Hola, les escribe Roberto Arbeláez. Microsoft publica los siguientes seis boletines de seguridad para vulnerabilidades recientemente descubiertas:
ID del boletín
Título del boletín
Calificación máxima de la gravedad
Impacto de la vulnerabilidad
Se requiere reinicio
Software afectado
MS12-017
La vulnerabilidad en DNS Server podría permitir la negación de servicio (2647170)
Importante
Negación de servicio
Requiere reinicio
Microsoft Windows Server 2003, Windows Server 2008 (excepto los sistemas basados en Itanium) y Windows Server 2008 R2 (excepto los sistemas basados en Itanium).
MS12-018
La vulnerabilidad en las unidades en modo de kernel de Windows podría permitir la elevación de privilegios (2641653)
Elevación de privilegio
Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS12-019
La vulnerabilidad en DirectWrite podría permitir la negación de servicio (2665364)
Moderado
Puede requerir reinicio
Microsoft Windows Vista, Windows Server 2008 (excepto los sistemas basados en Itanium), Windows 7 y Windows Server 2008 R2.
MS12-020
La vulnerabilidad en el Escritorio remoto podría permitir la ejecución remota de códigos (2671387)
Crítica
Ejecución del código remoto
MS12-021
La vulnerabilidad en Visual Studio podría permitir la elevación de privilegios (2651019)
Microsoft Visual Studio 2008 y Visual Studio 2010.
MS12-022
La vulnerabilidad en Expression Design podría permitir la ejecución remota de códigos (2651018)
Microsoft Expression Design, Expression Design 2, Expression Design 3 y Expression Design 4.
Los resúmenes para los nuevos boletines se pueden encontrar en http://technet.microsoft.com/security/bulletin/MS12-mar.
Herramienta de Microsoft Windows para remover software malicioso
Microsoft libera una versión actualizada de la Herramienta de Microsoft Windows para remover software malicioso en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información en la Herramienta de Microsoft Windows para remover software malicioso se encuentra en http://support.microsoft.com/?kbid=890830.
Actualizaciones de alta prioridad que no son de seguridad
Las actualizaciones de alta prioridad que no son de seguridad que libera Microsoft estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallarán en el artículo de KB en http://support.microsoft.com/?id=894199.
Nuevo aviso de seguridad
Microsoft publicó un nuevo aviso de seguridad el 13 de marzo de 2012. Aquí está una descripción de este nuevo aviso de seguridad:
Aviso de seguridad 2647518
Acumulativo de actualizaciones para bits de interrupción de ActiveX
• Microsoft Windows XP
• Windows Server 2003
• Windows Vista
• Windows Server 2008
• Windows 7
• Windows Server 2008 R2
Resumen ejecutivo
• Con este aviso, Microsoft va a lanzar un paquete acumulativo de actualizaciones de bits de interrupción de ActiveX que contiene nuevos bits de interrupción y de todos los bits de interrupción publicados anteriormente.
• Esta actualización configura los bits de interrupción para el siguiente software de terceros:
o Biostat SamplePower (IBM)
o Blueberry Software Flashback Component (IBM)
o HP Photo Creative (HP)
Mayores informes
http://technet.microsoft.com/security/advisory/2647518
Webcast del boletín público
Microsoft realizará una transmisión Web para abordar las preguntas de los clientes sobre estos boletines:
Título: Información sobre los Boletines de seguridad de marzo de Microsoft (Nivel 200)
Fecha: Jueves, 15 de marzo 2012, 10:00 AM UTC/GMT -05 (Bogotá, Lima, Quito)
URL: https://www142.livemeeting.com/cc/microsoft/join?id=P5S2K4&role=attend
Detalles técnicos sobre el nuevo boletín de seguridad
En las siguientes tablas de software afectado y no afectado, habrá pasado el ciclo de vida de soporte de las ediciones de software que no aparezcan . Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web del Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.
Identificador del boletín
Boletín de seguridad de Microsoft MS12-017
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Windows. La vulnerabilidad podría permitir la negación de servicio si un atacante remoto no autenticado envía una consulta DNS especialmente diseñada para tener como objetivo el servidor DNS.
La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que el servidor DNS se encarga de los objetos en la memoria.
Calificaciones de gravedad y software afectado
· Esta actualización de seguridad se considera Importante para todas ediciones compatibles de Windows Server 2003, ediciones de 32 bits y x64 de Windows Server 2008 y x64 de Windows Server 2008 R2.
· Las instalaciones que utilicen Server Core se ven afectadas.
· Las versiones de Itanium no se ven afectadas.
Vectores de ataque
Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad mediante el envío de una consulta DNS especialmente diseñada para tener como objetivo el servidor DNS.
Factores de migración
Microsoft no ha identificado factores atenuantes para esta vulnerabilidad.
Esta actualización requiere un reinicio.
Boletines reemplazados por esta actualización
MS11-058
Detalles completos
http://technet.microsoft.com/security/bulletin/MS12-017
Boletín de seguridad de Microsoft MS12-018
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación preparada especialmente.
La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que la unidad del modo kernel de Windows maneja los mensajes de ventana.
· Esta actualización de seguridad está calificada como Importante para todas las versiones con soporte de Microsoft Windows.
Un atacante que es capaz de entrar en el sistema objetivo podría ejecutar una aplicación especialmente diseñada para continuar funcionando después de que el atacante cierre la sesión.
Un atacante debe tener credenciales válidas para iniciar una sesión y poder iniciar una sesión localmente para explotar esta vulnerabilidad.
MS12-008
http://technet.microsoft.com/security/bulletin/MS12-018
Boletín de seguridad de Microsoft MS12-019
Esta actualización de seguridad resuelve una vulnerabilidad en Windows DirectWrite que puede resultar en una condición de negación de servicio (la aplicación de destino dejará de responder) si una secuencia especialmente diseñada de caracteres Unicode se representa en el sistema de destino.
La actualización de seguridad corrige la vulnerabilidad al cambiar la forma en que DirectWrite representa los caracteres Unicode.
· Esta actualización de seguridad está calificada como Moderada para todas las ediciones con soporte de Windows Vista, Windows Server 2008 (excepto Windows Server 2008 para sistemas con Itanium), Windows 7 y Windows Server 2008 R2.
· Las instalaciones que utilicen Server Core no se ven afectadas.
· En caso de un ataque basado en la Web, un atacante no autenticado tendría que alojar un sitio Web que contenga una secuencia especialmente diseñada de caracteres Unicode.
· En un escenario de ataque basado en mensajería instantánea, un atacante no autenticado podría aprovechar esta vulnerabilidad mediante el envío de una secuencia especialmente diseñada de caracteres Unicode directamente a un cliente de mensajería instantánea como Windows Live Messenger. La aplicación de destino podría dejar de responder cuando se presenta la secuencia de DirectWrite especialmente diseñada de caracteres Unicode.
· Microsoft no ha identificado factores atenuantes para esta vulnerabilidad.
Esta actualización puede requerir un reinicio.
Ninguno
http://technet.microsoft.com/security/bulletin/MS12-019
Boletín de seguridad de Microsoft MS12-020
Esta actualización de seguridad resuelve dos vulnerabilidades en el Protocolo de escritorio remoto. La más grave de estas vulnerabilidades podría permitir la ejecución remota de códigos si un atacante envía una secuencia de paquetes RDP especialmente diseñados a un sistema afectado.
La actualización de seguridad corrige las vulnerabilidades al modificar la manera en que el Protocolo de escritorio remoto procesa los paquetes en la memoria y la forma en que el servicio RDP procesa los paquetes.
· Esta actualización de seguridad está calificada como Crítica para todas las versiones con soporte de Microsoft Windows.
· Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad mediante el envío de una secuencia de paquetes RDP especialmente diseñados para el sistema de destino (CVE-2012-0002).
· El Protocolo de escritorio remoto (RDP) no está activado en cualquier sistema operativo Windows por defecto.
· Las mejores prácticas de firewall y las configuraciones de firewall por defecto pueden ayudar a proteger las redes frente a ataques que se originan fuera del perímetro de la empresa.
· El atacante debe autenticarse con el fin de explotar CVE-2012-0002 si la Autenticación a nivel de red está habilitada.
MS11-065
http://technet.microsoft.com/security/bulletin/MS12-020
Boletín de seguridad de Microsoft MS12-021
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Visual Studio. La vulnerabilidad podría permitir la elevación de privilegios si un atacante pone un complemento diseñado especialmente en la ruta utilizada por Visual Studio y convence a un usuario con mayores privilegios que inicie Visual Studio.
La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que Visual Studio restringen los lugares donde los complementos se cargan.
Esta actualización de seguridad se considera Importante para todas las ediciones compatibles con Microsoft Visual Studio 2008 y Microsoft Visual Studio 2010.
Para aprovechar esta vulnerabilidad, un atacante tendría que iniciar sesión en el sistema. Un atacante podría colocar un complemento especialmente diseñado en la ruta utilizada por Visual Studio.
Un atacante debe tener credenciales válidas para iniciar una sesión y poder iniciar una sesión localmente para explotar esta vulnerabilidad. La vulnerabilidad no podría ser explotada de forma remota o por usuarios anónimos.
http://technet.microsoft.com/security/bulletin/MS12-021
Boletín de seguridad de Microsoft MS12-022
Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en Microsoft Expression Design. La vulnerabilidad podría permitir la ejecución remota de códigos si un usuario abre un archivo legítimo (como un archivo .xpr o .DESIGN) que se localice en el mismo directorio en red de un archivo de biblioteca con vinculación dinámica (DLL) especialmente preparado. La vulnerabilidad corregida por esta actualización se relaciona con la clase de vulnerabilidades que se describen en el Aviso de seguridad de Microsoft 2269637.
La actualización de seguridad trata la vulnerabilidad al corregir la forma en la que Microsoft Expression Design carga las bibliotecas externas.
Esta actualización de seguridad está calificada como Crítica para todas las versiones con soporte de Microsoft Expression Design.
· En caso de un ataque por correo electrónico, un atacante podría aprovechar esta vulnerabilidad mediante el envío de un archivo legítimo relacionada con Expression Design (como un archivo .xpr o .DESIGN) a un usuario, convencer al usuario para colocar el archivo adjunto en un directorio que contenga un archivo DLL especialmente diseñado y, a continuación, abra el archivo legítimo.
· En caso de un ataque de red, un atacante podría colocar un archivo legítimo relacionado con Expression Design y un archivo DLL especialmente diseñado en un recurso compartido de red, un UNC, o la ubicación de WebDAV y luego convencer al usuario para que abra el archivo.
· Comúnmente se desactiva SMB en el firewall del perímetro.
· Un usuario debe ser convencido para visitar un lugar remoto no confiable de sistema de archivos o recurso compartido WebDAV y abrir un archivo (como un archivo .xpr o .DESIGN) desde este lugar que se cargue entonces mediante una aplicación vulnerable.
· La explotación sólo gana los mismos derechos de usuario que la cuenta que inició la sesión.
http://technet.microsoft.com/security/bulletin/MS12-022
Como siempre, si tiene problemas al bajar o instalar una de las actualizaciones, o problemas después de instalar una actualización, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:
–Para usuario final: http://www.microsoft.com/latam/protect/support/default.mspx
–Para usuario corporativo: http://support.microsoft.com/default.aspx?ln=ES-LA
–Teléfonos de las líneas de soporte en Latinoamérica: http://support.microsoft.com/gp/contactusen/?ln=es-la
es importante que tenga en cuenta que el soporte gratuito de seguridad también aplica para cualquier caso de seguridad y de malware (virus, troyanos, gusanos, etc.) sin importar que marca de antivirus use. Así que si ha sido afectado (o sospecha que han sido afectado) por un ataque de seguridad o por malware, no vacile en contactarnos. Nuestros ingenieros de soporte harán la investigación respectiva para determinar si el caso es o no un problema de seguridad y/o de malware, y en caso afirmativo, le darán pronta solución al problema.
También quiero aprovechar para exterder una invitación para que nos sigan en twitter en los siguientes alias:
@LATAMSRC Información OFICIAL de Microsoft sobre alertas de seguridad, advisories, y boletines. Bajo volumen de twits (cuando se emitan alertas). En español.
@rarbelaez Información general de Seguridad. Alto volumen de twits. En español e inglés.
Saludos,
Roberto Arbeláez
Security Program Manager for Latin America
CSS Security
Microsoft Corp.
Hola,les escribe Roberto Arbeláez.
Ya hay indicios sobre la aparición de código de prueba de concepto (POC – Proof of Concept) que trata de explotar la vulnerabilidad CVE2012-002. Esta vulnerabilidad hace posible la ejecución remota de código explotando una debilidad en el protocolo RDP – Remote Desktop Protocol.
Aunque aún no ha sido confirmada por Microsoft, la aparición del código de prueba de concepto ha sido documentada en la web en artículos como éste de Sophos, y éste de Threat Post. La generación de una prueba de concepto que demuestre la viabilidad de explotación de una vulnerabilidad es un paso previo al desarrollo de un código de explotación que funcione de manera confiable.
Debido a que la vulnerabilidad es potencialmente explotable por un gusano autoreplicante, es posible que en el futuro cercano / mediano, aparezca malware de éste tipo que explote la vulnerabilidad de manera automática, posiblemente llevando a que se presenten infecciones masivas.
Esta vulnerabilidad ya fue parchada por el boletín de seguridad de Microsoft MS12-020, publicado el Martes 13 de Marzo de 2012, por lo que es necesario que todos nuestros clientes instalen esta actualización en sus sistemas lo mas pronto posible.
¿Que debo hacer para protegerme?
Cómo protegerme: Implementando de inmediato las soluciones temporales
Las soluciones temporales no corrigen la vulnerabilidad subyacente pero ayudan a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las siguientes soluciones temporales:
Solución #1: Deshabilitar Terminal Services, Escritorio remoto, Asistencia remota y la característica Lugar de trabajo remoto en Web de Windows Small Business Server 2003 si ya no se necesitan
Cómo deshabilitar Escritorio remoto manualmente: Deshabilitar Escritorio remoto
Cómo deshabilitar Escritorio remoto mediante Directiva de grupo: artículo 306300 de Microsoft Knowledge Base
Cómo deshabilitar Asistencia remota manualmente y con Directiva de grupo, vea el artículo de TechNet Asistencia remota.
Cómo deshabilitar Terminal Services y Lugar de trabajo remoto en Web de Windows Small Business Server 2003: Proteger la red de Windows Small Business Server 2003.
Solución # 2: Bloquear el trafico entrante al puerto TCP 3389 en el firewall perimetral de la empresa
El puerto 3389 se usa para iniciar una conexión con el componente afectado. Al bloquear este puerto en el firewall perimetral de la red, se contribuirá a proteger los sistemas situados detrás del firewall frente a los intentos de aprovechar esta vulnerabilidad. Esto puede proteger a las redes de los ataques que se originan fuera del perímetro de la empresa.
Para Windows XP y Windows 2003 Server: En Windows XP y Windows Server 2003, el Firewall de Windows puede proteger los sistemas individuales. De forma predeterminada, Firewall de Windows no permite conexiones a este puerto, menos en Windows XP Service Pack 2 cuando la característica de Escritorio remoto está habilitada. Para obtener información acerca de cómo deshabilitar la excepción de Firewall de Windows para Escritorio remoto en estas plataformas, vea el artículo de TechNet Habilitar o deshabilitar la regla de firewall de Escritorio remoto.
Para Windows Small Business Server 2003: Windows Small Business Server 2003 usa una característica denominada Lugar de trabajo remoto en Web. Esta característica usa el puerto TCP 4125 para escuchar conexiones RDP. Si usa esta característica, debe validar que este puerto también esté bloqueado para Internet además del puerto 3389.
Nota Es posible cambiar manualmente los componentes afectados para que usen otros puertos. Si ha realizado estas acciones, también debe bloquear esos puertos adicionales.
Solución #3: Habilitar la autenticación de nivel de red en sistemas que ejecuten ediciones compatibles de Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2
Puede habilitar la autenticación de nivel de red para impedir que los atacantes no autenticados aprovechen esta vulnerabilidad. Con la autenticación de nivel de red activada, un atacante primero debería autenticarse en Servicios de Escritorio remoto mediante una cuenta válida en el sistema de destino para que pudiera aprovechar la vulnerabilidad.
En el artículo 2671387 de Microsoft Knowledge Base hay disponible una solución Microsoft Fix it que automáticamente habilita esta solución temporal.
Para usar la autenticación de nivel de red, el entorno debe cumplir los siguientes requisitos:
Consecuencias de la solución provisional. Los equipos cliente que no admiten el protocolo de proveedor de compatibilidad para seguridad de credenciales (CredSSP) no podrán obtener acceso a los servidores protegidos con la autenticación de nivel de red. Nota Para los administradores que implementen esta solución provisional en un entorno de red mixto donde los sistemas Windows XP Service Pack 3 deban usar Escritorio remoto, vea el artículo de Microsoft Knowledge Base 951608 para obtener información acerca de cómo habilitar CredSSP en Windows XP Service Pack 3.
Para obtener más información acerca de la autenticación de nivel de red, incluido el modo de habilitar dicha autenticación mediante Directiva de grupo, vea el artículo de Technet Configurar la autenticación de nivel de red para las conexiones de Servicios de Escritorio remoto.
Cómo protegerme: Instalando la actualización tan pronto sea posible
Las actualizaciones de seguridad se pueden descargar del Catálogo de Microsoft Update. Microsoft siempre recomienda a sus clientes hacer pruebas en un laboratorio / entorno de pruebas controlado antes de liberar sus actualizaciones en el entorno de producción. En el caso de esta actualización, recomendamos darle la más alta prioridad, de manera que sea probada y liberada en producción lo antes posible.
Como siempre, si tiene problemas al bajar o instalar la actualización MS12-020 o cualquier otra actualización, o problemas después de instalarlas, tiene derecho a recibir soporte gratuito de seguridad Microsoft. el soporte lo pueden obtener aqui:
Microsoft lo invita a asistir a nuestra presentación en español de los boletines de seguridad de este mes.
AGENDA:
Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados este mes a nivel mundial. Esta conferencia provee información técnica para clientes y en español, del equipo de Customer Service and Support - Security (CSS Security) de Microsoft.
INVITACIÓN
Security Bulletin Release Presentation - For clients and partners (In Spanish)
Registro:
https://www142.livemeeting.com/cc/microsoft/join?id=P5S2K4&role=attend
Jueves, 15 de Marzo de 2012 10:00 A.M. UTC/GMT –05 (Bogotá, Lima, Quito) Duración: 30 Minutos