Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Microsoft adelanta un parche, que debería haber sido publicado el 10 de octubre, para una vulnerabilidad crítica de Explorer en “Vector Markup Language”, sobre la que ayer comentábamos que el gusano “Stratio” intentaba hacerse pasar por parche para dicha vulnerabilidad. El agujero de seguridad ha sido calificado como crítico y podría permitir tomar el control de un ordenador a través de un desbordamiento de memoria intermedia e inyección de shellcode con sólo interpretar una página HTML.

A través de este agujero, un virus podría reenviarse de forma automática e infectar equipos sin que el usuario hiciese nada en particular con su equipo, sino tan sólo utilizar el navegador Internet Explorer,

El parche está disponible para todas las versiones del navegador desde la página oficial WindowsUpdate.com y actualizaciones automáticas y publicado en el boletín MS06-055. No ha sido el único, ya que Microsoft ha publicado una segunda edición del boletín MS06-049 ya publicado en agosto.

A los usuarios que habitualmente usen Windows, les habrá aparecido la actualización automática de este problema de seguridad.

La fecha elegida por Microsoft para no facilitar más actualizaciones y soporte de sus productos Windows 98 Second Edition y Windows Millenium Edition, será el próximo 11 de julio.

Según publica Iblnews cintando fuentes del Washington Post y la consultora IDC, A finales de 2005, el número de usuarios de estos sistemas era el 13% del total y había unos 48 millones de usuarios de Windows 98 y 25 de Millenium, que ahora, salvo que cambien de sistema operativo, se quedarán sin soporte técnico actualizado.

Microsoft establece un ciclo de vida para el soporte técnico de sus productos. En el caso de Windows 98, 98 SE y Millenium, éste debía haber finalizado en enero de 2004, pero se amplió dos años.

Desde hace un tiempo Microsoft está introduciendo mecanismos de lucha contra la piratería de sus productos. Comenzó con no permitir actualizaciones a excepción de las actualizaciones de seguridad y parches de seguridad mediante limitaciones en ActiveX en Windows Update.

Lo último ha sido la “herramienta de Validación del Programa de Ventajas de Windows Original” que analiza si la versión de Windows que tiene instalado es una versión pirata y en este caso solo permite actualizar los parches críticos de seguridad. Está herramienta se instala como un componente más al realizar la actualización de Windows Update.

En está ocasión el gigante informático ha dado un paso más en su lucha y ha incluido un “Programa de Notificaciones de Ventajas de Windows Original” mediante el cual  al realizar las actualizaciones se instala un programa el cual es, según Microsoft “opcional” pero que en la práctica parece no serlo, y que avisa y recuerda que el Windows que utiliza no es original e insta a instalar uno original.

Esta estrategia  la ha apoyado con información en su web acerca de las ventajas de tener un Windows original:

Ofertas especiales del Programa de Ventajas de Windows Original
“Los clientes que utilizan Windows original tienen derecho a acceder a descargas gratuitas y ofertas especiales del Programa de Ventajas de Windows Original. Las descargas están organizadas en varias categorías como, por ejemplo, mantenimiento del ordenador, formación, personalización de Windows y diversión y entretenimiento.”
Según han manifestado los responsables de Microsoft se está iniciando la instalación en EEUU, Reino Unido y Australia entre otros, previéndose que para finales de año esté instalado en todo el mundo.

Fuente: Microsoft

Tarde … ¿y mal? El último parche lanzado por Microsoft para corregir la reciente y grave vulnerabilidad en la función “createTextRange()”, sigue dando que hablar. Parece ser que este parche genera conflictos con determinadas aplicaciones, en concreto con el paquete Office del propio Microsoft, la barra de herramientas Google Toolbar, algunas aplicaciones de Hewlett-Packard, y el cortafuegos de Kerio, aunque puede generar conflicto con más aplicaciones.

El problema radica en que este parche afecta a diversas aplicaciones de Internet que utilizan versiones específicas de la tecnología Java. La razón es que los cambios han generado modificaciones en la manera en la que el navegador administra los controles ActiveX. Esto puede ocasionar cuelgues, mal funcionamiento del navegador, imposibilidad de abrir documentos, etc etc…

¿Habrá que esperar otro mes para solucionarlo? Fuente: LibertadDigital

Para hoy Martes 11 de Abril está previsto que Microsoft lance su boletín de seguridad mensual de Abril con parches para solucionar diversos problemas. Finalmente, va a ser publicado el parche oficial para corregir la última gran vulnerabilidad del navegador Internet Explorer (producida en la llamada al método “createTextRange()“), y para la cual terceras compañías ajenas a Microsoft tuvieron que lanzar parches no oficiales que ayudaran a los usuarios a evitar posibles (y probables) problemas de seguridad.

Incluso cabía la posibilidad de que Microsoft no lanzara aún el parche para solucionar este grave problema, aunque probablemente lo hayan hecho forzados por la publicación extraoficial de los parches de eeye Security y Determina.

En total se incluirá en este boletín 4 parches para Windows (los más críticos son los de Internet Explorer) y uno adicional que afecta a Windows y Office.

Resulta cuando menos curioso, que tras el reciente y gravísimo problema de seguridad detectado en Internet Explorer, Microsoft no tome las medidas necesarias para proteger a los usuarios de su navegador (el cual va integrado en su sistema operativo, tan extendido), quedando clara y gravemente expuestos a ataques informáticos. Es más, han anunciado que hasta el día 11 de mes próximo no lo lanzarán, en su actualización mensual.

Por ello, terceras empresas, han tenido que crear un parche no oficial para ayudar a los usuarios a protegerse. Como por ejemplo Determina y eEye Network Security. Desde luego, no parece una política a seguir la de Microsoft en lo referente a la seguridad, es más, incluso indica a sus usuarios que no instalen parches de terceras empresas y que “esperen” al parche oficial, si es que les da tiempo y sus equipos no caen víctimas de las webs trampa que ya hay repartidas por Internet.

Esta semana Sudhakar Govindavajhala y Andrew Appel han publicado un artículo en el que comentan las ventajas de una nueva herramienta de análisis de seguridad desarrollada por ellos. Esta herramienta revisa desde un punto de vista totalmente nuevo los vectores de ataque conocidos y utilizados en Windows.

Segun afirman en su artículo, muchos fabricantes de software no aseguran correctamente los servicios instalados en el sistema contra modificación por parte de usuarios no Administradores. De esta forma se permtiría que un usuario pudiese ejecutase cualquier aplicación con los privilegios de los servicios vulnerables que suelen ser Local Service o Local System, los mayores privilegios que un programa puede conseguir en el sistema.

El objetivo de dicha herramienta es analizar la viabilidad de que un usuario pueda llegar a escalar privilegios en el sistema verificando los permisos que tiene para modificar los diferentes elementos de la máquina.

Las implicaciones de seguridad de estos fallos, poco conocidos hasta la fecha, son considerables, permitiendo tanto la elevación de privilegios como la instalación de puertas traseras en el sistema.

Las pruebas realizadas en varios sistemas Windows XP SP2 revelan que existen por defecto dos servicios, upnphost y SSDP, que pueden ser modificados por cualquier usuario del sistema dado que se garantiza este permiso al grupo “Usuarios autenticados”.

Servicios de otros fabricantes pueden estar afectados por lo que se recomienda mantener el software actualizado.

De manera excepcional, Microsoft  ha proporcionado una actualización de seguridad anticipándose a sus regulares actualizaciones mensuales, para solucionar el grave problema de seguridad que afecta a WMF. En un principio Microsoft indicó que no lanzaría el parche de seguridad hasta el martes 10 de enero, causando la preocupación de algunos miembros de la comunidad de la seguridad informática, que veían en esta tardanza la oportunidad perfecta para que piratas informáticos infectasen nuevos ordenadores.

Este error en el programa de Microsoft es muy peligroso, y está siendo explotado por piratas informáticos para extender programas maliciosos. Es prioritario que las empresas y los particulares dispongan de parches de seguridad para protegerse de agujeros como este.

Los piratas informáticos continúan explotando este agujero de seguridad a pesar de que el parche de seguridad está ya disponible. En los últimos ataques producidos, un mensaje con el asunto “Happy New Year 2″ incita a los usuarios a visitar sitios Web que pretenden ser una felicitación electrónica proveniente de 123greetings.com; sin embargo, el vínculo conduce en realidad hasta un sitio Web infectado localizado en Holanda.

Los piratas informáticos se encuentran en una carrera a contrarreloj para infectar el mayor número de ordenadores posibles a través del agujero de seguridad WMF antes de que las compañías tengan tiempo de colocar el parche de seguridad. Todo el mundo debe  aplicar el parche lo antes posible, y defender sus redes con programas antivirus y anti-spam actualizados

Mas información sobre el parche, y graficos sobre los últimos mensajes de ataque están disponibles en la web de Sophos

Descarga del parche de Microsoft para WMF

El escritorio remoto de Windows es utilizado para iniciar sesiones en equipos remotos, es decir, con unas credenciales válidas (user y password) un usuario puede iniciar una sesión en el equipo sin tener que estar físicamente delante del equipo. Para mantener la privacidad de las operaciones, el escritorio remoto sólo permite iniciar las sesiones de una en una, es decir, cuando una sesión es iniciada remotamente, al usuario local se le bloqueará la pantalla y viceversa.

He escrito un texto en el que demuestra la escasa fiabilidad de esta “política de privacidad” de Microsoft, puesto que, como se demuestra en este artículo, las sesiones siguen siendo accesibles a otros usuarios, vulnerando el bloqueo impuesto por el “Escritorio remoto”

Toda la información en: http://cyruxnet.org/escritorio_remoto_xp.htm

Los desarrolladores de aplicaciones como OpenOffice, que tenían por delante la tarea titánica de conseguir la compatibilidad de aplicaciones de software libre con Microsoft Office, podrán estar mas aliviados tras el anuncio de Microsoft de la próxima publicación de  información detallada de los formatos de datos usados por los ficheros de esta aplicación. Hasta ahora solo existía compatibilidad con documentos de Office 98 y cualquier aproximación a los nuevos formatos pasaba por el uso de ingeniería inversa y muchas horas de análisis, con editor hexadecimal en mano, del funcionamiento interno de Office. Microsoft enviará dicha información a Ecma Internacional para que procedan a generar la documentación necesaria.

Lo que para muchos es una buena noticia, pues permitirá el uso de software libre para trabajar con nuestros documentos, tiene tambien un lado negativo a corto plazo. La hasta ahora aparente sensación de seguridad que tenían los usuarios al trabajar con documentos de Word, podrá verse afectada al publicarse este nuevo estandar. Esta información podría ser utilizada por Hackers para realizar una busqueda intensiva de vulnerabilidades a la suite ofimática de Microsoft.  Cualquier vulnerabilidad encontrada podría ser utilizara rápidamente por multitud de gusanos y códigos maliciosos.

La noticia original puede encontrarse en news.ft.com