Hola,

Hoy anunciamos el Boletín de Seguridad MS10-046 fuera de programación para direccionar una vulnerabilidad en Windows. Esta actualización de seguridad  direcciona una vulnerabilidad en el manejo de accesos directos que afecta a todos las versiones actualmente soportadas de Windows XP, Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Nuestros colegas en el MMPC (Microsoft Malware Protection Center) han detectado a varias familias de malware tratando de atacar esta vulnerabilidad. La actualización de seguridad protege contra los intentos de explotar dicha vulnerabilidad.

Para clientes que usan actualizaciones automáticas, esta actualización será automáticamente aplicada una vez que sea liberada. Los clientes que no usan actualizaciones automáticas, deberán descargar, probar e instalar esta actualización tan pronto como les sea posible.

Como hacemos cada vez que liberamos un boletín, estaremos haciendo un webcast para responder todas las inquietudes de nuestros clientes y socios hoy a la 1PM hora del Pacífico. Regístrese ahora

Muchas Gracias

Eduardo Núñez

Director de Seguridad y Privacidad

Microsoft Latinoamérica

Descripción General

Hoy fue liberado el Aviso de Seguridad 2269637 de Microsoft. Este aviso se diferencia de otros Avisos de Seguridad de Microsoft, pues no habla sobre vulnerabilidades específicas en los productos de Microsoft; mas bien, ésta es una guía oficial en respuesta a investigaciones de seguridad que han señalado un vector nuevo parar la clase de vulnerabilidad ya conocida y denominada Precarga de DLL o ataques de "siembra binaria" (Binary Planting). Estamos haciendo una indagación profunda sobre la forma en que este nuevo vector pudiera afectar productos Microsoft. Como siempre, si encontráramos algún riesgo específico en nuestros productos, lo direccionaremos de forma apropiada.

Detalle Técnico

Lo que esta nueva investigación establece es un nuevo vector para ataques Precarga de DLL . Estos ataques no son nuevos o únicamente relacionados a la plataforma Windows. Por ejemplo, los ataques PATH, que son similares, constituyen uno de los tipos de ataques más antiguos conocidos contra el sistema operativo UNIX. El ataque se enfoca en engañar a una aplicación para que cargue una librería maliciosa, cuando en realidad dicha aplicación piensa que es una librería de confianza. Para que esto pueda ocurrir de forma exitosa, la aplicación debe llamar a la librería de confianza usando solamente el nombre en vez de usar una ruta suficientemente calificada (por ejemplo, llamar a dllname.dll en vez de c:\Program Files\ Common Files\Contoso\dllname.dll). El atacante deberá colocar entonces, una copia de la librería maliciosa, en un directorio en donde el sistema buscará primero que el directorio donde se encuentra la librería real. Por ejemplo, si el atacante sabe que la aplicación simplemente llama a la librería usando dllname.dll (en vez de usar una ruta suficientemente calificada) y además está al tanto que el sistema buscará primero en el directorio activo antes de buscar en c:\Programs Files\Common Files\Contoso, basta sólo que copie la librería maliciosa con el nombre de dllname.dll en el directorio acual de la aplicación, de esa forma la aplicación cargará la librería maliciosa y se ejecutará el código del atacante en el contexto de seguridad de la aplicación.

Los Ataques PATH o Precarga de DLL han requerido hasta el momento, que el atacante siembre la librería maliciosa en el sistema cliente local. Esta nueva investigación delinea una forma en que un atacante pudiera ejecutar estos ataques colocando las librerías maliciosas en un network share. Bajo este escenario, el atacante debe crear un archivo de datos y una librería maliciosa que pueden ser usadas potencialmente por la aplicación, además debe postear dichos archivos un sitio de la red  donde el usuario tenga acceso, para luego convencerlo de que uso el mencionado archivo de datos. En ese momento, la aplicación cargaría la librería maliciosa y el código del atacante se ejecutaría en el sistema del usuario.

Debido a que este es un nuevo vector de ataque y no una nueva clase de vulnerabilidad, las mejores prácticas existentes para protegerse contra este tipo de vulnerabilidad, automáticamente protegen contra este nuevo vector: asegurarse que las aplicaciones hagan llamadas a librerías de confianza utilizando los caminos completos.

Mientras que la mejor protección consiste en usar las mejores prácticas antes señaladas, Microsoft está en la capacidad de proveer una capa adicional de seguridad ofreciendo una herramienta que puede ser configurada para inhabilitar la carga de librerías desde la red. Debido a que esta se puede alterar la funcionalidad con esta herramienta, recomendamos a nuestros clientes a evaluarla antes de implementarla. Como parte de la evaluación, recomendamos revisar la información en el blog de Security Research and Defense (SRD).

Continuaremos nuestro trabajo con investigadores y la industria para identificar y direccionar aplicaciones vulnerables. Como siempre, haremos actualizaciones con cualquier información que tengamos a través de nuestros avisos, boletines y blogs de seguridad de forma apropiada

Muchas Gracias

Eduardo Núñez
Director de Iniciativas de Seguridad y Privacidad
Microsoft Latinoamérica

Durante algún tiempo ya, hemos estado recibiendo una serie de requerimientos de distintas organizaciones e individuos que quieren usar el contenido de nuestro Ciclo de Vida de Desarrollo de Seguridad  (Security Development Lifecycle – SDL) para construir así, sus propios procesos de desarrollo seguro. Dentro de Microsoft hemos pensado arduamente sobre cómo dar una respuesta positiva a estos requerimientos.

Hasta el momento, Microsoft ha liberado la información relacionada al SDL usando una licencia que no permite la reproducción, inclusión o transferencia de ninguna parte del proceso o de la documentación asociada, sin consentimiento expreso y por escrito por parte de Microsoft.

Hoy en día estamos orgullosos de anunciar que de ahora en adelante, Microsoft hará públicamente disponible toda la documentación y contenido del SDL existente para la comunidad de desarrolladores, bajo una licencia de Creative Commons. Específicamente estaremos usando los términos la licencia que señala Reconocimiento, No Comercial, Licenciar Igual: El material creado por usted puede ser distribuido, copiado y exhibido por terceros si se muestra en los créditos. No se puede obtener ningún beneficio comercial y las obras derivadas tienen que estar bajo los mismos términos de licencia que el trabajo original.

Al cambiar los términos de licenciamiento, ahora permitimos a personas y organizaciones, copiar, distribuir y transmitir la documentación a otros; esto significa que usted puede incorporar contenido de los documentos del SDL liberados bajo la licencia de Creative Commons, dentro de su proceso interno de documentación - sujeto a los términos señalados por la licencia antes señalada. Para mayor información sobre los detalles específicos de la licencia, por favor consulte aquí.

Es importante destacar, que nosotros no pretendemos cambiar el licenciamiento de ninguna de las Herramientas del SDL, estas continuarán usando licencias existentes de Microsoft.

Los dos primeros documentos a ser liberados bajo la licencia de Creative Commons serán las versiones en inglés de “Simplified Implementation of the Microsoft SDL” y Microsoft Security Development Lifecycle (SDL) - Version 5.0,que ilustra como Microsoft aplica el SDL a nuestros productos y servicios. Estos documentos serán liberados en las próximas semanas.

Existe una gran cantidad de información en nuestro portal sobre el SDL tales como: casos de estudios, papeles, y materiales de entrenamiento. Es nuestra intención analizar todo este contenido y aplicarle las licencias Creative Commons también – asumiendo que tiene sentido y que no todavía no se encuentra cubierto bajo nuevos trabajos que se encuentren bajo la licencia de Creative Commons. Tomará algún tiempo para analizar y postear los documentos con la nueva licencia, así que por favor requerimos de su paciencia.

Nosotros esperamos que al publicar la documentación del SDL de forma más accesible y portable, que más personas y organizaciones comiencen a desarrollar de forma segura e incorporar conceptos de privacidad, lo que ayudará al desarrollo general de la industria.

Muchas gracias

Eduardo Núñez
Director de Seguridad y Privacidad
Microsoft Latinoamérica

El Equipo de CSS Security lo invita a asistir a nuestra presentación EN ESPAÑOL de los boletines mensuales de seguridad.

AGENDA:        

Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados el Martes 10 de Agosto a nivel mundial. Esta conferencia provee información técnica y en español, del equipo de Customer Service and Support – Security, de Microsoft.

Título:                   Security Bulletin Release Presentation - For clients and partners (In Spanish) – August

Descripción:       Security Bulletin Release Presentation for external audiences, in Spanish.

Fecha:                   Jueves 12 de agosto de 2010, 11:30 am GMT -5 Bogotá.

Asistentes:         https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032455910&Culture=es-AR