Se que muchos ya están suscritos al Newsletter de Seguridad, pero para quienes aún no lo estén les comparto la edición de Mayo.

Adicionalmente, el día 28 de Mayo a las 13:00 horas de Bogotá habrá un webcast para hablar del tema. Inscríbete aquí.

Los invito a suscribirse y estar al día con las últimas novedades en: www.microsoft.com/latam/technet/boletin/seguridad/

Seguridad y Rendimiento en Windows 7

¿Has probado ya el Release Candidate de Windows7? . La disponibilidad de esta versión RC, muy similar a lo que será el producto final, te permitirá conocer importantes innovaciones y mejoras en materia de seguridad. Por ejemplo, el Action Center reemplaza al Security Center del Panel de Control que conocías, ofreciendo más opciones de administración del sistema, como backup, troubleshootings y diagnósticos. Los cambios introducidos al User Access Control (UAC) permitirán una configuración más flexible; se ha avanzado en la encriptación de discos mediante el BitLocker que incluso permite hacerlo ahora con otros dispositivos. DirectAccess permitirá a los usuarios conectarse de un modo seguro a un entorno corporativo sin necesidad de utilizar una VPN, mientras que el AppLocker te permitirá controlar el uso de aplicaciones de manera fácil. Todas estas novedades responden a la visión Computación Segura de punta a punta que ya hemos comentado aquí en el pasado: se trata de aumentar los niveles de seguridad del usuario final (tanto en el uso de su computador personal como del uso de Internet), y al mismo tiempo facilitar el trabajo del personal de seguridad e infraestructura de IT, simplificando las tareas de administración. Si aún no descargaste el RC de Windows 7, hazlo ahora mismo. En Microsoft TechNet y MSDN encontrarás, durante las próximas semanas, webcast y más información para conocer en profundidad todo acerca de esta nueva versión del sistema operativo.
En esta edición, además, te invito a conocer más sobre Identity Lifecycle Manager 2 y Windows Server 2008 Foundation , una importante novedad para empresas pequeñas que quieren reducir costos y apuntalar su crecimiento.
¡Que lo disfrutes!
Christian Linacre
Gerente de las Iniciativas de Seguridad y Privacidad
Microsoft Latinoamérica
christian.linacre@microsoft.com

Inteligencia de Negocios bien protegida

Una estrategia informática eficiente para aumentar las ganancias de su empresa, no puede arriesgar los beneficios obtenidos ni obstaculizar los flujos de trabajo. Para lograr esa precisa síntesis, los especialistas de Microsoft han publicado esta guía donde se detallan las principales líneas de acción para obtener y mantener la seguridad en su Inteligencia de Negocios. Consúltala.

Protección para entornos corporativos con Forefront

Eventos como la Semana de la Seguridad nos dejan completas presentaciones acerca de las más innovadoras estrategias que los especialistas adoptan frente a las nuevas amenazas. Para todos aquellos que no pudieron asistir, Emerson González, Gerente de Plataforma Tecnológica y Ultragestión, detalla en 49 diapositivas la actualidad de este campo y el Roadmap de Forefront. ¡Descarga esta presentación!

Cómo limpiar a los “easter eggs” hoy

Si bien se trata de una práctica malintencionada que remite a otras épocas, donde la computación era más ingenua, estas versiones simpáticas de software no deseado hoy adoptan otras formas. Christian Linacre, Gerente de Iniciativas de Seguridad y Privacidad para Latinoamérica, te comenta todas las opciones que las tecnologías de Microsoft ofrecen para solucionar los problemas causados por estos pequeños entrometidos. Consúltalo en su blog.

Mantente al tanto de los últimos avances de PowerShell

Desde Codeplex, el sitio de desarrollo abierto de Microsoft, se ha generado esta aplicación para que te enteres rápidamente de los nuevos comandos personalizados (cmdlets), renombramientos de comandos (aliases), filtros, funciones y scripts para Windows PowerShell. Para que puedas recibir y compartir los próximos avances, solo debes descargar esta herramienta .

Windows 7: lo que debes saber como IT

Son muchas las novedades en materia de seguridad que trae consigo la versión RC del nuevo sistema operativo de Microsoft. Entre ellas, AppLocker, que permite especificar las aplicaciones que se pueden ejecutar en un equipo portátil o de escritorio, su mejor desempeño cuando funciona junto a Windows Server 2008; tecnología BitLocker y BitLocker To Go que permite el cifrado completo de todos los volúmenes de arranque de un equipo y también protección de datos en equipos y unidades portátiles; la herramienta de Control de Cuenta de usuario (UAC) y mucho más. Conoce las 10 cosas que un IT Pro debe saber respecto a Windows 7.

Entornos PyMEs más seguros con Windows Server 2008 Foundation

Exclusivamente diseñado para empresas con 15 o menos usuarios, el sistema operativo de servidores de Microsoft se adapta a las condiciones de los pequeños emprendimientos. A un precio asequible, las capacidades de solidez que el sistema ofrece y su facilidad para montar plataformas más seguras, los convierten en una excelente opción para integrar el mejor blindaje y administración en una sola implementación. Descubre los beneficios que Windows Server 2008 Foundation tiene para tu empresa e infórmate acerca de todo lo acontecido en su lanzamiento en la Cumbre de innovación Microsoft.

End-to-end Trust: una iniciativa para que Internet crezca en forma segura

A partir de la conferencia RSA llevada a cabo el año pasado, Microsoft ha lanzado esta iniciativa a la industria con el fin de generar líneas de acción para logar entornos más seguros y confiables. Buscando el desarrollo sustentable de Internet, los principales ejecutivos y especialistas en seguridad se han unido en esta iniciativa. En el nuevo sitio oficial, totalmente desarrollado en Silverlight, podrás acceder a los anuncios de la conferencia RSA y a las claves de una estrategia de “extremo a extremo”.

Sexto informe de inteligencia de seguridad Microsoft

Con el foco puesto en el segundo semestre del año 2008, los expertos en seguridad de Microsoft han producido este informe donde se detallan las diferentes vulnerabilidades de software, así como de las tendencias del software malintencionado y el software potencialmente no deseado. Todas las claves para mantener segura la infraestructura tecnológica de tu empresa se encuentran en este documento.

Trabajando en forma remota para evitar la Influenza

Ante el peligro de contagio y expansión del virus, son varias las empresas que deciden mantener un esquema de organización remota. Trabajando desde casa se evita el contacto en lugares cerrados como medida de prevención. Ante esta situación, Microsoft ha decido otorgar gratis el servicio de Live Meeting durante 30 días. Conoce todos los beneficios de este importante recurso desde el sitio oficial del producto.

Un vistazo a Forefront Threat Management Gateway (TMG)

Dentro de las innovaciones que ofrece la plataforma de seguridad de Microsoft, se encuentra este completo Gateway, con el cual es posible habilitar un sistema de seguridad perimetral, VPN, y prevención de accesos no autorizados. En esta presentación puedes conocer cada una de las ventajas que brinda esta sólida barrera. Descárgala.

Boletín del Newsletter de Seguridad Mayo

{28-May / Evento On Line} Todos los detalles del reciente boletín de seguridad del mes. Tus preocupaciones en la materia, en un Webcast destinado a recibir tus preguntas y resolver tus dudas. Participa.

Introducción a los Servicios de Licenciamiento y protección del software Microsoft

{9-Jun / Evento On Line} ¿Quieres proteger tu código contra la ingeniería inversa y la actividad pirata? Si eres desarrollador, aprende a controlar efectivamente el uso de tu software en un Webcast imperdible.

Servicios de identidad y nube

{10-Jun / Evento On Line} Ante la clara tendencia hacia alojar servicios en “la nube” es necesario conocer las estrategias imprescindibles para resolver los distintos temas de seguridad, control de acceso y administración de identidades de manera efectiva. Este Webcast te mostrará la mejor forma de realizarlo y ponerlo en práctica. Más...

Soluciones del mundo real con Identity Lifecycle Manager 2
Aprende cómo ILM 2 puede ayudarte a controlar las identidades, entre otros tópicos, en los distintos escenarios y necesidades. ¡Un ciclo imperdible!:
{11-Jun / Evento On Line} Facultar a los usuarios con soluciones de administración de identidad de auto servicio. Más...
{16-Jun / Evento On Line} Expresar y aplicar las políticas empresariales. Más...
{17-Jun / Evento On Line} Personalizar las soluciones de administración de identidad. Más...
{18-Jun / Evento On Line} Integrar un potente cifrado en los procesos de aprovisionamiento y cumplimiento. Más...

Boletines de Seguridad de Mayo

Roberto Arbeláez y Christian Linacre, el pasado 14 de Mayo, realizaron un Webcast en el que abordaron las novedades del mes en materia de Seguridad. ¿No pudiste participar? ¡Ahora no te lo pierdas!

Vulnerabilidad en PowerPoint solucionada

Esta actualización es de carácter crítico, dado que un atacante podría ejecutar remotamente código a través de un archivo PowerPoint especialmente diseñado. Con la descarga se corrigen las vulnerabilidades al impedir que Microsoft Office PowerPoint 2000 y Microsoft Office PowerPoint 2002 abran formatos de archivo nativos de PowerPoint 4.0. Consulta los detalles en el boletín oficial.

Resumen del boletín de seguridad de Microsoft de Mayo de 2009

Para encontrar una síntesis de lo acontecido durante este mes, el TechCenter de Seguridad te acerca un espacio único donde encontrar cada una de las actualizaciones disponibles. Este mes encontrarás cómo solucionar diversas vulnerabilidades que pueden llegar a ser explotadas con PowerPoint, y más recursos para protegerte de prácticas malintencionadas. Acércate a todo ello en el resumen del mes de Mayo.

Saludos, Christian.-

Hola, les escribe Roberto Arbeláez. Ayer en la noche Microsoft liberó el Security Advisory 971492 en el cual se informa que se está investigando una vulnerabilidad que afecta a IIS en sus versiones 5.0, 5.1 y 6.0.

Esta vulnerabilidad permite la escalación de privilegios, debido a la manera como las extensiones de WebDAV (Web Based Distributed Authoring and Versioning) de IIS manejan las solicitudes HTTP.

WebDAV es un conjunto de estensiones de HTTP, que permiten la edición y administración colegiada/colaborativa en servidores web remotos, y está definida por el IETF (Internet Engineering Task Force) en el RFC 4918.

La explotación de esta vulnerabilidad podría permitir que un atacante a través de una solicitud HTTP anónima, tener acceso a una ubicación lógica en el sistema que típicamente requiere de autenticación para ser accedida.

Factores que mitigan el riesgo de que esta vulnerabilidad sea explotada

Hay algunos factores que reducen el riesgo de que esta vulnerabilidad sea explotada, entre ellos:

• Aunque esta vulnerabilidad se “salta” la configuración de IIS que especifica si se requiere autenticación (y cuál) para acceder a sitios lógicos (carpetas/directorios) en el sistema (al menos en la estructura de directorios de IIS), no se salta la validación contra ACL (Access Control Lists – Listas de Control de Acceso) del sistema de archivos del sistema operativo, que siempre valida si un archivo puede ser accedido por un usuario específico. Debido a ello, y a que IIS utiliza para su interacción con el sistema operativo la cuenta de usuario anónimo, aún si la vulnerabilidad es exitosamente explotada, el atacante se vería limitado a hacer únicamente lo que los permisos de la cuenta de usuario anónimo le permiten en el sistema. La cuenta de usuario anónimo es por defecto la misma cuenta IUSR_<nombre-del-computador>.
• Por defecto, la cuenta de usuario anónimo no tiene permisos de escritura. Esto en principio le permitiría al atacante únicamente poder leer (pero no cambiar/modificar/borrar) archivos que estén en las ubicaciones lógicas que el atacante logre acceder a través de la explotación exitosa de ésta vulnerabilidad. Para poder tener permisos de escritura, la cuenta de usuario anónimo debe tener permisos de escritura en el sistema operativo, dentro de la estructura de directorios de IIS, lo que debe ser realizado manualmente por el administrador del sistema (y por supuesto, no es buena idea). Adicionalmente, en IIS 6.0, hay una negación explícita de Entrada de control de Acceso (explicit ACE  Deny)  para la cuenta de usuario anónimo en la estructura de directorios de IIS. Este explicit ACE Deny  tiene precedencia por sobre cualquier otro permiso (de hecho anula cualquier otro permiso). A menos que esta negación explicita sea modificada por el administrador manualmente, será heredada por todos los nodos del árbol de directorios bajo wwwroot, y no permitirá el acceso con permisos de escritura a la estructura de directorios de IIS a través de la cuenta de usuario anónimo.
• Las extensiones WebDAV no vienen preactivadas en la instalación normal de IIS 6.0 en Windows server 2003, por lo que si no han sido activadas manualmente por el administrador del sistema, la vulnerabilidad no ha sido expuesta y no puede ser explotada.

En principio, (y basandonos en la premisa de que la cuenta de usuario anónimo que es utilizada por IIS no tenga permisos de escritura sobre la estructura de directorios de IIS, lo cual nunca debería ocurrir), esta vulnerabilidad no permitiría el “deface” (la desfiguración) de sitios web, pudiendo únicamente darle al atacante acceso de lectura a directorios que estén protegidos con contraseña, y que un usuario normal no estaría en capacidad de acceder (a menos que cuente con credenciales de acceso válidas).

Información mas detallada sobre esta vulnerabilidad, y sobre soluciones temporales (workarounds) se puede obtener aqui:

http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx

Como siempre, en caso de que necesiten soporte de seguridad, pueden obtenerlo de manera gratuita a través de las lineas de soporte de Microsoft.

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

escribe Christian Linacre para informarles que en un esfuerzo por aumentar la difusión respecto de los boletines de Seguridad hemos dispuesto un webcast en español dedicado a la explicación de los mismos.

Este mes de Mayo liberamos 1 nuevo boletín, explicado aquí.

El webcast será transmitido por Livemeeting por lo que recomiendo tenerlo instalado antes. Recomiendo comprobar el sistema antes del webcast.

Los detalles son:

• Fecha: 14 de Mayo de 2009
• Hora: 11:30 A.M. hora de Bogotá
• Duración: 60 minutos

Por favor inscríbanse en: http://go.microsoft.com/?linkid=9665719

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de Seguridad de Mayo de 2009.

Este mes estamos liberando un boletín, categorizado con severidad máxima de Crítica.

1. MS09-017 (Crítico): Vulnerabilidades en Microsoft Office PowerPoint podrían permitir la ejecución remota de código (967340). Detalles en: www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-017.mspx

Como siempre recomendamos revisar los sistemas operativos o software afectados y evaluar las instalaciones de estas actualizaciones lo antes posible. Recuerden que tienen herramientas gratuitas para poder hacer esto:

1. Detección con MBSA (Microsoft Baseline Security Analyzer)
2. Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

En el caso de los usuarios hogareños que necesiten información al respecto, les recomiendo leer:

• Resumen de Mayo
• Boletín MS09-005

Más información para Seguridad en el Hogar visite Microsoft Protect en español.

Cualquier duda no dejen de poner sus comentarios aquí y si tuvieran problemas relacionados con seguridad (virus o boletines de seguridad) no dejen de contactarse con Soporte a través de http://support.microsoft.com/contactus

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**