de mañana, Miércoles 17 de Diciembre a las 10:00 AM PST (GMT-8), estaremos publicando un nuevo boletín de seguridad para Internet Explorer. Esta notificación avanzada ya fue publicada el día de hoy.

Estaremos publicando este boletín fuera de nuestra programación habitual, de los segundos martes de cada mes, como un esfuerzo para mantener protegidos a nuestros clientes. Estamos recomendando a nuestros clientes preparar sus sistemas para aplicar este boletín apenas esté disponible la actualización.

El propósito de esta notificación es ayudar a los clientes con la planeación de recursos para esta liberación de un boletín de seguridad. La información dada en esta notificación es de naturaleza general con el propósito de proveer suficiente información a los clientes para que planeen la implantación, sin revelar detalles de la vulnerabilidad u otra información que los puedan poner en riesgo.

Cualquiera que crea que haya sido afectado puede visitar: http://support.microsoft.com/contactus

Para más información sobre las actualizaciones de seguridad, visite http://www.microsoft.com/latam/seguridad.

Saludos, Christian.-

Internet provee de muchisimas oportunidades y habilita a muchos para simplificar tareas y actividades.

Pero asimismo presenta algunos desafíos en términos de mantenerse seguro.

Es por eso que esta semana que empieza, estaremos publicando una serie de artículos en Jambitz.com, el portal de PC Magazine en español. Estos artículos contendran recomendaciones de como mantenerse seguro, cuidando su información, su familia y su información.

Los esperamos en el Canal Windows de Jambitz: www.jambitz.com/windows

No se lo pierdan.

Saludos, Christian.-

Hola,

escribe Christian Linacre para informarles de las últimas noticias respecto de seguridad en Internet Explorer 7.0.

Microsoft está investigando nuevos reportes de ataques a una nueva vulnerabilidad en Internet Explorer. Nuestra investigación por el momento ha revelado que estos ataques son dirigidos a Internet Explorer 7 en las plataformas actualmente soportadas Windows XP Service Pack 2, Windows XP Service Pack 3, Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Vista, Windows Vista Service Pack 1 y Windows Server 2008.

Por el momento, estamos al tanto solamente de limitados ataques intentando explotar esta vulnerabilidad. Nuestra investigación de esos ataques ha verificado que no son exitosos en los clientes que hayan aplicado las recomendaciones contenidas en este documento informativo. Adicionalmente, hay factores de mitigación que incrementan la dificultad de explotación de esta vulnerabilidad.

Estamos trabajando activamente con nuestros socios de los programas Microsoft Active Protections Program (MAPP) y Microsoft Security Response Alliance (MSRA) para proveer información clave que ellos puedan usar para proveer una mejor protección a los clientes. Además estamos constantemente trabajando con socios para monitorear el medioambiente amenazante y tomas acciones apropiadas en caso de encontrar sitios maliciosos que traten de explotar esta vulnerabilidad.

Factores de Mitigación

• Modo Protegido de Internet Explorer 7 en Windows Vista limita el impacto de esta vulnerabilidad
• Por configuración base, Internet Explorer 7 en Windows Server 2003 y Windows Server 2008 se ejecuta en modo restringido que es conocido como Configuración Avanzada de Seguridad. Este modo configura el nivel de seguridad para la zona Internet en Alto. Este es un factor de mitigación para sitios Web que no hayan sido agregados a la zona de Sitios de Confianza. Revise la sección de Preguntas Frecuentes de este documento informativo para obtener más información acerca de la Configuración Avanzada de Seguridad de Internet Explorer.
• Un atacante que exitosamente explote esta vulnerabilidad podría obtener los mismos permisos que tenga el usuario local. Los usuarios que tengan cuentas configuradas con menos privilegios en el sistema podrían ser menos afectados que quienes operen con permisos administrativos.
• Actualmente los ataques conocidos no pueden explotar esta vulnerabilidad automáticamente a través de correo electrónico.

Recomendaciones

Revise el documento informativo 961051 para leer un resumen del problema, detalles de los componentes afectados, factores de mitigación, acciones sugeridas, preguntas frecuentes (FAQ) y vínculos a recursos adicionales.

Clientes que crean que hayan sido afectados pueden contactar a Servicio al Cliente y Soporte. Pueden hacer esto a través del sitio web http://support.microsoft.com/contactus.

Recursos Adicionales

• Documento informativo sobre seguridad de Microsoft 961051 – Vulnerabilidad en Internet Explorer podría permitir ejecución remota de código - http://www.microsoft.com/latam/technet/seguridad/alerta/961051.mspx.
• Blog de Seguridad de Microsoft (español): http://blogs.technet.com/seguridad
• Centro de Seguridad de Microsoft (español): http://www.microsoft.com/latam/seguridad
• Microsoft Security Response Center (MSRC) Blog (inglés): http://blogs.technet.com/msrc
• Microsoft Malware Protection Center (MMPC) Blog (inglés): http://blogs.technet.com/mmpc

Cualquier duda no dejen de poner sus comentarios aquí.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de seguridad de Diciembre.

Este mes estamos liberando ocho boletines de seguridad, 6 con categoría de Crítico y 2 como Importante:

1. MS08-070 (Crítico):Vulnerabilidades en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) podrían permitir la ejecución remota de código, afecta a Microsoft Office y a Herramientas de Desarrollo. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-070.mspx
2. MS08-071 (Crítico):Una vulnerabilidad en GDI podría permitir la ejecución remota de código, afecta a Windows. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-071.mspx
3. MS08-072 (Crítico): Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código, afecta Office. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-072.mspx 
4. MS08-073 (Crítico): Actualización de seguridad acumulativa para Internet Explorer, afecta a Internet Explorer. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-073.mspx 
5. MS08-074 (Crítico): Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código, afecta a Office. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-074.mspx
6. MS08-075 (Crítico): Vulnerabilidades en Búsqueda de Windows podrían permitir la ejecución remota de código, afecta a Windows. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-075.mspx
7. MS08-076 (Importante): Vulnerabilidades en los componentes de Windows Media podrían permitir la ejecución remota de código, afecta a Windows y Servicios de Windows Media. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-076.mspx
8. MS08-077 (Importante): Una vulnerabilidad en Microsoft Office SharePoint Server podría provocar la elevación de privilegios, afecta a Office Sharepoint. Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-077.mspx

Como siempre recomendamos revisar los sistemas operativos o software afectados y evaluar las instalaciones de estas actualizaciones lo antes posible. Recuerden que tienen herramientas gratuitas para poder hacer esto:

1. Detección con MBSA (Microsoft Baseline Security Analyzer)
2. Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

• Win32/FakeXPA
• Win32/Yektel

Como punto de revisión, les recuerdo que pueden revisar que familias de malware tienen más impacto hoy y cuáles son los países más expuestos en el Informe de Inteligencia de Seguridad, que pueden bajar desde www.microsoft.com/sir y donde tienen un resumen en español.

Esto nos da para este año, un total de 77 boletines.

Cualquier duda no dejen de poner sus comentarios aquí.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**