Hola,

El viernes liberamos el Aviso de Seguridad 2416728 que describe una vulnerabilidad ya pública sobre ASP .Net, la cual afecta a todas las versiones de .Net Framework. En este momento no conocemos de ningún ataque aprovechando esta vulnerabilidad y recomendamos a nuestros clientes a revisar el aviso buscar alternativas de solución o mitigación de la vulnerabilidad. Nuestro equipo de Investigación y Defensa de Seguridad (Security Research and Defense) ha publicado un blog para explicar cómo implementar alternativas de solución y, también han creado un script, para ayudar a los administradores a determinar si ellos tienen aplicaciones ASP .Net implementadas configuraciones vulnerables.

Seguimos investigando este asunto y actualizaremos a nuestros clientes con nueva información tan pronto ésta se encuentre disponible. Además, estamos trabajando muy de cerca con nuestro Microsoft Active Protections Program (MAPP) para ayudar a nuestros socios a construir protecciones donde y cuando sea posible.

Continuamos recomendando a los investigadores de seguridad que coordinen las publicaciones de vulnerabilidades con los proveedores de la industria de software. Creemos que una revelación pública antes de que una actualización completa pueda ser desarrollada y probada, sólo conduce a poner en riesgo a los clientes a través de actividades criminales.

Muchas Gracias

Eduardo Núñez

Director de Seguridad y Privacidad

Microsoft Latinoamérica