Seguridad Microsoft : TwC

Microsoft libera séptima versión del Reporte de Inteligencia de Seguridad

linacre — Sun, 08 Nov 2009 23:18:50 GMT

Hola, escribe Christian Linacre para informar que hemos liberado la Séptima versión del Reporte de Inteligencia de Seguridad (SIR), los invito a leer la versión en español, así como la información más relevante resumida aquí.

Este es un esfuerzo que hacemos para entregar más información ya que Microsoft está comprometido a ofrecer un nivel sin precedentes de inteligencia de seguridad para mantener mejor informados a los individuos y las empresas y ayudarlos a maximizar sus inversiones en seguridad.

Microsoft proporciona información completa que ayuda a las empresas y los individuos a proteger con eficacia sus ambientes mediante guías y análisis autorizados y geográficamente relevantes.

Los datos para el reporte SIR se derivan de:

MSRT: se ejecuta en 450 millones de computadoras al mes en todo el mundo.
BING: escanea miles de millones de páginas web al año.
Windows Live OneCare y Windows Defender: en más de 100 millones de computadoras alrededor del mundo.
Forefront Online Protection for Exchange: escanea miles de millones de mensajes de correo electrónico al año.
Windows Live Hotmail: en más de 30 países – cientos de millones de usuarios de correo electrónico activos.

El Volumen 7 del Reporte de Inteligencia de Seguridad de Microsoft muestra que las principales amenazas que enfrentan hoy las empresas son el software de seguridad falso y el resurgimiento de gusanos.

PRINCIPALES AMENAZAS EN EL REPORTE SIRv7

El reporte SIRv7 muestra la manera en que las amenazas de software dañino continúan aumentando en volumen, así como la forma en que diferentes categorías de amenazas surgen con el paso del tiempo.

1) Software de seguridad falso. Software dañino diseñado para aprovecharse del deseo de los usuarios de mantener protegidas sus computadoras. Microsoft detectó software de seguridad falso en 13.4 millones de computadoras durante el primer semestre del 2009, lo que representa una disminución respecto a los 16.8 millones en el segundo semestre del 2008 —una mejora, pero aun así una amenaza importante—.

Impacto de Microsoft. Parte de esta reducción puede deberse a las características contra software dañino basadas en navegador, tales como el filtro SmartScreen de Internet Explorer 8, que ayuda a los usuarios a protegerse de la exposición a amenazas como software de seguridad falso antes de que se infecten sus sistemas.
Amenazas combinadas. Varias familias de software de seguridad falso recién lanzadas se están diversificando y exhibiendo comportamientos similares a otras amenazas. Por ejemplo: Se ha observado que Win32/Winwebsec descarga Win32/Koobface —mismo que en ocasiones muestra ventanas emergentes con publicidad sobre software de seguridad falso—, mientras que Win32/InternetAntivirus descarga el programa de robo de contraseñas Win32/Chadem.
Impacto en las empresas: Puede resultar costoso y afectar la productividad.
Llamado a la acción: Se recomienda a los usuarios utilizar una solución antivirus de marca reconocida y mantener actualizadas sus definiciones de amenazas.

2) Resurgimiento de gusanos. Durante el primer semestre del 2009, los gusanos ascendieron del quinto lugar en el reporte SIRv6 al segundo lugar en el reporte SIRv7 —un incremento de 98.4%— con lo cual se convirtieron en la segunda categoría de amenazas más frecuente. Esto se debe en gran parte a detecciones importantes de:

Conficker – una nueva familia de gusanos agresiva y técnicamente compleja.

Impacto en las empresas: Conficker fue la principal amenaza de gusanos detectada para las empresas, aunque no para los consumidores, debido a que 1) utiliza varios métodos de propagación que funcionan con mayor eficacia dentro de un ambiente de red con firewall que por el Internet, y 2) las computadoras residenciales tienden a tener habilitadas las actualizaciones automáticas.
Llamado a la acción: Esto reitera aún más la necesidad de las empresas de contar con un programa sólido de administración de actualizaciones de seguridad. Microsoft ofrece recursos que ayudan a las empresas a protegerse mejor, entre ellos el Índice de Explotación y la Guía de Actualizaciones de Seguridad Microsoft.

Taterf – una familia de gusanos que se distribuye a través de unidades mapeadas para robar el nombre de usuario e información sobre las cuentas de juegos en línea populares; ha aumentado 156% desde el reporte SIRv6.

Impacto en las empresas: Taterf está dirigido a los juegos de rol en línea para múltiples jugadores, ya que depende menos de la ingeniería social para propagarse y más del acceso a los archivos compartidos que carecen de protección y a las unidades de almacenamiento extraíbles, los cuales son muy comunes en las empresas.
Llamado a la acción: El impresionante crecimiento de Taterf enfatiza la necesidad de que las empresas desarrollen reglas para el uso de unidades extraíbles (tales como unidades miniatura) y evalúen la manera en que se establecen conexiones con las máquinas fuera de la empresa (por ejemplo, si se cuenta con soluciones contra software dañino o se realiza un escaneo completo antes de conceder acceso).

Otras amenazas de gusanos. Además de Conficker y Taterf, Win32/Autorun (generalmente desactiva la característica Windows Autorun) y Win32/Hamweq (se propaga a través de unidades extraíbles) también representan amenazas importantes para las empresas.

Llamado a la acción: Al igual que Conficker y Taterf, estos gusanos requieren un estricto proceso de administración de parches y el establecimiento de reglas para el uso de unidades extraíbles.

PERSPECTIVA SOBRE LAS AMENAZAS GLOBALES

El reporte SIRv7 presenta anomalías específicas que son únicas en determinados países y regiones. Algunos ejemplos son:

Brasil: El software dañino dirigido a los usuarios de banca en línea continúa propagándose. De las seis principales amenazas en Brasil, tres se dirigieron directamente a bancos brasileños. Estas amenazas son exclusivas de Brasil, han sido persistentes desde el 2005 y representan el 49.1% de los ataques en el país.
Estados Unidos y Reino Unido: Los troyanos representan la categoría de amenazas más grande en Estados Unidos y el Reino Unido: 46.2% y 44.7%, respectivamente.

El troyano más dominante en E.U.A. es Win32/FakeXPA, que infectó 1,848,039 computadoras en el primer semestre del 2009.

El troyano más dominante en R.U. es Win32/Renos, que descarga automáticamente software no deseado e infectó 260,000 computadoras en el primer semestre del 2009.

Llamado a la acción: El reporte SIRv7 indica que a medida que las amenazas evolucionan, también lo hacen las protecciones tecnológicas. Las compañías deben evaluar sus guías de manera consistente y asegurarse de contar con las mejores soluciones de seguridad para sus necesidades.

Para garantizar que las protecciones evolucionen al mismo ritmo que las amenazas actuales y logren mitigar los riesgos, las empresas pueden utilizar el reporte SIR para evaluar su ambiente e instalar la mejor solución para sus necesidades de seguridad y privacidad.

MEJORES PRÁCTICAS GLOBALES

Las tasas de infección y las amenazas varían geográficamente y, a lo largo de los años, varias regiones han presentado tasas de infección por debajo del promedio mundial. Por primera vez en el reporte SIRv7, Microsoft pidió a los profesionales en seguridad de esas regiones que explicarán la forma en que mantienen protegidos a sus clientes y sus recursos contra las amenazas cibernéticas.

Una de las razones por las cuales las tasas de infección en Japón se mantienen relativamente bajas se debe en gran parte a colaboraciones como el Cyber Clean Center, un proyecto cooperativo entre los ISPs, los principales proveedores de seguridad y las agencias gubernamentales japonesas para educar a los usuarios.
Austria ha definido lineamientos legales estrictos sobre el uso de la TI para reducir las tasas de piratería, y esta medida, acompañada de relaciones sólidas con los ISPs y líneas de Internet rápidas, que ayudan a instalar actualizaciones de seguridad, ha ayudado a mantener bajas las tasas de infección.
Alemania también ha aprovechado los esfuerzos de colaboración con sus comunidades CERT e ISP para ayudar a identificar y crear consciencia acerca de las infecciones botnet y, en ciertos casos, colocar en cuarentena a las computadoras infectadas.

Conclusión. El éxito logrado en cada una de estas regiones consiste en la creciente tendencia de crear una defensa basada en la comunidad, donde la industria en general combina sus fortalezas e inteligencia para ayudar a proteger a los usuarios de computadoras.

Llamado a la acción: Las compañías con operaciones globales deben utilizar el nivel detallado de información geográfica del reporte SIRv7 para protegerse mejor.

Espero les sirva para mejorar la seguridad en sus empresas y hogares, usando la información y aplicando las mejores prácticas.

Saludos, Christian.-

Technorati: Microsoft,linacre,Security,Seguridad,SIR,SIRv7,Reporte de Inteligencia de Seguridad,Security Intelligence Report,malware,gusanos,conficker,taterf,MSRT,Microsoft Security Essentials

del.icio.us: Microsoft,linacre,Security,Seguridad,SIR,SIRv7,Reporte de Inteligencia de Seguridad,Security Intelligence Report,malware,gusanos,conficker,taterf,MSRT,Microsoft Security Essentials

Microsoft libera resultados actualizados del panorama de amenazas en México y Brasil

linacre — Wed, 08 Apr 2009 18:56:32 GMT

Hola, escribe Christian Linacre para contarles que el día de hoy hemos liberado la sexta versión del Reporte de Inteligencia de Seguridad, que consolida la información de seguridad de la segunda mitad del año 2008.

El reporte liberado muestra un aumento significativo en el software de seguridad falso, también llamado rogue software. También muestra que los ataques actualmente van dirigidos a atacar las aplicaciones y usan técnicas de ingeniería social con el fin de engañar a los usuarios.

El software de seguridad falso, rogue, engaña a los usuarios para adquirirlo o bajarlo para ser instalado en los computadores con el fin de estar supuestamente protegido, pero en general provee cero o mínima protección. Las familias de software de seguridad falso más notorias fueron FakeXPA y FakeSecSen que infectaron más de 1.5 millones de computadores en el período. También, la familia Win32/Renos usada para distribuir software de seguridad falso infectó más de 4 millones de computadores.

Este software parece ser válido y oferece protección, por ejemplo, en la imagen pueden ver un “escaner en línea” falso perteneciente a la familia FakeXPA; como pueden ver parece ser un software de seguridad pero no lo es. Por esta razón es importante bajar software de seguridad sólo de sitios de productores de software conocidos.

Tal como mencionaba al comienzo el reporte presenta datos detallados de México y Brazil; en el caso de Brazil es la segunda vez que aparece detallado. Como siempre, el reporte entrega un mapa de calor donde se ven las regiones con mayor tasa de infección medida por CCM (Computers Cleaned per Mil) que es la cantidad de computadores que son limpiados por MSRT de cada mil computadores analizadas. Con esta medición Brazil se encuentra en el tercer lugar de los países con mayores tasas de infección y México en el noveno lugar. El detalle de todos los países analizados está en el reporte y los invito a revisarlo.

En el caso de la tendencia por familias de software malicioso se pueden analizar en la siguiente figura además:

En el caso de Brasil el panorama de amenazas estuvo claramente dominado por el software dañino, que representó el 83.8% de todas las familias de amenazas que fueron retiradas de las computadoras infectadas. La mayoría de las familias consisten en múltiples variantes lanzadas por los atacantes en un esfuerzo por complicar el proceso de detección. Cuatro de las cinco categorías principales de amenazas en Brasil fueron robo de contraseñas y herramientas de monitoreo, cuyo objetivo principal son los usuarios de la banca en línea (sobre todo de bancos locales). Dichas amenazas representaron el 43.7% de todas las familias de amenazas erradicadas de las computadoras infectadas.

En Brasil, los troyanos para robo de contraseñas como Win32/Bancos y Win32/Banker dominaron por un margen amplio, ya que se detectaron en más del 50 por ciento de todas las computadoras brasileñas que fueron desinfectadas en el segundo semestre del 2008. Algunas familias de troyanos comunes no aparecieron en ningún otro país porque algunas amenazas son desarrolladas específicamente para Brasil.

El detalle de las 5 familias más recurrentes en Brazil está en la tabla siguiente:

En el caso de México el panorama de amenazas estuvo claramente dominado por software dañino, que representó el 77% de todas las familias de amenazas que fueron erradicadas de las computadoras infectadas en el segundo semestre del 2008. Durante este tiempo, se identificaron dos principales familias en México, los gusanos representaron el 28.4% de todas las computadoras infectadas. A nivel mundial, los gusanos representaron sólo el 11.3% de todas las familias erradicadas en el segundo semestre del 2008.

La tasa de infección en México disminuyó en relación con las mediciones del año pasado. Sin embargo, aunque 16 de cada mil computadoras fueron limpiadas de malware, se duplicó respecto al 8.4 de cada mil computadoras promedio que fueron limpiadas a nivel mundial.

El detalle de las 5 familias más recurrentes en México está en la tabla siguiente:

Adicionalmente, el reporte muestra que las compañías de software han mejorado la protección de sus sistemas operativos, los delincuentes han cambiado su enfoque hacia la capa de las aplicaciones donde se encuentran la mayoría de las vulnerabilidades reportadas: más del 90 por ciento de las vulnerabilidades descubiertas en el segundo semestre del 2008 afectaron las aplicaciones y los navegadores. El reporte también señala que en Microsoft continuamos progresando en el desarrollo de software seguro y que las versiones más nuevas de su software son más seguras que las anteriores. Hay un análisis entre Windows XP y Windows Vista que recomiendo leer.

A pesar de que la seguridad física pareciera ser un problema no relacionado con esto, el Reporte de Inteligencia de Seguridad de Microsoft mostró que el equipo perdido o robado, no “hackeado”, continúa siendo una de las causas más comunes de las violaciones a la seguridad, mismas que resultaron en la pérdida de datos reportada públicamente en el segundo semestre del 2008 —el 50 por ciento de los incidentes reportados—. Para mitigar esta amenaza, las empresas deben implementar prácticas sólidas de gobernabilidad de datos para ayudar a proteger los datos contra el acceso por parte de los delincuentes.

Obviamente, como dice el título de este blog “Seguridad es un trabajo de todos los días” y además es un trabajo de todos, es decir, de todos quienes trabajamos en la industria de software pero además hacemos un llamado a la industria de tecnología, a las agencias policiacas y a los legisladores para continuar trabajando juntos en el desarrollo de nuevas maneras de detener a los delincuentes cibernéticos y proteger a la gente que utiliza el Internet. En Microsoft seguiremos colaborando con otros para fortalecer su visión de confianza de punta a punta, en un Internet más seguro y confiable, lo cual requerirá la colaboración de toda la industria, así como de innovaciones tecnológicas que se alineen con las fuerzas sociales, económicas y políticas.

Como siempre hacemos recomendaciones a los usuarios y empresas para estar más seguros y mantenerse protegidos:

Configure su computadora para utilizar Microsoft Update en lugar de Windows Update. Esto garantiza que usted recibirá las actualizaciones de seguridad para Microsoft Office y otras aplicaciones Microsoft, además de actualizaciones de seguridad para los sistemas operativos Microsoft Windows. Para más información sobre cómo hacerlo, visite http://support.microsoft.com/kb/311047.
Asegúrese de que las actualizaciones también estén activadas para las aplicaciones de terceros, en caso de ser posible.
Utilice un producto contra software dañino que provenga de una fuente conocida y confiable, y manténgalo actualizado. Tenga cuidado de no caer víctima de los anuncios que ofrecen software de protección desconocido (“software de seguridad malintencionado”).
Evite abrir archivos anexos o pulsar en los enlaces a documentos contenidos en el correo electrónico o los mensajes instantáneos que reciba de manera inesperado o que provengan de una fuente desconocida.
Los clientes empresariales deben asegurarse de contar con políticas vigentes para proteger los archivos y regular el uso de dispositivos de almacenamiento extraíbles.
Los clientes empresariales deben utilizar Microsoft Security Assessment Tool (MSAT) – disponible en español – para detectar las debilidades en sus ambientes de seguridad de TI y diseñar un plan para mitigar los riesgos.
Los clientes empresariales deben controlar el uso de software de administración remota.
Para más ayuda y guías detalladas sobre cómo proteger su ambiente de computación residencial, visite el sitio de Seguridad en el Hogar en http://www.microsoft.com/latam/protect.

Para obtener una lista completa de las guías de Microsoft, descargar una copia del reporte SIRv6 y obtener un resumen del mismo en español, visite http://www.microsoft.com/sir.

Saludos, Christian.-

Technorati: Microsoft,linacre,Reportes,Noticias,SIR,Security Intelligence Report,Malware,Software Malicioso,Brasil,Mexico,Actualizaciones de Seguridad,Reporte de Inteligencia de Seguridad

del.icio.us: Microsoft,linacre,Reportes,Noticias,SIR,Security Intelligence Report,Malware,Software Malicioso,Brasil,Mexico,Actualizaciones de Seguridad,Reporte de Inteligencia de Seguridad

Semana de la Seguridad en Jambitz.com

linacre — Mon, 15 Dec 2008 04:09:39 GMT

Internet provee de muchisimas oportunidades y habilita a muchos para simplificar tareas y actividades.

Pero asimismo presenta algunos desafíos en términos de mantenerse seguro.

Es por eso que esta semana que empieza, estaremos publicando una serie de artículos en Jambitz.com, el portal de PC Magazine en español. Estos artículos contendran recomendaciones de como mantenerse seguro, cuidando su información, su familia y su información.

Los esperamos en el Canal Windows de Jambitz: www.jambitz.com/windows

No se lo pierdan.

Saludos, Christian.-

Technorati: Internet Safety,Navega Protegido,Seguridad,Noticias,TwC

Microsoft libera Informe de Inteligencia de Seguridad

linacre — Tue, 04 Nov 2008 01:47:00 GMT

Hola a todos,

escribe Christian Linacre para contarles que el día de hoy hemos liberado la quinta versión del Informe de Inteligencia de Seguridad, que entrega una visión única del panorama de las amenazas de seguridad fundamentados en datos de millones de computadores en todo el mundo. Esta investigación está diseñada una mejor protección contra delincuentes informáticos y, a pesar de que Microsoft y otros actores relevantes de la industria han mejorado de manera sustancial en la protección de las amenazas en línea, el ecosistema de amenazas continua evolucionando.

El reporte describe en específico el aumento en el software malicioso – malware – y el software no deseado, que fue de un 43% durante los primeros 6 meses del 2008. El alza sostenida de troyanos como vulnerabilidades críticas, y que demuestra que la principal motivación sigue siendo la ganancia financiera.

También es interesante destacar que los atacantes se están moviendo hacia la capa de aplicaciones y alejandose de los sistemas operativos que son cada vez más resistentes a ataques. Siendo que el 90% de las vulnerabilidades detectadas el primer semestre afectaron aplicaciones y sólo el 10% afectaron a sistemas operativos (para detalle del reporte de vulnerabilidades de sistemas operativos de escritorio revisen este post)

Un fenomeno interesante y que refuerza el origen de la motivación de los atacantes, son las “botnets”, el informe describe como se crean y cual es el modus operandi de quienes las utilizan. Los siguientes gráficos explican como se crea un botnet y como se usa para fines maliciosos:

Como saben, en Microsoft trabajamos de cerca con la industria en el desarrollo de mejores prácticas para reportar vulnerabilidades de manera responsable, recortando el tiempo de respuesta, y desarrollando código más seguro. La compañía está trabajando para compartir lo que ha aprendido, como parte de su compromiso, para crear un ambiente de cómputo más confiable para todos.

Además el reporte refleja la disminución de las vulnerabilidades de Microsoft durante el primer semestre de 2008, donde hubo una disminución del 33,6% respecto del segundo semestre del 2007.

Finalmente, el reporte refleja la cantidad de computadores limpiados usando la herramienta de remoción de software malicioso (MSRT: Malicious Software Removal Tool) donde la métrica que utilizamos es CCM: Computadores limpiados cada Mil (por sus siglas en inglés Clean Cleaned per Mil) que representa el número de computadores limpiados por cada mil ejecuciones del MSRT.

El siguiente mapa muestra de manera ilustrativa y comparativa las diferencias entre regiones y las tasas de CCM, es decir, de infecciones por malware; donde verde es menos infección y rojo es más infección por cada mil ejecuciones.

El reporte tiene las tasas actualizadas por país y otros datos locales que pueden encontrar interesantes para hacer análisis particulares.

Como siempre recomendamos a todos nuestros clientes que tomen las siguientes precauciones para mantenerse protegidos:

Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros.
Active el firewall.
Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.

Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad

Las versiones del reporte pueden encontrarse en los siguientes vínculos:

Versión Completa en inglés: PDF o XPS
Versión Reducida en español: PDF o XPS

Como siempre cualquier comentario es bienvenido.

Saludos, Christian.-

Technorati: Noticias,SDL,Seguridad,Tendencias,SIR,TwC,Computacion Confiable,Security,Reporte,Malware,Botnets

del.icio.us: Noticias,SDL,Seguridad,Tendencias,SIR,TwC,Computacion Confiable,Security,Reporte,Malware,Botnets

Microsoft continua monitoreando la vulnerabilidad MS08-067

linacre — Wed, 29 Oct 2008 08:33:34 GMT

Hola a todos,

escribe Christian Linacre revisando las últimas noticias respecto de la vulnerabilidad publicada en el boletín MS08-067. Actualmente, seguimos viendo altas tasas de instalación y sin problemas reportados de compatibilidad. Microsoft le recomienda a sus clientes que apliquen la actualización lo más pronto posible y con mayor urgencia.

Como siempre y como dije en un post anterior, nosotros continamos monitoreando el ambiente y tenemos visibilidad de una cantidad limitada y especifica de ataques e investigaciones iníciales confirman que sólo afecta a las versiones de Windows 2000, Windows XP, y Windows Server 2003 que no aplicaron la actualización detallada en MS08-067. Los sistemas que corren Microsoft Vista y Windows Server 2008 no se ven afectados. Microsoft ha activado su Proceso de Respuesta a Incidentes de Seguridad de Software y continúa investigando este tema. Adicionalmente, actualizamos Windows Live Safety Scanner, Windows Live One Care, y los productos de seguridad Forefront con protecciones para clientes. Esto está reportado en el documento informativo 958963.

Como siempre la seguridad de los computadores de nuestros clientes es una prioridad principal y continuamos enfocando nuestros esfuerzos para mejorar la seguridad de nuestro software, mejorar el proceso de actualización, así como ofrecer información oportuna y reciente para ayudar que los sistemas de nuestros clientes sean más seguros y estén preparados para amenazas inminentes. Con esta información esperamos impulsar a los usuarios para que tomen acción y protejan sus bienes.

Los usuarios pueden asegurarse que las actualizaciones están siendo instaladas mediante las Actualizaciones Automáticas de Windows o utilizando su infraestructura de instalación en su empresa o pequeño negocio.
Los usuarios que crean estar infectados o no están seguros deberían visitar Safety.live.com y elegir "Protection Scan". Adicionalmente, Windows Live OneCare de Microsoft, provee detección contra esta amenaza.

Recomendamos que todos nuestros clientes instalen las más recientes actualizaciones de seguridad distribuidas por Microsoft para asegurar que sus sistemas están protegidos. Los clientes que tienen habilitados las actualizaciones automáticas recibirán todas las actualizaciones de manera automática. Para más información acerca de las actualizaciones de seguridad visite el sitio de Seguridad de Microsoft: www.microsoft.com/latam/seguridad/

Gracias,

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: TwC,Seguridad,SDL,Noticias,Boletines,Actualizaciones de Seguridad,Actualizaciones,MSRC

del.icio.us: TwC,Seguridad,SDL,Noticias,Boletines,Actualizaciones de Seguridad,Actualizaciones,MSRC

Novedades sobre MS08-067

linacre — Mon, 27 Oct 2008 21:00:00 GMT

Hola a todos,

Escribe Christian Linacre y cómo Uds. probablemente ya saben nuestro trabajo no termina con la liberación de una actualización de seguridad. Nuestros equipos de respuesta, en toda la región así como a nivel mundial a través del Centro de Respuesta de Seguridad de Microsoft (MSRC) siguen monitoreando la situación para entender tanto como sea posible respecto de las amenazas en el ambiente así como conocer el estado de instalación de las actualizaciones de seguridad.

Basado en la última información disponible al día de hoy, queremos darles una actualización de estado general. Esto en base a que Uds. como clientes nos han dicho que es mejor recibir información en la medida que las cosas van ocurriendo.

En términos de la actualización de seguridad en sí, estamos viendo altas tasas de instalación en toda Latinoamérica. Tampoco hemos recibido reportes o quejas de problemas conocidos con la actualización de seguridad a esta altura.

En términos del ambiente general de amenazas, no hemos vista ningún cambio significativo. Estamos al tanto de que hay gente trabajando para desarrollar y publicar código de explotación confiable para esta vulnerabilidad. También estamos al tanto acerca de código publicado en un sitio web público, pero nuestros análisis han mostrado que ese código resulta en un ataque de denegación de servicio para demostrar la vulnerabilidad. Hasta el momento, no hemos visto evidencia pública de un código de explotación que muestre ejecución de código de manera confiable.

Adicionalmente, no estamos informados de ningún ataque masivo o un nuevo malware que busque explotar esta vulnerabilidad desde que liberamos la actualización de seguridad el Jueves pasado. A pesar de que han habido un par de reportes de un “nuevo gusano” (o worm) esos reportes son inexactos: ellos hablan acerca de un malware que el MSRC encontró en nuestra investigación de los ataques limitados y dirigidos de los que se habló el el comunicado del día Jueves. Específicamente, esos reportes hablan de TrojanSpy:Win32/Gimmiv.A y TrojanSpy:Win32/Arpoc.A (que es el ataque específico asociado con Exploit:Win32/MS08067.gen!A). Ambos son troyanos y no gusanos que se multipliquen automáticamente.

Mientras que las instalaciones de las actualizaciones han ocurrido de manera rápida y relativamente sin problemas, y el ambiente de amenazas no ha cambiado mayormente desde el Jueves, no queremos que nuestros clientes tomen esto como una señal de que deben disminuir el paso o incluso demorar la instalación de la actualización. Esta es una vulnerabilidad Crítica que ha sido atacada activamente, aunque sea en ataques limitados y dirigidos. Esas fueron las razones para liberar una actualización fuera de programación y es po lo mismo que seguimos instando a nuestros clientes a probar e instalar la actualización lo antes posible.

Más aún, nosotros no estamos relajando nuestra vigilancia en Microsoft. Nuestros equipos alrededor del mundo y Latinoamérica continuan trabajando todo el día y la noche revisando y vigilando cualquier cambio en el ambiente de amenazas o problemas que puedan impactar a nuestros clientes o la capacidad de ellos para instalar la actualización. Como simpre, pueden seguir pendientes de las noticias en este mismo blog o en el del MSRC (en inglés) donde informaremos cualquier cambio en la situación.

Gracias,

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: TwC,Seguridad,SDL,Noticias,Boletines,Actualizaciones de Seguridad,Actualizaciones,MSRC

del.icio.us: TwC,Seguridad,SDL,Noticias,Boletines,Actualizaciones de Seguridad,Actualizaciones,MSRC

MS08-067 Liberado

linacre — Thu, 23 Oct 2008 22:25:29 GMT

Hola a todos,

como actualización a la información entregada anoche, hoy hemos liberado el boletin MS08-67.

Esta actualización resuelve una vulnerabilidad al servicio Server de Windows que afecta todas las versiones actualmente soportados de estos sistemas operativos. Windows XP y versiones anteriores esto tienen una importancia máxima de “Critica” mientras que para Windows Vista y versiones más nuevas esta categorizada como “Importante”. Más detalle al respecto puede ser encontrada en el blog de MSRC, así como en el boletín en si.

Recomendamos a todos nuestros clientes que se dirijan al sitio de Seguridad de Microsoft para Latinoamerica: www.microsoft.com/latam/seguridad/ para revisar las acciones recomendadas.

La recomendación principial es probar e instalar la actualización de seguridad lo antes posible.

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: TwC,Seguridad,SDL,Noticias,Boletines,Actualizaciones de Seguridad,Actualizaciones,MSRC

del.icio.us: TwC,Seguridad,SDL,Noticias,Boletines,Actualizaciones de Seguridad,Actualizaciones,MSRC

Newsletter de Seguridad - Octubre

linacre — Thu, 23 Oct 2008 05:13:45 GMT

Se que muchos ya están suscritos al Newsletter de Seguridad, pero para quienes aún no lo estén les comparto la edición de Octubre.

Los invito a suscribirse y estar al día con las últimas novedades en: www.microsoft.com/latam/technet/boletin/seguridad/

Reduce las vulnerabilidades de tus aplicaciones

¿Hay innovación posible en seguridad? Claramente es necesario que la haya. Por eso, en pocas semanas, en el marco del Microsoft Security Development Lifecycle (SDL) se presentarán tres nuevas iniciativas orientadas a la industria: SDL Pro Network, SDL Optimization Model y SDL Threat Modeling Tool 3.0, una herramienta que permitirá un estructurado análisis de los riesgos potenciales en una aplicación determinada, considerando cuál sea la arquitectura sobre la que esté corriendo, para implementar tempranamente todas las estrategias de mitigación necesarias. Quiero recordarte que SDL ha sido concebido tanto para incrementar permanentemente los resguardos a la seguridad de los sistemas y la privacidad de los usuarios a partir de la introducción de mejoras en los productos Microsoft, y es a la vez una plataforma de conocimientos, buenas prácticas y soluciones para que otras empresas puedan crear software confiable. En lo que a nosotros refiere, gracias a esto hemos reducido en un 45% las vulnerabilidades descubiertas en el primer año de vida de Windows Vista versus Windows XP, se redujeron, prácticamente en un 100% en SQL Server, y un 63% en IE7 respecto de IE6. ¿Estás observando la seguridad de las aplicaciones que se crean en tu organización? Apóyate en SDL para estar más seguro.

Christian Linacre
Gerente de las Iniciativas de Seguridad y Privacidad
Microsoft Latinoamérica
christian.linacre@microsoft.com

¿Qué es lo que piensas del Newsletter de Seguridad? Déjanos tus comentarios aquí...

Buenas prácticas corporativas

La seguridad de los datos y transacciones depende en gran parte de establecer buenas prácticas para su protección. Consulta esta recopilación de documentos, que te servirá de guía para implementarlas con éxito. Más información.

Correo Protegido

Una vía directa para la entrada de todo tipo de agresiones es el correo electrónico, por lo que debe ser un área de máximo cuidado. En esta guía se detallan todos los procedimientos, funcionalidades y configuraciones que hacen de Microsoft Exchange Server 2007 la plataforma de comunicaciones más segura. Más...

¿Sus empleados instalan software ilegal o inconveniente?

Este es un problema recurrente, y que compromete la seguridad corporativa: usuarios que instalan programas que nada tienen que ver con su tarea específica en la empresa, o intercambian archivos con otros usuarios externos (a través de redes P2P) o ejecutan software sin control. Luis Montenegro, MVP Microsoft, aborda esta problemática en profundidad, utilizando herramientas de seguridad nativas de Active Directory. ¡Descúbrelo!

¡Warning!

Si recibes un mail con el asunto “Seguridad de Microsoft” y un archivo adjunto, ten cuidado, se trata de spam. ¡Infórmate!

Remover software malicioso

El MSRT (Microsoft Windows Malicious Software Removal Tool) revisa una computadora que corre Windows Vista, Windows XP, Windows 2000 o Windows Server 2003 en busca de software malicioso –incluyendo Blaster, Sasser y Myddom- y luego permite removerlo. Infórmate y descárgalo.

Nueva versión del MSAT en español disponible

¿Son seguros los procesos en tu empresa?, ¿y qué acerca de los empleados que interactúan con los sistemas y las tecnologías?
Microsoft Security Assessment Tool 4.0 es la nueva versión de una herramienta que, con un enfoque holístico, te ayudará a “diagnosticar” el estado de “salud” de tu organización y brindará el “tratamiento” adecuado. Infórmate y descárgala.

En cada edición del Newsletter de Seguridad iremos comentando las diferentes herramientas gratuitas de Microsoft para usar día a día en la protección de la infraestructura informática y las aplicaciones.

Microsoft y el CLCERT por la seguridad

En una muestra de la importancia de asociar esfuerzos públicos y privados, Microsoft y el Computer Emergency Response Team de Chile, se unieron en busca de aumentar la conciencia en materia de seguridad para la región, promoviendo la reducción de incidentes asociados a este sector clave en la infraestructura informática de toda empresa (en inglés). Infórmate de todos los detalles

Análisis de los boletines actuales de seguridad

{28-Oct / Evento On Line } ¿Tienes más preguntas luego de leer los boletines de seguridad? ¿Necesitas más información? ¿Preocupado por la seguridad de tu red? Comparte con los expertos y conoce todos los detalles técnicos disponibles.

NAP agregando valor a la red

{28-Oct / Evento On Line } Proteger la red y cumplir con las políticas de seguridad suelen ser los objetivos principales a la hora de administrar recursos; NAP (Network Access Protection) es una solución nativa disponible en Windows Server 2008. Aprende todo acerca de NAP .

Nuevos beneficios y funciones en IIS 7

{4-Nov / Evento On Line } Una sesión en la que se mostrará todo lo nuevo en materia administrativa, en seguridad, rendimiento y capacidad de ampliación para Internet Information Server 7 en Windows Server 2008. ¡Regístrate!

Lo nuevo en Internet Explorer 8

{10-Nov / Evento On Line} Todas las novedades acerca de la próxima versión del navegador, que incluyen las mejoras en cuanto a compatibilidad, seguridad y privacidad. Los secretos necesarios para preparar tu organización de un modo adecuado para distribuir en IE 8. Más...

Proteger con NAP

{10-Nov / Evento On Line} En esta sesión se verá la forma en que Network Access Protection permite configurar las condiciones y requisitos necesarios para acceder a la red privada, asegurando así un buen estado de salud general del sistema, negando / permitiendo acceso, o bien derivando a las PCs que no califiquen, de acuerdo a políticas de seguridad corporativa previamente establecidas. ¡Participa!

Administrando una mensajería segura

{11-Nov / Evento On Line} Con los últimos avances en el área de mensajería, esta actividad se ha vuelto relevante en el mundo de los negocios y por lo tanto, susceptible de recibir ataques. En esta sesión, se mostrará como configurar Microsoft Internet Security and Acceleration Server 2006 (ISA), Windows Rights Management Services, Microsoft Forefront y Microsoft Exchange Hosted Services para brindar una infraestructura de servidor más segura. ¡Regístrate!

Seguridad en la empresa con System Center Operations Manager 2007

{12-Nov / Evento On Line} Una sesión donde se analizarán las nuevas funciones disponibles en Operations Manager 2007 tendientes a cubrir escenarios de seguridad en los negocios. Más...

Más eventos de seguridad durante Octubre serán informados en el TechNet Flash. Si aun no estás suscripto, hazlo ahora!

Actualizaciones en seguridad Octubre ’08

Entre otras actualizaciones, se destacan las que protegen de la ejecución remota de código a partir de Active Directory, del servicio RPC de Host Integration Server, de Microsoft Excel y también una actualización de seguridad acumulativa para Internet Explorer. ¡Infórmate!

Saludos, Christian.-

Technorati: Newsletter,Noticias,Seguridad,Tendencias,Computacion Confiable,TwC,SDL,Boletines

del.icio.us: Newsletter,Noticias,Seguridad,Tendencias,Computacion Confiable,TwC,SDL,Boletines

E-Mails de Seguridad de Microsoft falsos y con Malware

linacre — Wed, 15 Oct 2008 05:29:48 GMT

Hola a todos,

como muchos saben los segundos martes de cada mes anunciamos las actualizaciones de seguridad de nuestra plataforma para ese mes. Estas actualizaciones son comunicadas mensualmente en nuestro newsletter de seguridad y se publican en: www.microsoft.com/latam/seguridad/

Durante los últimos días hemos recibido preguntas de algunos clientes y socios que han estado recibiendo correos electrónicos que dicen ser de “Seguridad de Microsoft”. El correo en cuestión viene adicionalmente con un archivo adjunto que es un ejecutable que reclama ser la última actualización de seguridad y anima al lector del correo a ejecutarla dado que con ello estará seguro.

Si bien los correos falsos con falsas notificaciones no son novedad, ya que han sido un problema por años. Este en particular viene firmado por Steve Lipner, director de Seguridad de Microsoft, y viene con un segmento de firma que aparenta ser PGP y la dirección de envío es securityassurance@microsoft.com.

Este correo es sin lugar a ninguna duda SPAM, que en un intento por aumentar la credibilidad incluye firmas de gente y simula esta firma PGP. Adicionalmente, al tradicional spam este incluye una forma de malware o software malicioso, que en específico es Backdoor:Win32/Haxdoor. Actualmente, nuestras soluciones de seguridad (Windows Defender, Microsoft Malicious Software Removal Tool (MSRT), Microsoft Forefront Security for Exchange Server, Microsoft Forefront Client Security, Windows Live OneCare, y Windows Live OneCare Safety) tienen vacunas para limpiar este tipo de infección. Más detalles se pueden encontrar en el Malware Protection Center y aprovecho de recordarles que todos pueden enviar muestras de malware o con sospechas de contaminación, aquí.

Dejando de un lado el mail falso en si, quiero recordarles cuales son nuestras prácticas de comunicación respecto de los boletines y las actualizaciones de seguridad.

Primero, NUNCA, pero NUNCA enviamos archivos adjuntos en la comunicación de las actualizaciones de seguridad. Además, por política interna de Microsoft nunca enviaremos un ejecutable como archivo adjunto. Las formas de obtener las actualizaciones son:

Sitios de seguridad de Microsoft (solo del dominio Microsoft.com)
Windows Updates
Instalación interna en oficinas del usuario a través de WSUS o System Center

Segundo, las notificaciones de boletines de seguridad se envían como texto plano, nunca HTML. Si le llega algo como HTML anunciando ser las actualizaciones del mes, bórrelo.

Tercero, si bien nosotros usamos PGP para firmar las notificaciones, que venga un bloque de texto en el mail no siginifica que sea válido. Para verificar la autenticidad de un mail que dice ser firmado con PGP puede utilizar nuestras herramientas disponibles aquí.

Finalmente, si la duda lo asalta, pregunte. Si le llega un mail y no sabe si es legítimo vaya a los sitios de Microsoft y verifique. Dónde? Puede revisar en www.microsoft.com/latam/seguridad. Sino cualquier duda adicional, en este mismo blog.

Si tiene dudas adicionales, no deje de revisar el sitio de soporte de Microsoft: http://support.microsoft.com/contactus donde podrá encontrar los centros de soporte y ayuda.

Espero esto les sirva para prevenirse de ataques como este y les ayude a protegerse mejor.

Dudas o comentarios bienvenidos.

Saludos, Christian.-

Technorati: Newsletter,Noticias,Computacion Confiable,Malware,Tendencias,Seguridad,Actualizaciones,Actualizaciones de Seguridad

Nuevo blog de Seguridad

linacre — Wed, 15 Oct 2008 05:28:53 GMT

Hola

este nuevo blog estará especialmente dedicado a noticias de seguridad, relativas a Microsoft como a tendencias de industria.

La idea es que sea un espacio de discusión así como de comunicación relativo al tema.

Espero sus sugerencias y comentarios.

Saludos, Christian.-