Hola, les escribe Roberto Arbeláez. Después de una exhaustiva investigación, Microsoft ha confirmado que los problemas reportados de BSoD (Blue Screen of Death – Pantalla Azul de la Muerte) solo se presentan cuando la actualización asociada al  boletín de seguridad MS10-015 se instala en máquinas previamente infectadas con el Rootkit Alureon.

Microsoft llegó a esta conclusión después del análisis exhaustivo de vaciados de memoria obtenidas de múltiples máquinas de usuarios afectados, así como de pruebas extensivas contra aplicaciones y software de terceros.

Los reinicios son el resultado de las modificaciones que el Rootkit Alureon hace a los archivos binarios del kernel de Windows, que pone a las máquinas afectadas en un estado inestable. En ninguno de los incidentes investigados se encontraron problemas de calidad o bugs en el MS10-15. 

En el caso particular de Alureon, los autores de este Rootkit modificaron el comportamiento de Windows al intentar acceder a un segmento específico de memoria directamente, en vez de dejar que el sistema operativo determinara la dirección de memoria que es lo que usualmente pasa cuando se carga un ejecutable. La cadena de eventos en este caso empezaba por que una máquina era infectada con Alureon, y este rootkit asumía en donde iba a estar ubicado el código de windows en memoria. Posteriormente, el MS10-015 era bajado e instalado, durante lo cual se cambiaba la ubicación del código de windows en memoria. Al siguiente reinicio, el código del rootkit hacía que el sistema se estrellara, al intentar acceder una dirección específica en el código de windows residente en memoria que ya no alojaba la función del sistema operativo a la que el rootkit intentaba acceder.

Microsoft ha desarrollado algunas medidas para evitar que se manipule el código del Kernel de Windows usando tecnologías como el  Kernel Patch Protection  (Protección de parcheo al Kernel, también conocido como PatchGuard) y Kernel Mode Code Signing (KMCS, Firmado de Código en Modo Kernel), ambas habilitadas en nuestros sistemas operativos de 64 bits. Estas tecnologías hacen posible detectar cuando las revisiones de integridad del códigio del kernel fallen. Las diferentes versiones de Alureon que se han investigado solamente afectan sistemas de 32 bits y son incapaces de infectar sistemas de 64-bits.

Puede obtener más información sobre el kernel de windows en este link. Más información sobre la investigación y los resultados obtenidos en el articulo asociado a este incidente en el blog de MSRC.

Nuestras recomendaciones siguen siendo las mismas: Los clientes deben implantar las actualizaciones de seguridad de Febrero y asegurarse de que sus sistemas estén protegidos con  software antivirus actualizado.

Si usted es uno de nuestros clientes afectados, le podemos ayudar. Puede abrir un caso de soporte gratuito, en cualquiera de nuestros canales de soporte para Latinoamérica:

• Sitio principal de soporte: http://support.microsoft.com/default.aspx?ln=ES-LA

• Líneas de atención al cliente: http://support.microsoft.com/gp/contactusen/?ln=es-la

• Soporte en línea (vía chat): http://support.microsoft.com/oas/default.aspx?&prid=7552

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, les escribe Roberto Arbeláez.  En los últimos dias, Microsoft ha recibido una cantidad limitada de reportes de clientes afectados con BSoD (Blue Screen of Death – Pantalla azul de la muerte), después de la liberación de los boletines de seguridad del mes de Febrero, y ha iniciado una investigación.

El análisis inicial sugiere que el problema podría estar relacionado con el boletín de seguridad MS10-015. Aún no se ha confirmado que los incidentes estan exclusivamente asociados al MS10-015, o que sea un problema de interoperabilidad con otro componente o con software de terceros.

Inmediatamente se detectaron los problemas, se dejó de ofrecer la actualización a través de Windows Update; sin embargo, las personas que usen sistemas de liberación de actualizaciones empresariales como SMS o WSUS aun pueden seleccionar y obtener esta actualización.

Mientras trabajamos para resolver el problema, le recomendamos a los clientes que opten por no instalar la actualización la implementación de las soluciones temporales (workarounds) descritas en el boletin de seguridad MS10-015. La instalación de una de las soluciones temporales descritas, la desactivación de el subsistema NTVDM se puede hacer automáticamente a través del botón “fix it” en http://support.microsoft.com/kb/979682.

Uno de los componentes principales para poder llevar a cabo la investigación es obtener vaciados de memoria para poder analizarlos. Para este caso en particular, algunos de nuestros ingenieros de soporte han tenido que ir físicamente a recoger máquinas afectadas para poder hacer los vaciados de memoria directamente y poder adelantar la investigación. Para más información sobre los vaciados de memoria, consulte el siguiente link: http://support.microsoft.com/kb/254649.

Puede obtener más información en el Blog de MSRC.

Estamos trabajando para dar solución lo más pronto posible a este problema. Si usted es uno de nuestros clientes afectados, puede abrir un caso de soporte gratuito, en cualquiera de nuestros canales de soporte para Latinoamérica:

• Sitio principal de soporte: http://support.microsoft.com/default.aspx?ln=ES-LA

• Líneas de atención al cliente: http://support.microsoft.com/gp/contactusen/?ln=es-la

• Soporte en línea (vía chat): http://support.microsoft.com/oas/default.aspx?&prid=7552

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

escribe Christian Linacre para informarles acerca de los boletines de Seguridad de Febrero de 2010.

Este mes estamos liberando 13 boletines, 5 de ellos categorizado con severidad máxima de Crítica, 7 como Importante y 1 como Moderada; para resolver 26 vulnerabilidades en Windows y Microsoft Office.

Asimismo, liberamos el Documento Informativo 977377 para ofrecer protección contra la vulnerabilidad públicamente conocida en los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL) y actualizamos el Documento Informativo 979682, donde la vulnerabilidad en kernel de Windows es resuelta por el  boletin MS10-015.

También, las MS10-006 y MS10-012 resolvieron las vulnerabilidades en el Server Message Block (SMB), aunque Microsoft continúa trabajando en una actualización para resolver la vulnerabilidad anunciada en el Security Advisory 977544. Esta vulnerabilidad no puede ser utilizada por un atacante para tomar el control de un sistema en forma remota, sino que puede ocasionar una falta de respuesta del sistema debido al consumo de recursos. Hasta ahora, Microsoft no conoce ningún ataque que utilice esta vulnerabilidad.

Para más información sobre la actualización de este mes, visite Microsoft Security Research Center (MSRC)

Por último, la herramienta Malicious Software Removal Tool (MSRT) se actualizó para incluir Win32/Pushbot.

1. MS10-003 (Importante): Una vulnerabilidad en Microsoft Office (MSO) podría permitir la ejecución remota de código (978214). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-003.mspx
2. MS10-004 (Importante): Vulnerabilidades en Microsoft Office PowerPoint podrían permitir la ejecución remota de código (975416). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-004.mspx
3. MS10-005 (Moderado): Una vulnerabilidad en Microsoft Paint podría permitir la ejecución remota de código (978706). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-005.mspx
4. MS10-006 (Crítico): Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código (978251). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-006.mspx
5. MS10-007 (Crítico): Una vulnerabilidad en el controlador del shell de Windows podría permitir la ejecución remota de código (975713). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-007.mspx
6. MS10-008 (Crítico): Actualización de seguridad acumulativa de bits de interrupción de ActiveX (978262). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-008.mspx
7. MS10-009 (Crítico): Vulnerabilidades en TCP/IP de Windows podrían permitir la ejecución remota de código (974145). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-009.mspx
8. MS10-010 (Importante): Una vulnerabilidad en Windows Server 2008 Hyper-V podría permitir la denegación de servicio (977894). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-010.mspx
9. MS10-011 (Importante): Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (978037). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-011.mspx
10. MS10-012 (Importante):Vulnerabilidades en el servidor SMB podrían permitir la ejecución remota de código (971468). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-012.mspx
11. MS10-013 (Crítico): Una vulnerabilidad en Microsoft DirectShow podría permitir la ejecución remota de código (977935). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-013.mspx
12. MS10-014 (Importante): Una vulnerabilidad en Kerberos podría permitir la denegación de servicio (977290). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-014.mspx
13. MS10-015 (Importante): Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (977165). Detalles en: http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-015.mspx

Como siempre recomendamos revisar los sistemas operativos o software afectados y evaluar las instalaciones de estas actualizaciones lo antes posible. Recuerden que tienen herramientas gratuitas para poder hacer esto:

1. Detección con MBSA (Microsoft Baseline Security Analyzer)
2. Implementación con WSUS (Windows Server Update Services)

Adicionalmente, la herramienta de remoción de software malicioso MSRT (Malicious Software Removal Tool) está siendo actualizada para poder limpiar nuevas familias de malware:

• Win32/Pushbot

En el caso de los usuarios hogareños que necesiten información al respecto, les recomiendo leer:

• Resumen de Febrero
• Boletín MS10-002

Más información para Seguridad en el Hogar visite Microsoft Protect en español. Si usted es un usuario hogareño y tiene problemas de seguridad como virus o actualizaciones de seguridad, puede solicitar soporte gratuito a PC Segura en: http://www.microsoft.com/latam/protect/support/

Cualquier duda no dejen de poner sus comentarios aquí y si tuvieran problemas relacionados con seguridad (virus o boletines de seguridad) no dejen de contactarse con Soporte a través de http://support.microsoft.com/contactus.

Gracias, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

El Equipo de CSS Security lo invita a asistir a nuestra presentación EN ESPAÑOL de los boletines mensuales de seguridad.

AGENDA:        

Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados mañana Martes a nivel mundial. Esta conferencia provee información técnica y en español, del equipo de CSS Security.

Título:                  Security Bulletin Release Presentation - For clients and partners (In Spanish) - February

Descripción:      Security Bulletin Release Presentation for external audiences, in Spanish.

Fecha:                  Jueves 11 de febrero de 2010, 11:30 am GMT -5 Bogotá.

Asistentes: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032438558&Culture=es-AR

Los esperamos!