Todo es posible, nada es seguro

Actualizaciones de Seguridad de Deciembre

ksarens — Wed, 10 Dec 2008 00:50:08 GMT

¡Nuestras ultimas actualizaciones de Seguridad este Año!

¡Quiero informarse que este mes ya publicamos solas 8 nuevas actualizaciones! :)

6 con categoría Crítica y 2 con categoría Importante

MS08-070	Crítical	Vulnerabilidades en en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) podrían permitir la ejecusión remota de codigo.
MS08-071	Crítical	Vulnerabilidad en GDI podría permitir la ejecución remota de código
MS08-072	Crítical	Vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código
MS08-073	Crítical	Actualización de seguridad acumulativa para Internet Explorer
MS08-074	Crítical	Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código
MS08-075	Crítical	Vulnerabilidades en Búsqueda de Windows podrían permitir la ejecución remota de código
MS08-076	Importante	Vulnerabilidades en los componentes de Windows Media podrían permitir la ejecución remota de código
MS08-077	Importante	Vulnerabilidad en Microsoft Office SharePoint Server podría provocar la elevación de privilegios

Detección

Para saber si su sistema necesita estas actualizaciones, puede utilizar la herramienta Microsoft Baseline Analyzer (MBSA).
Las actualizaciones podrían requerir el reinicio del equipo.

Atención

Tenemos 2 boletines de Office, quiero informarse que no hay actualizaciones por Office 2003 SP2. El soporte de este vérsion es terminada desde 14 Octubre.

Siempre revisar los detailes de los boletinos para verificar los sistemas operativos y los software afectados.
¡No olvida de instalar las actualizaciones lo antes posible!

¡Felices fiestas de Navidad!

Actualizaciones de Seguridad de Noviembre

ksarens — Thu, 13 Nov 2008 13:18:00 GMT

¡Un mes ha pasado ya!

Este mes (despues el OOB) publicamos 2 nuevas actualizaciones de Seguridad. Una actulizacion Importante y una Crítica.

MS08-068	Vulnerabilidad en SMB podría permitir la ejecución remota de código.
MS08-069	Vulnerabilidades en servicios XML Core podrían permitir la ejecución remota de código.

Detección

Para saber si su sistema necesita estas actualizaciones, puede utilizar las herramientas disponibles des Microsoft (WU, MU, MBSA, WSUS, SMS, SCCM).
Las actualizaciones podrían requerir el reinicio del equipo (la actualizacion de SMB require reiniciar el sistema).

Atención

MS08-068: Si el ataque existe en un paquete de red, la mejor práctica es de poner un mínimo de servicios disponible en Internet. Cerrando las puertas (inbound) 139 y 445 protegerse de este vulnerabilidad.

MS08-040: Puede ser muy díficil de verificar si sus aplicaciones utilisen XML

Actualizaciones de Seguridad de Julio

ksarens — Tue, 08 Jul 2008 23:44:00 GMT

Todo el mundo sabe que cada segundo martes del mes, publicamos nuevas actualizaciones de Seguridad.

¡Quiero informarse que este mes ya publicamos 4 nuevas actualizaciones!

Todos las actualizaciones son de gravedad Importante.

MS08-037	Vulnerabilidades en DNS podrían permitir la suplantación
MS08-038	Vulnerabilidad en Windows Explorer podría permitir la ejecución remota de código
MS08-039	Vulnerabilidades en Outlook Web Access podrían permitir la elevación de privilegios
MS08-040	Vulnerabilidades en SQL Server podrían permitir la elevación de privilegios

Detección

Para saber si su sistema necesita estas actualizaciones, puede utilizar la herramienta Microsoft Baseline Analyzer (MBSA).
Las actualizaciones podrían requerir el reinicio del equipo.

Atención

MS08-039: Outlook Web Access Premium no es afectado, solo Outlook Web Access Light. ¿Como saber si uso OWA Light?

Cuando su navegador no soporte ActiveX y las opciones de IFRAME restringida, solo puede utilizar OWA Light. Puede elegir entre los dos modos de OWA cuando su navegador soporte estas opciones. Para más información: http://blogs.technet.com/swi/archive/2008/07/08/ms08-040-how-to-spot-potentially-dangerous-mtf-files-crossing-network-boundary.aspx

El actualización es para el servidor de Exchange, pero es el cliente (OWA) el que esta potencialmente en riesgo.

MS08-040: La detección e instalación de esta actualización puede ser complicada. Lea el FAQ del boletín antes de instalarla.

Por favor, este es mi primero articulo de las actualizaciones de seguridad, si prefiere más información sobre estos artículos, informarme. ¡No es mi intención reemplazar los boletines!

Inyección SQL... esta bajo ataque?

ksarens — Sun, 15 Jun 2008 23:29:00 GMT

Hay muchos sitios y blogs que hablan sobre el tema de inyección SQL. Puede encontrar toda la información en este artículo, y más, en los sitios siguientes:

El blog de SWI: http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx

El blog de Neil Carpenter: http://blogs.technet.com/neilcar/archive/2008/03/14/anatomy-of-a-sql-injection-incident.aspx

http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx

La inyección SQL últimamente es un tema que recibe mucha atención.

La verdad es que no es falta de una explotación de vulnerabilidad de IIS o SQL conocido o 0-day. Hemos recibido muchos casos de inyección SQL y todos son fallos de código ASP/ASPX. A demás, el usuario de SQL utilizando su aplicación ASP no necesita ser un sysadmin.

En general, la inyección SQL es el resultado de:

Validación floja de los datos entrada
Construcción dinámica de las sentencias SQL.
Usuarios de SQL demasiado privilegiados

Detección:

¡Ya sabemos dos cosas que son muy importantes para revisar y evitar un ataque de inyección SQL!

· El código ASP/ASPX

· Los derechos de usuarios de SQL

Al primero, hay que saber si nuestros sitios están o estaban bajo ataque. Por eso, tenemos que analizar los logs de IIS. Hay muchas herramientas de consultas disponibles en Internet por hacer esto, una es LogParser. Podemos ejecutar la siguiente:

LogParser -i:iisw3c -o:csv "SELECT * INTO suspicious.csv FROM ex*.log WHERE cs-uri-query LIKE '%CAST(%' or cs-uri-query LIKE '%dEcLaRe%'"

O puede descargar una herramienta que lo hace automáticamente: http://www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=WSUS&ReleaseId=13436

¡Si el log tiene datos, tenemos un problema!

En caso de inyección SQL que hemos visto últimamente, buscamos por el texto así:

DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300...7200%20AS%20NVARCHAR(4000));EXEC(@S);--

Verificamos si un <script> tag estaba inyectado en las tablas de la base de datos utilizado con el aplicativo de web.

Acción:

¡Es muy importante cerrar el acceso a nuestro aplicativo de web ahora mismo para proteger la gente quien lo visita!

Antes de abrirlo, tenemos que revisar el código ASP/ASPX y el usuario de SQL o contactamos el vendedor del aplicativo de web. El log contiene las páginas web que están utilizando para el ataque. Estas páginas son buenas para empezar de revisar el código. Presta atención que necesitamos revisar todas las páginas ASP/ASPX, no solo aquellas listadas en el log.

Hay métodos para filtrar inyección SQL utilizando palabras muy conocidas como CAST, DECLARE pero estos métodos solo son temporales y no es seguro que bloqueen todos.

Para más información: http://blogs.iis.net/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx

Puede encontrar enlaces de los sitios abajo que pueden ayudarle de corregir el código:

SLQ Injection, ASP.NET, ADO.NET
http://msdn.microsoft.com/en-us/library/bb671351.aspx

SQL Injection in ASP code (diferente que arriba!)
http://msdn.microsoft.com/en-us/library/cc676512.aspx

How SQL Injection works
http://msdn.microsoft.com/en-us/library/ms161953.aspx