Hola a todos, escribe Christian Linacre. El 23 de Diciembre de 2009 fuimos informados de un reporte de una vulnerabilidad en Internet Information Services (IIS).
Aun estamos investigando este problema y no estamos al tanto de ataques activos por el momento, pero queremos informar a nuestros clientes que nuestro análisis inicial muestra que el servidor web IIS debe estar configurado con una configuración no default e insegura pra poder ser vulnerable. Un atacante tendría que ser autenticado y tener permisos para escribir en un directorio en el servidor web con permisos de ejecución (execute); cosa que no está alineada con nuestras mejores prácticas o guías para la configuración segura de un servidor. Los clientes que estén usando la configuración de fábrica y quienes sigan las mejores prácticas de seguridad estén en menor riesgo de ser afectados por problemas como este.
Una vez que nuestra investigación termine, tomaremos las acciones apropiadas para proteger a nuestros clientes. Esto podría incluir: una actualización de seguridad en nuestro ciclo mensual regular, una actualización de seguridad fuera de banda o guías adicionales para ayudar a los clientes a protegerse.
Esta vulnerabilidad no fue divulgada responsablemente a Microsoft y podría poner a clientes en riesgo. Nosotros, como siempre, continuamos reforzando la práctica de divulgación responsable de vulnerabilidad y creemos que reportar directamente al fabricante es lo mejor para los intereses de todos de mantener un ecosistema más seguro. Esta práctica ayuda a asegurar que los clientes reciben actualizaciones de seguridad de alta calidad, comprehensivas y sin exposición a ataques maliciosos mientras la actualización es fabricada.
Quiero mencionar algunos recursos y buenas prácticas para configurar de manera segura servidores IIS:
IIS 6.0 Security Best Practices http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx
Securing Sites with Web Site Permissions http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx
IIS 6.0 Operations Guide http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx
Improving Web Application Security: Threats and Countermeasures http://msdn.microsoft.com/en-us/library/ms994921.aspx
Saludos, Christian.-
**Esto se publica “como está” sin garantías y no confiere derechos**
Hola a todos, escribe Christian Linacre para actualizar las noticias respecto de la supuesta vulnerabilidad de IIS que reportamos hace un par de días.
El Centro de Respuesta de Incidentes de Seguridad de Microsoft (MSRC) ha terminado la investigación respecto de los reportes respecto de la posible vulnerabilidad en IIS (Internet Information Server) reportada antes de las fiestas y hemos encontrado que NO hay tal vulnerabilidad en IIS.
Lo que se ha encontrado es una inconsistencia solamente en IIS 6 en cómo maneja los símbolos “punto y coma” (;) en los URLs. Es en esta inconsistencia que los reportes se han focalizado, diciendo que esto permite a un atacante “saltarse” software de filtro de contenido para subir y ejecutar código en un servidor IIS.
La clave de esto, está justamente en este último punto, es que el servidor debe estar previamente configurado para aceptar y permitir los privilegios “write” y “execute” en el mismo directorio. Esto no es la configuración por defecto de IIS y va justamente en contra de nuestras buenas prácticas recomendadas y publicadas. De manera simple, un servidor IIS configurado de esta manera es inherentemente susceptible de este ataque.
Sin embargo, los clientes que estén usando IIS 6.0 en su configuración por defecto (de fábrica) o que estén siguiente nuestras recomendaciones y buenas prácticas no tienen porque preocuparse por este problema. Por otro lado, si Ud. está corriendo IIS con una configuración que tenga los privilegios “write” y “execute” en el mismo directorio como requiere este escenario; recomendamos que revise nuestras buenas prácticas y haga los cambios necesarios para asegurar sus sistema de amenazas que esta configuración pueda habilitar.
Como recordatorio, una lista de las buenas prácticas para IIS 6.0:
Technorati: Alertas,IIS,Internet Information Server,IIS 6.0,Noticias,Seguridad,Vulnerabilidad
del.icio.us: Alertas,IIS,Internet Information Server,IIS 6.0,Noticias,Seguridad,Vulnerabilidad
Hola, les escribe Roberto Arbeláez.
En los últimos dias han aparecido publicados en diferentes medios, rumores sobre problemas con las actualizaciones de seguridad del mes de Noviembre. En particular, con la aparición de “Black Screen of Death” (Pantalla Negra de la Muerte).
Microsoft ha investigado exhaustivamente estos incidentes, y ha encontrado que las actualizaciones de seguridad de Noviembre no hacen cambios al sistema del tipo que pueden generar “Black Screen”.
Para decirlo de manera directa: Las actualizaciones de seguridad de Noviembre no tienen nada que ver con los incidentes de “Black Screen”.
La investigación realizada incluyó el análisis exhaustivo de las actualizaciones de seguridad de Noviembre, así como de la última versión del MSRT (Malicious Software Removal Tool – Herramienta de Remoción de Software Malicioso), y de las actualizaciones de alta prioridad que no son de seguridad que fueron liberadas en Noviembre.
La investigación demostró que ninguno de los componentes liberados en Noviembre realiza cambios en el registro, del tipo que puede llegar a a generar un “Black Screen”.
Nuestra organización de Soporte de Seguridad (CSS Security) tampoco ha visto una ocurrencia significativa de éste tipo de incidentes en el mundo, por lo que no se puede hablar de que sea un fenómeno extendido ni generalizado. Los casos aislados que se han presentado, usualmente están asociados a ciertas familias de Malware como Daonol.
Incluso Prevx, que fue la primera empresa en señalar en su blog la posibilidad de que el fenómeno de “Black Screen” estuviera asociado a los boletines de Noviembre, ha publicado una nueva entrada en su blog, en el cual se retracta y pide excusas a Microsoft por los problemas que pudo haberle causado, debido al artículo inicial en el que ligaba el problema con los boletines de seguridad de Noviembre. En este nuevo artículo, hace un análisis de las causas del “Black Screen” y explica como se llegó a la conclusión de que las actualizaciones de seguridad de Noviembre no tenían nada que ver con el problema.
Saludos,
Roberto Arbeláez
CSS Security Program Manager for Latin America
Microsoft Corp.
El Equipo de CSS Security lo invita a asistir a nuestra presentación EN ESPAÑOL de los boletines mensuales de seguridad.
AGENDA:
Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados mañana Martes a nivel mundial. Esta conferencia provee información técnica y en español, del equipo de CSS Security.
Título: Security Bulletin Release Presentation - For clients and partners (In Spanish) - December
Descripción: Security Bulletin Release Presentation for external audiences, in Spanish.
Fecha: Jueves 10 de diciembre de 2009
Hora: 11:30 AM GMT -5 Bogotá, 10:30AM GMT -6 Mexico
Link para ingresar: http://go.microsoft.com/?linkid=9700200