Hola, les escribe Roberto Arbeláez.
Microsoft liberó el Documento Informativo de Seguridad 2488013 – Vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código, el 22 de diciembre del 2010.
Resumen
Microsoft investiga nuevos informes públicos de una vulnerabilidad en todas las versiones con soporte de Internet Explorer. El impacto principal de la vulnerabilidad es la ejecución remota de código. Este documento informativo contiene soluciones temporales y mitigaciones para este problema.
La vulnerabilidad existe debido a la creación de memoria sin utilizar durante una función CSS dentro de Internet Explorer. Es posible que bajo ciertas condiciones un atacante apalanque la memoria utilizando una página Web especialmente diseñada para conseguir la ejecución remota de código.
Al completar esta investigación, Microsoft emprenderá la acción apropiada para proteger a nuestros clientes, lo cual puede incluir ofrecer una solución a través de nuestro proceso de liberación mensual de actualizaciones de seguridad, o una actualización de seguridad fuera del ciclo, dependiendo de las necesidades del cliente. Actualmente, Microsoft no tiene conocimiento de explotación activa alguna de esta vulnerabilidad.
Estamos trabajando activamente con los socios de nuestros programas Microsoft Active Protections Program (MAPP) y Microsoft Security Response Alliance (MSRA) para ofrecer información que pueden utilizar para brindar mayor protección a los clientes. Además, trabajamos activamente con los socios para monitorear el panorama de las amenazas y emprender acciones contra sitios malintencionados que intenten explotar esta vulnerabilidad.
Microsoft sigue invitando a todos los clientes para que sigan los lineamientos de “Proteja su PC” que sugieren habilitar un firewall, aplicar todas las actualizaciones de software e instalar software antivirus y antispyware. Encontrará información adicional en Seguridad en casa.
Factores de mitigación
· El Modo protegido de Internet Explorer en Windows Vista y los sistemas operativos posteriores de Windows ayuda a limitar el impacto de las explosiones que se conocen actualmente. El atacante que explote con éxito esta vulnerabilidad contará con derechos muy limitados del sistema.
· Por predeterminación, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido que se conoce como Configuración de seguridad mejorada. Este modo establece en Alto el nivel de seguridad para la zona de Internet. Éste es un factor de mitigación para los sitios Web que usted no ha agregado a la zona de sitios Confiables de Internet Explorer. También consulte Administración de la configuración de seguridad mejorada de Internet Explorer.
· Por predeterminación, todas las versiones con soporte de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren mensajes de correo electrónico HTML en la zona de sitios Restringidos, que deshabilita los controles de secuencias de comandos y ActiveX, lo cual reduce el riesgo de que un atacante pueda utilizar esta vulnerabilidad para ejecutar código malicioso. Si un usuario hace clic en el vínculo de un mensaje de correo electrónico, el usuario podría seguir siendo vulnerable a la explotación de esta vulnerabilidad a través del escenario de ataque basado en el Web.
· El atacante que explote con éxito esta vulnerabilidad podría conseguir los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativo.
· En un escenario de ataque basado en la Web, el atacante podría alojar un sitio Web que contiene una página Web que se utiliza para explotar esta vulnerabilidad. Además, los sitios Web comprometidos y sitios Web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que podría explotar esta vulnerabilidad. Sin embargo, en todos los casos, el atacante no tendría una forma de obligar a los usuarios a que visiten estos sitios Web. En su lugar, el atacante tendría que convencer a los usuarios de que visiten el sitio Web, generalmente al conseguir que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje de Instant Messenger que lleva a los usuarios al sitio Web del atacante.
Software afectado
La asesoría de seguridad analiza el software a continuación.
Internet Explorer 6
Windows XP Service Pack 3
Windows XP Professional edición de 64 bits con Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 edición de 64 bits con Service Pack 2
Windows Server 2003 con SP2 para sistemas Itanium
Internet Explorer 7
Windows Vista con Service Pack 1 y Windows Vista con Service Pack 2
Windows Vista edición de 64 bits con Service Pack 1 y Windows Vista edición de 64 bits con Service Pack 2
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits con Service Pack 2
Windows Server 2008 para sistemas de 64 bits y Windows Server 2008 para sistemas de 64 bits con Service Pack 2
Windows Server 2008 para sistemas Itanium y Windows Server 2008 para sistemas Itanium con Service Pack 2
Internet Explorer 8
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas de 64 bits
Windows Server 2008 para sistema de 64 bits
Windows Server 2008 R2 para sistemas Itanium
Recomendaciones
Revise la Asesoría de seguridad 2488013 de Microsoft para conocer una descripción general del problema, detalles sobre los componentes afectados, factores de mitigación, acciones sugeridas, preguntas más frecuentes y vínculos a recursos adicionales.
Los clientes que consideren que están afectados se pueden poner en contacto sin cargo alguno con Servicio y soporte al cliente (CSS) en Norteamérica para recibir ayuda con los problemas de actualización de seguridad o virus utilizando la línea de Seguridad del PC (866) PCSAFETY. Los clientes internacionales se pueden poner en contacto con Atención al cliente y el Departamento de soporte utilizando cualquier método que se encuentra en http://www.microsoft.com/protect/worldwide/default.mspx.
Recursos adicionales
· Documento Informativo de Seguridad 2488013 – La vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código: http://www.microsoft.com/technet/security/advisory/2488013.mspx
· Blog del Centro de respuesta de seguridad de Microsoft (MSRC): http://blogs.technet.com/msrc/
· Blog del Centro de protección contra malware de Microsoft (MMPC): http://blogs.technet.com/mmpc/
· Blog de Investigación y defensa de vulnerabilidades de seguridad (SRD) de Microsoft: http://blogs.technet.com/srd/
Acerca de la consistencia de la información
Nos esforzamos por ofrecerle información precisa en contenido estático (este correo) y dinámico (basado en la Web). El contenido de seguridad de Microsoft que se publica en la Web algunas veces se actualiza para reflejar la información de última hora. En caso de que esto resulte en una inconsistencia entre la información que se presenta en este documento y la información del contenido de seguridad basado en la Web de Microsoft, la información del contenido de seguridad basado en la Web de Microsoft será la autorizada.
Gracias,
Equipo de Seguridad CSS de Microsoft
Microsoft lo invita a asistir a nuestra presentación en español de los boletines de seguridad de este mes.
AGENDA:
Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados este mes a nivel mundial. Esta conferencia provee información técnica para clientes y en español, del equipo de Customer Service and Support - Security (CSS Security) de Microsoft.
INVITACIÓN
Webcast TechNet: Security Bulletin Release Presentation - For clients and partners (In Spanish)
jueves, 16 de diciembre de 2010 11:30 a.m. Bogotá, Lima, Quito Duración:60 Minutos
https://msevents.microsoft.com/CUI/Register.aspx?culture=es-AR&EventID=1032472739&CountryCode=AR
El Equipo de CSS Security lo invita a asistir a nuestra presentación EN ESPAÑOL de los boletines mensuales de seguridad.
Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados el Martes 9 de Septiembre a nivel mundial. Esta conferencia provee información técnica y en español, del equipo de Customer Service and Support – Security, de Microsoft.
Título: Security Bulletin Release Presentation - For clients and partners (In Spanish) – Noviembre
Descripción: Security Bulletin Release Presentation for external audiences, in Spanish.
Fecha: Jueves 11 de noviembre de 2010, 11:30 am GMT -5 Bogotá.
Asistentes: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032464699&Culture=es-AR
A continuación se ofrece una descripción general de los nuevos boletines de seguridad que se liberaron ayer Martes 12 de Octubre del 2010. Los boletines de seguridad se liberan mensualmente para resolver las vulnerabilidades de problemas críticos.
Nuevos boletines de seguridad
Microsoft publica los siguientes dieciséis (16) nuevos boletines de seguridad para solucionar vulnerabilidades recientemente descubiertas:
ID del boletín
Título del boletín
Clasificación de gravedad máxima
Impacto de la vulnerabilidad
Requisito de reinicio
MS10-071
Actualización de seguridad acumulativa para Internet Explorer (2360131)
Crítico
Ejecución remota de código
Requiere reinicio
Internet Explorer en Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS10-072
Las vulnerabilidades en SafeHTML podrían permitir la divulgación de información (2412048)
Importante
Divulgación de información
Puede requerir reinicio
Microsoft Windows SharePoint Services 3.0, SharePoint Foundation 2010, Office SharePoint Server 2007, Groove Server 2010 y Aplicaciones Web de Office.
MS10-073
Las vulnerabilidades en los controladores del modo kernel de Windows podrían permitir la elevación de privilegios (981957)
Elevación de privilegios
Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS10-074
La vulnerabilidad en Microsoft Foundation Classes podría permitir la ejecución remota de código (2387149)
Moderado
MS10-075
La vulnerabilidad en el Servicio de uso compartido de red del Reproductor de Windows Media podría permitir la ejecución remota de código (2281679)
Microsoft Windows Vista y Windows 7.
MS10-076
La vulnerabilidad en el Motor de fuentes OpenType insertadas podría permitir la ejecución remota de código (982132)
MS10-077
La vulnerabilidad en .NET Framework podría permitir la ejecución remota de código (2160841)
MS10-078
Las vulnerabilidades en el Controlador de formato de fuentes OpenType (OTF) podría permitir la elevación de privilegios (2279986)
Microsoft Windows XP y Windows Server 2003.
MS10-079
Las vulnerabilidades en Microsoft Word podrían permitir la ejecución remota de código (2293194)
Microsoft Office Word 2002, Word 2003, Word 2007, Word 2010, Office 2004 para Mac, Office 2008 para Mac, Convertidor de archivos con formatos XML abiertos para Mac, Word Viewer, Paquete de compatibilidad de Microsoft Office para formatos de archivo Word, Excel y PowerPoint 2007, Aplicaciones Web de Office y Aplicaciones Web de Word.
MS10-080
Las vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (2293211)
Microsoft Excel 2002, Excel 2003, Excel 2007, Office 2004 para Mac, Office 2008 para Mac, Convertidor de archivos con formatos XML abiertos para Mac, Excel Viewer, Paquete de compatibilidad de Microsoft Office para formatos de archivo Word, Excel y PowerPoint 2007.
MS10-081
La vulnerabilidad en la Biblioteca de controles común de Windows podría permitir la ejecución remota de código (2296011)
MS10-082
La vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (2378111)
MS10-083
La vulnerabilidad en la Validación COM en Windows Shell y WordPad podría permitir la ejecución remota de código (2405882)
MS10-084
La vulnerabilidad en las Llamadas a procedimiento local de Windows podría provocar la elevación de privilegios (2360937)
MS10-085
La vulnerabilidad en SChannel podría permitir la denegación de servicio (2207566)
Denegación de servicio
Microsoft Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
MS10-086
La vulnerabilidad en los discos del clúster compartido de Windows podría permitir la manipulación (2294255)
Manipulación
Microsoft Windows Server 2008 R2.
* La lista de software afectado anterior es un abstracto. Para ver la lista completa de componentes afectados por favor visite la viñeta en el vínculo que se proporciona en la columna izquierda y revise la sección "Software afectado".
Los resúmenes de los boletines nuevos se pueden encontrar en http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-oct.mspx.
Herramienta de eliminación de software malintencionado de Microsoft Windows
Microsoft lanzará una versión actualizada de la Herramienta de eliminación de software malintencionado de Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descarga. La información sobre Herramienta de eliminación de software malintencionado de Microsoft Windows está disponible en http://support.microsoft.com/?kbid=890830.
Actualizaciones de alta prioridad no relacionadas con la seguridad
Las liberaciones de Microsoft de actualizaciones de alta prioridad no relacionadas con la seguridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU), o Windows Server Update Services (WSUS) se detallarán en el artículo de la KB que se encuentra en http://support.microsoft.com/?id=894199.
Webcast DEL BOLETÍN PÚBLICO
Microsoft ofrecerá un Webcast en Español para Latinoamérica, para responder a todas las preguntas de los clientes sobre estos boletines:
Título: Información acerca de los Boletines de seguridad de Octubre de Microsoft (Nivel 200)
Fecha: Jueves 14 de octubre de 2010, 11:30 am GMT -5 Bogotá, Quito, Lima, México
URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032460226&Culture=es-AR
DETALLES TÉCNICOS DEL NUEVO BOLETÍN DE SEGURIDAD
En las siguientes tablas del software afectado y no afectado, las ediciones de software que no se incluyen en la lista superaron su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.
Identificador de boletín
Boletín de seguridad de Microsoft MS10-071
Resumen ejecutivo
Esta actualización de seguridad resuelve siete vulnerabilidades informadas de forma privada y tres vulnerabilidades divulgadas de forma pública en Internet Explorer. Las vulnerabilidades más graves podrían permitir la ejecución remota de código en caso de que un usuario vea una página Web especialmente diseñada utilizando Internet Explorer.
La actualización de seguridad resuelve estas vulnerabilidades al modificar la forma en que Internet Explorer maneja los objetos en la memoria, los caracteres especiales CSS, el saneamiento de HTML, la característica AutoComplete, el elemento Anclaje y las secuencias de comandos durante ciertos procesos.
Clasificaciones de gravedad y software afectado
· Esta actualización de seguridad se clasifica como Crítica para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en los clientes Windows;
· Esta actualización de seguridad se clasifica como Importante para Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en los servidores Windows.
Vectores de ataque
· Una página Web diseñada malintencionadamente
· Un mensaje de correo electrónico diseñado malintencionadamente
· El atacante no tendría forma de obligar al usuario a visitar un sitio Web malicioso.
· Por predeterminación, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido, conocido como Configuración de seguridad mejorada.
· Por predeterminación, todas las versiones con soporte de Outlook, Outlook Express y Windows Mail abren mensajes de correo electrónico HTML en la zona de sitios Restringidos.
· El atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local, los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían experimentar un menor impacto que los usuarios que operan con derechos de usuario administrativo.
Esta actualización requiere un reinicio.
Boletines reemplazados con esta actualización
MS10-053
Detalles completos
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-071.mspx
Boletín de seguridad de Microsoft MS10-072
Esta actualización de seguridad resuelve una vulnerabilidad divulgada de forma pública y otra informada de forma privada en Microsoft SharePoint y Windows SharePoint Services. Las vulnerabilidades podrían permitir la divulgación de información en caso de que el atacante enviara una secuencia de comandos especialmente diseñada a un sitio objetivo utilizando SafeHTML.
La actualización resuelve la vulnerabilidad al modificar la forma en que SafeHTML sanea el contenido HTML.
La actualización de seguridad se clasifica como Importante para Microsoft SharePoint Services 3.0, Microsoft SharePoint Foundation 2010, Aplicaciones Web de Microsoft Office, todas las ediciones con soporte de Microsoft Office SharePoint Server 2007 y Microsoft Groove Server 2010.
El atacante envía una secuencia de comandos especialmente diseñada a un sitio objetivo utilizando SafeHTML.
Microsoft no identificó ninguna mitigación para CVE-2010-3324. Respecto a la segunda vulnerabilidad, únicamente los sitios que utilizan SafeHTML para sanear HTML se ven potencialmente afectados por CVE-2010-3243.
Esta actualización puede requerir un reinicio.
MS10-039
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-072.mspx
Boletín de seguridad de Microsoft MS10-073
Esta actualización de seguridad resuelve diversas vulnerabilidades divulgadas de forma pública en los controladores del modo kernel de Windows. Las más graves de estas vulnerabilidades podrían permitir la elevación de privilegios en caso de que el atacante iniciara sesión en el sistema afectado y ejecutara una aplicación diseñada de forma especial.
La actualización de seguridad resuelve las vulnerabilidades al corregir la manera en que los controladores del modo kernel de Windows mantienen el conteo de referencia para un objeto, indexan una tabla de señaladotes de función al cargar un diseño de teclado desde el disco, y validan los datos window class.
Esta actualización de seguridad se clasifica como Importante para todas las ediciones con soporte de Microsoft Windows.
· El inicio de sesión de un usuario malintencionado.
· Una aplicación diseñada malintencionadamente.
· Una secuencia de comandos diseñada malintencionadamente.
El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar esta vulnerabilidad. La vulnerabilidad no se puede explotar de forma remota ni por usuarios anónimos.
MS10-048
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-073.mspx
Boletín de seguridad de Microsoft MS10-074
Esta actualización de seguridad resuelve una vulnerabilidad divulgada de forma pública en la Biblioteca Microsoft Foundation Class (MFC). La vulnerabilidad podría permitir la ejecución remota de código en caso de que el usuario iniciara sesión con derechos de usuario administrativo y abriera una aplicación integrada con la Biblioteca MFC. El atacante que explote con éxito esta vulnerabilidad podría obtener los mismos permisos que el usuario registrado en ese momento. Si el usuario inicia sesión con derechos de usuario administrativo, el atacante podría tomar el control total del sistema afectado.
La actualización de seguridad resuelve la vulnerabilidad al agregar verificaciones adicionales a las solicitudes para cambiar el título de la ventana.
Esta actualización de seguridad se clasifica como Moderada para todas las liberaciones con soporte de Microsoft Windows.
· El título de ventana cambia con base en la información de la red como en una aplicación de chat o en un explorador Web.
· El título de ventana cambia con base en el contenido de un archivo que se abre con la aplicación MFC.
· Un archivo diseñado especialmente con una aplicación MFC específica instalada en el sistema del usuario.
El atacante que explote con éxito esta vulnerabilidad podría obtener los mismos permisos que el usuario registrado en ese momento. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que los usuarios que operan con derechos de usuario administrativo.
Para Windows Server 2003 SP2: MS07-012
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-074.mspx
Boletín de seguridad de Microsoft MS10-075
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en el Servicio de uso compartido de red del Reproductor de Microsoft Windows Media. La vulnerabilidad podría permitir la ejecución remota de código en caso de que el atacante enviara un paquete RTSP diseñado especialmente a un sistema afectado.
La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que el Servicio de uso compartido de red del Reproductor de Windows Media maneja los paquetes RTSP diseñados especialmente.
Esta actualización de seguridad se clasifica como Crítica para las ediciones con soporte de Windows 7 y como Importante para todas las ediciones con soporte de Windows Vista.
Paquetes de red diseñados malintencionadamente.
· El acceso a Internet para el medio de casa está deshabilitado por predeterminación. En esta configuración predeterminada, sólo puede explotar la vulnerabilidad un atacante dentro de la misma subred.
· En las ediciones con soporte de Windows Vista y en las ediciones Windows 7 Professional, Windows 7 Enterprise y Windows 7 Ultimate, el Servicio de uso compartido de red del Reproductor de Windows Media no está habilitado por predeterminación.
Ninguno
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-075.mspx
Boletín de seguridad de Microsoft MS10-076
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en un componente de Microsoft Windows, el Motor de fuentes OpenType insertadas (EOT). La vulnerabilidad podría permitir la ejecución remota de código. El atacante que explote con éxito esta vulnerabilidad podría asumir el control total de un sistema afectado remotamente.
La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que el Motor de fuentes OpenType insertadas analiza los archivos y el contenido que incluyen fuentes insertadas.
Esta actualización de seguridad se clasifica como Crítica para todas las liberaciones con soporte de Microsoft Windows.
· Un documento Office diseñado malintencionadamente.
· Una página Web diseñada malintencionadamente.
· Un correo electrónico diseñado malintencionadamente.
· En el escenario de ataque basado en la Web, se tendría que persuadir a los usuarios para que visitaran el sitio Web malintencionado.
· La explosión sólo consigue los mismos derechos de usuario que la cuenta registrada; los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema se podrían ver menos impactados que los usuarios que operan con derechos de usuario administrativo.
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-076.mspx
Boletín de seguridad de Microsoft MS10-077
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en Microsoft .NET Framework. La vulnerabilidad podría permitir la ejecución remota de código en un sistema cliente si el usuario ve una página Web diseñada especialmente utilizando un explorador Web que puede ejecutar Aplicaciones de explorador XAML (XBAPs). La vulnerabilidad también podría permitir la ejecución remota de código en un sistema de servidor que ejecuta IIS, si ese servidor permite el procesamiento de páginas ASP.NET y el atacante logra cargar una página ASP.NET diseñada especialmente en ese servidor y posteriormente ejecuta la página, como sería el caso en un escenario de alojamiento Web.
La actualización de seguridad resuelve la vulnerabilidad al modificar la manera en que el compilador JIT optimiza el código.
Esta actualización de seguridad se clasifica como Crítica para Microsoft .NET Framework 4.0 en ediciones basadas en Itanium de 64 bits con soporte de Microsoft Windows.
· Una aplicación ASP.NET cargada malintencionadamente que se utilizará para propagar la caja de arena en un entorno de alojamiento Web.
· Por predeterminación, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido que se conoce como Configuración de seguridad mejorada.
· El atacante que explote con éxito esta vulnerabilidad podría obtener los mismos derechos de usuario que el usuario local o la cuenta de usuario de ASP.NET. Los usuarios o cuentas que están configurados para tener menos derechos de usuario en el sistema podrían experimentar un menor impacto que los usuarios o cuentas que operan con derechos de usuario administrativo.
· El atacante no tendría forma de obligar al usuario a visitar estos sitios Web. En su lugar, el atacante tendría que convencer a los usuarios de que visiten el sitio Web, generalmente al lograr que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje de Instant Messenger que lleva a los usuarios al sitio Web del atacante.
http://www.microsoft.com/technet/security/bulletin/MS10-077.mspx
Boletín de seguridad de Microsoft MS10-078
Esta actualización de seguridad resuelve dos vulnerabilidades informadas de forma privada en el controlador de formato de Fuentes OpenType (OTF) de Windows. Las vulnerabilidades podrían permitir la elevación de privilegios en caso de que el usuario vea contenido que se entrega en una fuente OpenType diseñada especialmente.
La actualización de seguridad resuelve las vulnerabilidades al corregir la manera en que el controlador de formato de Fuentes OpenType (OTF) asigna la memoria y realiza cálculos de enteros al procesar fuentes OpenType.
· Esta actualización de seguridad se clasifica como Importante para todas las ediciones con soporte de Windows XP y Windows Server 2003.
· Nota: Todas las ediciones con soporte de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2 no se ven afectadas por la vulnerabilidad.
· El inicio de sesión de un usuario malintencionado
· Una aplicación diseñada malintencionadamente
· Una secuencia de comandos diseñada malintencionadamente
· El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar esta vulnerabilidad. La vulnerabilidad no se puede explotar de forma remota ni por usuarios anónimos.
MS10-037
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-078.mspx
Boletín de seguridad de Microsoft MS10-079
Esta actualización de seguridad resuelve once vulnerabilidades informadas de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código en caso de que el usuario abra un archivo Word diseñado especialmente.
La actualización resuelve las vulnerabilidades al modificar la manera en que Microsoft Office Word analiza archivos Word diseñados especialmente.
Esta actualización de seguridad se clasifica como Importante para todas las ediciones con soporte de Microsoft Word 2002, Microsoft Word 2003, Microsoft Word 2007, Microsoft Word 2010, Microsoft Office 2004 para Mac y Microsoft Office 2008 para Mac; Convertidor de archivos con formatos XML abiertos para Mac; y todas las versiones con soporte de Microsoft Office Word Viewer y el Paquete de compatibilidad de Microsoft Office.
Un documento Word diseñado malintencionadamente. Mecanismos comunes de entrega: una página Web malintencionadamente diseñada, un archivo adjunto de correo electrónico, un mensaje instantáneo, archivo compartido de par a par, una partición de la red, y/o una unidad USB.
· La vulnerabilidad no se puede explotar automáticamente a través del correo electrónico. Para que el ataque tenga éxito, el usuario debe abrir el archivo adjunto que se envía en el mensaje de correo electrónico.
· El atacante que explota con éxito esta vulnerabilidad puede conseguir los mismos derechos de usuario que el usuario local. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que los usuarios que operan con derechos de usuario administrativo.
· El atacante no tendría forma de obligar al usuario a visitar estos sitios Web. En su lugar, el atacante tendría que convencer a los usuarios para que visitaran el sitio Web.
· MS10-056
· Para Microsoft Word Viewer: MS09-068
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-079.mspx
Boletín de seguridad de Microsoft MS10-080
Esta actualización de seguridad resuelve trece vulnerabilidades informadas de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código en caso de que el usuario abriera un archivo Excel o Lotus 1-2-3 diseñados especialmente.
La actualización resuelve las vulnerabilidades al modificar la manera en que Microsoft Office Excel analiza archivos Excel y Lotus 1-2-3 diseñados especialmente.
Esta actualización de seguridad se clasifica como Importante para todas las ediciones con soporte de Microsoft Excel 2002, Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Office 2004 para Mac y Microsoft Office 2008 para Mac; Convertidor de archivos con formatos XML abiertos para Mac; y todas las versiones con soporte de Microsoft Office Excel Viewer y el Paquete de compatibilidad de Microsoft Office.
Una hoja de cálculo Excel diseñada malintencionadamente. Mecanismos comunes de entrega: una página Web malintencionadamente diseñada, un archivo adjunto de correo electrónico, un mensaje instantáneo, archivo compartido de par a par, una partición de la red, y/o una unidad USB.
MS10-038 y MS10-057
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-080.mspx
Boletín de seguridad de Microsoft MS10-081
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en la biblioteca de controles comunes de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código en caso de que el usuario visitara una página Web diseñada especialmente. Si el usuario inicia sesión con derechos de usuario administrativo, el atacante que explota con éxito esta vulnerabilidad puede tomar el control total del sistema afectado.
La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que los controles comunes de Windows manejan los mensajes que se pasan desde un visor de gráficos de vectores escalables (SVG) de un tercero.
Esta actualización de seguridad se clasifica como Importante para todas las liberaciones de Microsoft Windows.
Una página Web diseñada malintencionadamente.
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-081.mspx
Boletín de seguridad de Microsoft MS10-082
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en el Reproductor de Windows Media. La vulnerabilidad podría permitir la ejecución remota de código si el Reproductor de Windows Media abre contenido de medios diseñados especialmente que están alojados en un sitio Web malintencionado.
La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que el Reproductor de Windows Media desasigna objetos durante una operación de recarga.
· Esta actualización de seguridad se clasifica como Importante para el Reproductor de Windows Media Serie 9, Reproductor de Windows Media 10, Reproductor de Windows Media 11 y Reproductor de Windows Media 12 cuando se instala en liberaciones con soporte de Microsoft Windows excepto para Windows Server 2008 y Windows Server 2008 R2.
· Esta actualización de seguridad se clasifica como Moderada para el Reproductor de Windows Media 11 y el Reproductor de Windows Media 12 cuando se instala en las ediciones con soporte de Windows Server 2008 y Windows Server 2008 R2.
· Nota: Todas las ediciones basadas en Itanium con soporte de Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 no se ven afectadas por la vulnerabilidad.
Para el Reproductor de Windows Media Serie 9 en Windows XP: MS10-027
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-082.mspx
Boletín de seguridad de Microsoft MS10-083
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si el usuario abre un archivo diseñado especialmente utilizando WordPad o selecciona o abre un archivo de acceso directo que se encuentra en una red o uso compartido de WebDAV.
La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que Windows Shell y WordPad validan objetos COM.
· Un archivo WordPad diseñado malintencionadamente.
· Un archivo de acceso directo malintencionado.
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-083.mspx
Boletín de seguridad de Microsoft MS10-084
Esta actualización de seguridad resuelve una vulnerabilidad divulgada de forma pública en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios en caso de que el atacante inicie sesión en el sistema afectado y ejecute código diseñado especialmente que envía un mensaje LPC al Servidor LRPC local. El mensaje podría permitir entonces que el usuario autenticado accediera a recursos que se ejecutan en el contexto de la cuenta de Servicio de red.
La actualización de seguridad resuelve la vulnerabilidad al modificar la manera en que se manejan los mensajes del puerto LRPC dentro del subsistema RPC.
· El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar esta vulnerabilidad.
MS10-066
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-084.mspx
Boletín de seguridad de Microsoft MS10-085
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en el paquete de seguridad Secure Channel (SChannel) en Windows. La vulnerabilidad podría permitir la denegación de servicio si un servidor Internet Information Services (IIS) afectado que aloja un sitio Web habilitado para la Capa de sockets seguros (SSL) recibe un mensaje de paquete diseñado especialmente.
La actualización de seguridad resuelve la vulnerabilidad al modificar la manera en que IIS procesa las solicitudes de certificados del cliente.
Esta actualización de seguridad se clasifica como Importante para todas las ediciones con soporte de Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
Un atacante anónimo y remoto podría enviar un paquete de red diseñado especialmente al sistema afectado que provocaría que el servicio LSASS dejara de responder y que el sistema reiniciara.
· Los sistemas sólo se ven afectados si SSL está deshabilitado, la cuál no es la configuración predeterminada.
· Por predeterminación, IIS no está configurado para alojar sitios Web SSL.
· El sistema reiniciará automáticamente después de un ataque exitoso, lo cual permite que el sistema se recupere.
MS10-049
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-085.mspx
Boletín de seguridad de Microsoft MS10-086
Esta actualización de seguridad resuelve una vulnerabilidad informada de forma privada en Windows Server 2008 R2 cuando se utiliza como un clúster de conmutación por error compartido. La vulnerabilidad podría permitir la manipulación de los datos almacenados en los usos compartidos administrativos de los discos del clúster de conmutación por error. Esta vulnerabilidad sólo aplica a los discos del clúster que se utiliza en un clúster de conmutación por error. La actualización de seguridad resuelve esta vulnerabilidad al modificar la manera en que la interfaz del Servicio de clúster de Microsoft (MSCS) establece los permisos en los usos compartidos administrativos al agregar o crear nuevos discos del clúster compartido. Nota: Esta actualización no reparará los permisos de los usos compartidos del disco del clúster existentes.
Esta actualización de seguridad se clasifica como Moderada para todas las ediciones con soporte de Windows Server 2008 R2.
Cuando el administrador agrega un disco a un clúster compartido, Failover Cluster Manager establece permisos en el disco del clúster compartido de una manera que ofrece potencialmente acceso de lectura/escritura/eliminación a los usuarios autorizados a los usos compartidos administrativos en el disco del clúster compartido.
Por predeterminación, los servidores Windows Server 2008 R2 no se ven afectados por esta vulnerabilidad.
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/MS10-086.mspx
ACERCA DE LA CONSISTENCIA DE LA INFORMACIÓN
Nos esforzamos por ofrecerle información precisa en contenido estático (correos) y dinámico (basado en la Web). El contenido de seguridad de Microsoft que se publica en la Web algunas veces se actualiza para reflejar la información de última hora. En caso de que esto resulte en una inconsistencia entre la información que se presenta en este documento y la información del contenido de seguridad basado en la Web de Microsoft, la información del contenido de seguridad basado en la Web de Microsoft será la autorizada.
Gracias.
Equipo de CSS Security de Microsoft
*** Este documento se ofrece como está y no confiere derechos ***
Esta conferencia cubrirá los Boletines de Seguridad de Microsoft que serán liberados el Martes 12 de Octubre a nivel mundial. Esta conferencia provee información técnica y en español, del equipo de Customer Service and Support – Security, de Microsoft.
Título: Security Bulletin Release Presentation - For clients and partners (In Spanish) – Octubre
Fecha: Jueves 14 de octubre de 2010, 11:30 am GMT -5 Bogotá.
Asistentes: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032460226&Culture=es-AR
Esta nota muy corta es para informarles que el MS10-070 ya está disponible a través de Windows Update, Microsoft Update, WSUS, System Center Configuration Manager, MBSA y SMS ITMU/SUSFP.
Saludos,
Roberto Arbeláez
Security Program Manager for Latin America
CSS Security
Microsoft Corp.
* Este artículo se ofrece tal como está y no confiere derechos***
ACTUALIZACION: Este boletín solo va a estar disponible por el momento a través de download directo en el Microsoft Download Center. Se espera que en los próximos dias esté disponible a través de Windows Update, Microsoft Update, WSUS, System Center Configuration Manager, MBSA y SMS ITMU/SUSFP.
Hoy, como parte del compromiso continuo de Microsoft de proteger a sus clientes con actualizaciones de seguridad y guía de acuerdo al más reciente panorama de amenazas, la compañía está liberando la actualización MS10-070 como una actualización de seguridad fuera de banda.
La actualización hace frente a una vulnerabilidad en ASP.NET, como se describe en el Documento informativo de Seguridad 2416728, y tiene una clasificación de gravedad máxima de Importante y una clasificación de índice de explotabilidad de 1. Como se describe en el boletín, la vulnerabilidad afecta a ASP.NET framework en Windows XP, Windows Vista, Windows 7, y Windows Server 2003 y 2008 y Windows Server 2008 R2.
Ya en este mismo blog habíamos descrito anteriormente en detalle las soluciones temporales (workrounds) propuestos, pero esta actualización ya soluciona definitivamente esta vulnerabilidad por lo que les recomendamos instalarla lo más pronto posible, para ayudar a proteger sus computadoras de ataques criminales.
Por favor, vea el blog Microsoft Security Response Center (MSRC) para obtener más detalles.
DESCRIPCIÓN GENERAL DEL NUEVO BOLETÍN DE SEGURIDAD
Microsoft publicará un nuevo boletín de seguridad (fuera de banda) para vulnerabilidades recientemente descubiertas:
MS10-070
La vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042)
Puede requerir un reinicio
Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008 R2.
Nota: La lista anterior de software afectado es un resumen. Para ver la lista completa de los componentes afectados por favor haga clic en el vínculo que aparece en la columna izquierda para revisar la sección "Software afectado".
RESUMEN EJECUTIVO
Esta actualización de seguridad resuelve una vulnerabilidad conocida públicamente en ASP.NET. La vulnerabilidad podría permitir la divulgación de información. Un atacante que explotara exitosamente esta vulnerabilidad podría leer información, tal como el ver estado, el cual fue encriptado por el servidor. Esta vulnerabilidad también puede usarse para alteración de información, la cual, si se explota con éxito, podría usarse para descifrar y alterar la información encriptada por el servidor. Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no se ven afectadas por la parte de divulgación de contenido de archivos de esta vulnerabilidad.
Esta actualización de seguridad está clasificada como Importante para todas las ediciones soportadas de ASP.NET excepto Microsoft .NET Framework 1.0 Service Pack 3. La actualización de seguridad hace frente a la vulnerabilidad firmando adicionalmente toda la información encriptada por ASP.NET.
Esta actualización de seguridad también hace frente a la vulnerabilidad descrita inicialmente en el Documento informativo de Seguridad 2416728.
Microsoft ofrecerá un Webcast en Español para sus clientes en Latinoamérica, para responder a todas las preguntas sobre estos boletines:
Título: Información sobre el Boletín de Seguridad Fuera-de-Banda de Microsoft de Septiembre 2010 (OOB) (Nivel 200)
Fecha: Miércoles, 29 de septiembre de 2010, 11:30 A.M. GMT -05 (Bogotá, México, Quito, Lima)
URL: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032464269&Culture=es-AR
RECURSOS PÚBLICOS RELACIONADOS CON ESTA ALERTA
· Boletín de Seguridad MS10-070 – Vulnerabilidad en ASP.NET podría permitir la divulgación de información (2418042): http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-070.mspx
· Documento Informativo de seguridad 2416728 – Vulnerabilidad en ASP.NET podría permitir la divulgación de información: http://www.microsoft.com/latam/technet/seguridad/alerta/2416728.mspx
· Blog del Microsoft Security Response Center (MSRC): http://blogs.technet.com/msrc/
· Blog del Microsoft Security Research & Defense (SRD): http://blogs.technet.com/srd/
· Blog del Microsoft Malware Protection Center (MMPC): http://blogs.technet.com/mmpc/
Boletín de seguridad de Microsoft MS10-070
Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en ASP.NET. La vulnerabilidad podría permitir la divulgación de información. Un atacante que explotara exitosamente esta vulnerabilidad podría leer información, tal como el ver estado, el cual fue encriptado por el servidor. Esta vulnerabilidad también puede usarse para alteración de información, la cual, si se explota con éxito, podría usarse para descifrar y alterar la información encriptada por el servidor.
Note que esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar sus derechos de usuario directamente, pero podría usarse para producir información que podría usarse para comprometer al sistema afectado. En Microsoft .NET Framework 3.5 Service Pack 1 y versiones posteriores, esta vulnerabilidad puede ser usada también por un atacante para obtener el contenido de cualquier archive dentro de la aplicación ASP.NET, incluyendo configuraciones de red.
La actualización de seguridad hace frente a la vulnerabilidad firmando adicionalmente toda la información encriptada por ASP.NET.
Esta actualización de seguridad está clasificada como Importante para todas las ediciones soportadas de ASP.NET excepto Microsoft .NET Framework 1.0 Service Pack 3.
CVE
CVE-2010-3332 – Vulnerabilidad ASP.NET Padding Oracle
Para explotar esta vulnerabilidad, un atacante enviaría un texto cifrado por medio de una solicitud Web a un servidor afectado para determinar si el texto fue descifrado correctamente examinando el código de error devuelto por el sitio web. Un atacante que hiciera muchas solicitudes podría obtener suficiente información para leer o alterar la información encriptada.
Las versiones de Microsoft .NET Framework anteriores a Microsoft .NET Framework 3.5 Service Pack 1 no se ven afectadas por la parte de divulgación de contenido de archivos de esta vulnerabilidad.
Soluciones alternativas
Habilitar un escaneo de URL o regla de filtro de solicitudes, habilitar errores personalizados de ASP.NET y mapear todos los códigos de error a la misma página de error. Para pasos específicos, vea la sección de “Soluciones alternativas” del boletín en el vínculo a continuación: http://blogs.technet.com/b/seguridad/archive/2010/09/22/informaci-243-n-detallada-sobre-la-vulnerabilidad-de-asp-net-descrita-en-el-documento-informativo-de-seguridad-2416728.aspx .
MS10-041 y MS09-036 en versiones específicas de Microsoft .NET Framework en sistemas operativos específicos. Para detalles específicos, vea la sección de “Software afectado” del boletín en el vínculo a continuación.
Estado de divulgación:
Estado de explotación:
· Esta vulnerabilidad se dio a conocer públicamente antes de la liberación del boletín. Puede encontrar mayor información en el documento informativo de seguridad 2416728 http://www.microsoft.com/latam/technet/seguridad/alerta/2416728.mspx
Esta vulnerabilidad ya estaba siendo explotada antes de la liberación del boletín.
http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-070.mspx
Como siempre, si tiene algún problema o alguna pregunta, no vacile en abrir un caso de soporte gratuito de seguridad con Microsoft aquí: http://support.microsoft.com/gp/contactenos/es-la
*** Este artículo se ofrece tal y como está, y no confiere derechos ***
Hola todos, les escribe Roberto Arbeláez.
Ésta es una notificación avanzada de un boletín de seguridad que Microsoft tiene la intención de liberar el 28 de septiembre del 2010.
Este nuevo boletín de seguridad soluciona una vulnerabilidad de seguridad que afecta a todas las versiones soportadas de Microsoft Windows.
Boletín de seguridad 1 de Microsoft
Divulgación de la información
La actualización puede requerir un reinicio.
Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
Nota: La información sobre el software afectado que se menciona anteriormente es un resumen. Por favor consulte la página Web de la Notificación avanzada en el vínculo a continuación para conocer los detalles completos.
La versión completa de la Notificación avanzada del Boletín de seguridad de Microsoft se puede encontrar en Inglés en http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx, o en Español en http://www.microsoft.com/latam/technet/seguridad/boletines/2010/ms10-sep.mspx
Webcast DEL BOLETÍN DE SEGURIDAD PÚBLICO
Microsoft ofrecerá un Webcast donde se responderán las preguntas de los clientes sobre el boletín fuera de banda el Miércoles 29 de septiembre del 2010, a las 11:30 AM GMT -05 (México, Bogotá, Lima, Quito). Para registrarse en el Webcast del boletín de seguridad, por favor visite: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032464269&Culture=es-AR
RECURSOS RELACIONADOS CON ESTA ALERTA
Estaremos publicando en este mismo sitio la información completa del boletín una vez haya sido liberada mañana.
*** Este artículo se ofrece tal como está y no confiere derechos***
El 17 de Septiembre liberamos el Documento informativo de Seguridad 2416728 acerca de una vulnerabilidad de seguridad en ASP.NET. Esta vulnerabilidad existe en todas las versiones de ASP.NET.
Recomendamos que todos los clientes apliquen de inmediato una solución temporal (que se describe a continuación) para impedir que los atacantes utilicen esta vulnerabilidad contra sus aplicaciones ASP.NET.
A continuación, información detallada y preguntas frecuentes sobre esta vulnerabilidad, tomada del blog de Scott Guthrie.
¿Qué permite la vulnerabilidad?
El atacante que utiliza esta vulnerabilidad puede solicitar y descargar archivos dentro de una Aplicación ASP.NET como el archivo web.config (el cual con frecuencia contiene datos confidenciales).
El atacante que explota esta vulnerabilidad también puede descifrar los datos que se envían al cliente en un estado cifrado (como los datos ViewState dentro de una página).
Cómo funciona la vulnerabilidad
Para comprender cómo funciona esta vulnerabilidad, necesita saber acerca de los oráculos criptográficos (cryptographic oracles). Un oráculo en el contexto de la criptografía es un sistema que ofrece pistas mientras usted formula preguntas. En este caso, existe una vulnerabilidad en ASP. NET la cuál actúa como un oráculo de relleno (padding oracle). Esto permite que el atacante envíe texto cifrado al servidor Web y sepa si se descifró correctamente al examinar qué código de error devolvió el servidor Web. Al realizar varias solicitudes (y observar qué errores se devolvieron) el atacante puede saber lo suficiente para descifrar con éxito el resto del texto cifrado.
Cómo resolver temporalmente la vulnerabilidad
Una solución temporal que usted puede utilizar para prevenir esta vulnerabilidad es habilitar la característica <customErrors> de ASP.NET, y configurar explícitamente sus aplicaciones para que siempre devuelvan la misma página de error, sin importar el error que se genere en el servidor. Al redireccionar todas las páginas de error a una página de error única, usted impide que el atacante pueda diferenciar entre los diferentes tipos de errores que ocurren en el servidor.
Importante: No basta simplemente con activar CustomErrors o configurarla en RemoteOnly. También necesita asegurarse de que todos los errores están configurados para devolver la misma página de error. Esto requiere que usted establezca explícitamente el atributo “defaultRedirect” en la sección <customErrors> y se asegure de que no esté establecido ningún código por estado.
Cómo habilitar la solución temporal en ASP.NET V1.0 a V3.5
Si usted utiliza ASP.NET 1.0, ASP.NET 1.1, ASP.NET 2.0 o ASP.NET 3.5 entonces debe seguir los pasos a continuación para habilitar <customErrors> y correlacionar todos los errores a una página de error única:
1) Edite el archivo raíz Web.Config de su Aplicación ASP.NET. Si el archivo no existe, entonces cree uno en el directorio raíz de la aplicación.
2) Cree o modifique la sección <customErrors> del archivo web.config para establecer las configuraciones a continuación:
<configuration> <system.web> <customErrors mode="On" defaultRedirect="~/error.html" /> </system.web> </configuration>
3) Posteriormente usted puede agregar un archivo error.html a su aplicación que contenga la página de error de su elección (que incluya el contenido que usted desee). Este archivo aparecerá cada vez que ocurra un error dentro de la aplicación Web.
Notas: Lo importante que se debe observar de lo anterior es que customErrors está establecido en “activo”, y que todos los errores se manejan a través de la página de error defaultRedirect. No hay ninguna página de error código por estado definida, lo cual significa que no hay sub-elementos <error> dentro de la sección <customErrors>. Esto impide que el atacante pueda diferenciar por qué ocurrió un error en el servidor, e impide que se divulgue la información.
Cómo habilitar la solución temporal en ASP.NET V3.5 SP1 y ASP.NET 4.0
Si usted utiliza ASP.NET 3.5 SP1 o ASP.NET 4.0 entonces debe seguir los pasos a continuación para habilitar <customErrors> y redireccionar todos los errores a una página de error única:
2) Cree o modifique la sección <customErrors> del archivo web.config para establecer las configuraciones a continuación. Observe el uso de redirectMode=”ResponseRewrite” con .NET 3.5 SP1 y .NET 4.0:
<configuration> <system.web> <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" /> </system.web> </configuration>
3) Posteriormente usted puede agregar un archivo Error.aspx a su aplicación que contiene la página de error apropiada de su elección (que incluye el contenido que usted desea). Este archivo aparecerá cada vez que ocurra un error dentro de la aplicación Web.
4) Recomendamos agregar el siguiente código al manejador de eventos de servidor Page_Load() dentro del archivo Error.aspx para agregar un retraso pequeño de hibernación aleatorio. Esto ayudará a ofuscar más a fondo los errores.
Versión VB
A continuación se encuentra la versión VB de un archivo Error.aspx que usted puede utilizar, y el cual tiene un retraso pequeño de hibernación aleatorio en él. No necesita compilarlo en una aplicación, simplemente puede guardar este archivo Error.aspx en el directorio de la aplicación en su servidor Web:
<%@ Page Language="VB" AutoEventWireup="true" %> <%@ Import Namespace="System.Security.Cryptography" %> <%@ Import Namespace="System.Threading" %> <script runat="server"> Sub Page_Load() Dim delay As Byte() = New Byte(0) {} Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider() prng.GetBytes(delay) Thread.Sleep(CType(delay(0), Integer)) Dim disposable As IDisposable = TryCast(prng, IDisposable) If Not disposable Is Nothing Then disposable.Dispose() End If End Sub </script> <html> <head runat="server"> <title>Error</title> </head> <body> <div> Lo sentimos – ocurrió un error </div> </body> </html>
Versión C#
A continuación se encuentra la versión C# de un archivo Error.aspx que usted puede utilizar, y el cual tiene un retraso pequeño de hibernación aleatorio en él. No necesita compilar éste en una aplicación, de otra manera simplemente puede guardarlo en el directorio de la aplicación en su servidor Web:
<%@ Page Language="C#" AutoEventWireup="true" %> <%@ Import Namespace="System.Security.Cryptography" %> <%@ Import Namespace="System.Threading" %> <script runat="server"> void Page_Load() { byte[] delay = new byte[1]; RandomNumberGenerator prng = new RNGCryptoServiceProvider(); prng.GetBytes(delay); Thread.Sleep((int)delay[0]); IDisposable disposable = prng as IDisposable; if (disposable != null) { disposable.Dispose(); } } </script> <html> <head runat="server"> <title>Error</title> </head> <body> <div> Un error ocurrió al procesar su solicitud. </div> </body> </html>
Cómo verificar si la solución temporal está habilitada
Una vez que aplique la solución temporal anterior, puede probarla para asegurarse de que la sección <customErrors> está correctamente configurada al acceder a una URL como ésta en su sitio: http://misitio.com/paginaquenoexiste.aspx (reemplace “misitio.com” por la dirección de su sitio web)
Si usted ve que aparece la página de error personalizada (porque la página “paginaquenoexiste.aspx” que usted solicitó no existe) entonces su configuración está correctamente establecida. Si ve un error estándar de ASP.NET, entonces es probable que haya omitido uno de los pasos anteriores. Para ver más información acerca de lo que podría estar causando el problema, puede probar la configuración <customErrorsmode=”remoteOnly”/>, la cual le permitirá ver el mensaje de error si usted se conecta al sitio desde un explorador local.
Cómo encontrar aplicaciones ASP.NET vulnerables en su servidor Web
Publicamos una secuencia de comandos .vbs que usted puede guardar y ejecutar en su servidor Web para determinar si hay aplicaciones ASP. NET instaladas en él que tengan desactivado <customErrors>, o qué mensajes de error diferentes dependiendo de los códigos de estado.
Usted puede descargar la secuencia de comandos .vbs aquí. Simplemente copie/pegue la secuencia de comandos en un archivo de texto de nombre “DetectCustomErrors.vbs” y guárdelo en una unidad de almacenamiento (disco duro) local. Posteriormente lance una ventana de comando que esté elevada como administrador y ejecute “cscript DetectCustomErrors.vbs” para ejecutarla contra su servidor Web local. Enumerará todas las aplicaciones dentro de su servidor Web y verificará que se haya especificado la configuración <customErrors> correcta.
Marcará cualquier aplicación donde encuentre que el archivo web.config de una aplicación no tiene la sección <customErrors> (en cuyo caso será necesario que lo agregue), o que no lo tiene establecido correctamente para solucionar temporalmente este ataque (en cuyo caso será necesario que lo actualice). Imprimirá “ok” para cada archivo web.config de la aplicación que encuentre que está bien. Se espera que esto facilite localizar los programas.
Nota: Desarrollamos esta secuencia de comandos de detección en las últimas horas, y la afinaremos más a fondo en el futuro. Se publicará una actualización cada vez que realicemos algún cambio a ella.
Preguntas frecuentes acerca de la vulnerabilidad de seguridad de ASP.NET
A continuación encontrará respuestas a algunas preguntas comunes que han formulado muchas personas respecto a la vulnerabilidad.
¿Microsoft va a liberar una actualización para reparar la vulnerabilidad?
Sí. Estamos trabajando en una actualización para ASP.NET que liberaremos a través de Windows Update una vez que se haya probado completamente y esté lista para su extensa distribución.
Hasta que la actualización esté disponible, también publicaremos los detalles sobre las soluciones temporales (como la que se describe en esta publicación) que se pueden aplicar de inmediato para ayudar a protegerse contra la vulnerabilidad. Observe que las soluciones son temporales, y no se requerirán una vez que la actualización repare la vulnerabilidad en los productos subyacentes. Tienen como objetivo ofrecer pasos que usted puede emprender de inmediato hasta que la actualización esté disponible.
¿Se trata de un problema en ASP.NET o de alguna vulnerabilidad criptográfica?
Ésta vulnerabilidad existe debido a la manera como ASP.NET utiliza la criptografía en ciertas circunstancias, que permite filtraciones de información por “canales alternativos” (side channels), también conocidos en seguridad como “covert channels”, a través de las respuestas de error. El uso actual de ASP.NET del encryption padding proporciona información en las respuestas de error que puede utilizar alguien malintencionado para atacar al sistema. Repararemos esta vulnerabilidad en la actualización de seguridad.
¿Esto afecta tanto a los formularios Web Forms de ASP.NET como a MVC de ASP.NET?
Sí, la explotación que se reveló públicamente se puede utilizar contra todos los tipos de Aplicaciones ASP.NET (incluyendo tanto formularios Web Forms como MVC).
¿Esto afecta a SharePoint?
Sí, la explotación que se reveló públicamente también se puede utilizar contra SharePoint 2010. El equipo de SharePoint recientemente publicó un artículo en su blog que describe una solución temporal que usted puede aplicar hasta que liberemos la actualización de seguridad.
¿Cómo se vería un ataque en la red o en mis registros?
La explotación que se reveló públicamente provocaría que el servidor Web generara miles (o probablemente docenas de miles) de respuestas de error HTTP 500 y 404 a las solicitudes de un cliente malintencionado.
Usted puede utilizar filtros de control de estado en su firewall o sistemas de detección de intrusiones en su red para detectar dichos patrones y bloquear tales clientes. El módulo Restricciones dinámicas de IP respaldadas por IIS 7 también se pueden utilizar para bloquear estos tipos de ataques.
Un intento de ataque como éste también debe generar miles de alertas en el registro de eventos de la aplicación de su servidor similar a:
Event code: 3005 Event message: An unhandled exception has occurred. Event time: 11/11/1111 11:11:11 AM Application information: Application domain: c1db5830-1-129291000036654651 Application Virtual Path: / Exception information: Exception type: CryptographicException Exception message: Padding is invalid and cannot be removed.
Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Application information:
Application domain: c1db5830-1-129291000036654651
Application Virtual Path: /
Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed.
Es importante resaltar que también pueden haber razones no asociadas con ataques para ver este tipo de errores (incluyendo los casos en los que se tengan llaves no concordantes –mismatching keys- en una granja Web, o en los casos en los que un motor de búsqueda siga vínculos de forma incorrecta, etc.), de manera que la presencia de este tipo de errores no indica necesariamente un ataque.
La excepción tampoco implica que el ataque haya sido exitoso. La implementación de la solución temporal <customErrors> que proporcionamos puede proteger su aplicación contra la explotación, y garantizará que estas excepciones no divulguen información que el atacante pueda utilizar contra la aplicación.
¿Qué hace la solución temporal <customErrors>?
La solución temporal descrita anteriormente en este mismo artículo puede ser utilizada para proteger su aplicación contra la explotación al habilitar la característica <customErrors> de ASP.NET, y configurar explícitamente sus aplicaciones para siempre devolver la misma respuesta de error, sin importar el error que se encuentre en el servidor. Al redireccionar todas las páginas de error a una página de error única, usted puede dificultar que un atacante utilice la explotación para distinguir entre los diferentes tipos de errores que ocurren en un servidor.
Si usted utiliza .NET Framework versión 3.5 SP1 o 4.0, la solución temporal ofrece mayor protección al ayudar también a mitigar los ataques potenciales asociados a análisis de tiempo. La solución temporal utiliza la opción redirectMode="ResponseRewrite" en la característica customErrors e introduce un retraso aleatorio en la página de error. Estas dos soluciones trabajan juntas para dificultar que un atacante deduzca el tipo de error que ocurrió en el servidor al medir el tiempo que tomó recibir el error.
¿Puedo configurar una respuesta personalizada de la página de error 404 y una redirección predeterminada para el resto de los errores?
No. Al hacer esto usted sigue permitiendo que el atacante pueda distinguir entre un error 404 y otros tipos de errores. Lo homogenización de los errores es un componente crucial para mitigar este ataque. Observe que ésta es una solución temporal hasta que haya disponible una actualización de seguridad para reparar la vulnerabilidad del producto subyacente. Esta solución temporal no se requerirá una vez que liberemos la actualización de seguridad.
¿Soy vulnerable si tengo mi propio módulo de error personalizado?
Si las respuestas que se envían desde el módulo de registro personalizado no permiten que el cliente distinga entre las respuestas de error ya sea a través de su contenido, o el tiempo que toma para enviarlas, entonces dicho módulo es un reemplazo adecuado para la solución temporal de customErrors. Estas respuestas incluyen tanto la respuesta HTTP completa como el código de error HTTP. Si algo de lo anterior no se cumple en todo momento, entonces su solución no es suficiente. En su lugar usted debe enviar la misma respuesta de error para todos los errores hasta que la actualización de seguridad esté disponible para reparar la vulnerabilidad subyacente.
¿Me debo preocupar acerca de la vulnerabilidad si no almaceno ninguna información confidencial en mi estado de vista?
Sí, debe hacerlo. Hay una combinación de ataques que se demostró públicamente que pueden permitir fugas del contenido de su archivo web.config, incluyendo cualquier información confidencial no cifrada del archivo. Usted debe aplicar la solución temporal para bloquear el ataque de padding oracle en su etapa inicial del ataque. La actualización de seguridad reparará esta vulnerabilidad.
¿Cuáles son las mejores prácticas para proteger mis datos dentro del archivo web.config?
Siempre es una buena práctica cifrar los datos de configuración confidenciales dentro de los archivos web.config. De esa manera si su archivo web.config alguna vez queda expuesto, los atacantes no pueden utilizar su contenido. Esta documentación de MSDN describe cómo cifrar las secciones de configuración del archivo web.config: http://msdn. microsoft.com/en-us/library/zhhddkxy(VS.80).aspx. Este tutorial también ofrece más muestras de cómo cifrar el contenido del archivo web.config: http://www.4guysfromrolla.com/articles/021506-1.aspx
¿Por qué recibo un error cuando ejecuto la secuencia de comandos .vbs de detección de vulnerabilidades?
Al principio de éste artículo se indicó una secuencia de comandos .vbs que usted puede ejecutar contra un servidor para identificar cualquier aplicación dentro de él que necesite actualizar sus secciones <customErrors> como una solución temporal contra la explosión que se reveló públicamente.
En IIS 7, la secuencia de comandos requiere que usted instale la característica de compatibilidad de administración de IIS 6 para poder utilizar esta secuencia de comandos. Para habilitar esta característica, ejecute Agregar/Quitar programas en la estaciones de trabajo y Agregue los servicios del rol del servidor Web en los sistemas operativos de servidor, y seleccione la característica IIS 6.0 Management Compatibility dentro del área de características “Internet Information Services”. Si esta característica ya está instalada, por favor asegúrese de ejecutar la secuencia de comandos con los privilegios de administrador.
Cómo encontrar más información acerca de esta vulnerabilidad
Usted puede conocer más acerca de esta vulnerabilidad en:
Foro para preguntas
Establecimos un foro dedicado en el sitio www.asp.net para ayudar a responder preguntas acerca de esta vulnerabilidad.
Formule sus preguntas aquí para obtener ayuda acerca de esta vulnerabilidad.
Publicaremos más detalles conforme aprendamos más, y liberaremos una revisión que se pueda utilizar para corregir la causa raíz del problema (y evitar la necesidad de la solución temporal anterior).
Hasta entonces, por favor aplique la solución temporal anterior a todas sus aplicaciones ASP.NET para impedir que los atacantes las exploten.
***Esta información fué tomada del artículo publicado en el Blog de Scott Guthrie aqui y de su sección de preguntas frecuentes aqui ***
Ya se empezaron a presentar ataques limitados contra la vulnerabilidad descrita en el Documento informativo de Seguridad 2416728.
Recomendamos implementar de inmediato las soluciones provisionales contenidas en dicho documento.
En el Blog de SR&D se da información detallada sobre la vulnerabilidad, su impacto, cómo funciona, cómo detectar si una aplicación ASP es vulnerable, así como soluciones temporales (workarounds) que pueden ser implementados para solucionar de manera temporal la vulnerabilidad.
En el blog de Scott Guthrie también se da información adicional, sobre cómo implementar el workaround en diferentes versiones de ASP.NET (de la versión 1.0 a la 4.0), así como información sobre cómo detectar si una aplicación web es vulnerable (y un script en VB para detectar aplicaciones vulnerables), cómo probar si la implementación del workaround fué efectiva para eliminar la vulnerabilidad, y más. En la sección de Preguntas Frecuentes (FAQ) da información sobre cómo se vería un ataque en los logs del sistema y/o en el tráfico de red, e información adicional sobre la vulnerabilidad. Al final de la página, Scott responde preguntas de los lectores del blog respecto a la vulnerabilidad (y si usted tiene una pregunta, la puede formular ahi).
Les recuerdo que si son afectados, tienen derecho a recibir soporte gratuito de seguridad, de acuerdo con la política de soporte gratuito de seguridad de Microsoft.
Para ello, pueden contactarnos aqui:
Sitio Principal de Soporte de Microsoft : http://support.microsoft.com/default.aspx?ln=ES-LA
Teléfonos de las Líneas de Soporte: http://support.microsoft.com/gp/contactusen/?ln=es-la
Guías de Seguridad: http://www.microsoft.com/latam/seguridad/new/default.mspx
Sistema de auto-ayuda: http://support.microsoft.com/contactus/?ws=support&ln=es-la
Soporte via chat/email: http://support.microsoft.com/oas/default.aspx?&prid=7552
Customer Service and Support – Security
***Este blog se ofrece como está y no confiere derechos***