Microsoft publica 18 boletines de seguridad y soluciona 135 vulnerabilidades

A pesar de las informaciones previas sobre la no publicación de boletines, este martes Microsoft ha publicado 18 boletines de seguridad (del MS17-006 al MS17-023) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve de los boletines presentan un nivel de gravedad “crítico”mientras que los nueve restantes son “importantes”. En total se han solucionado 135 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras siete vulnerabilidades adicionales en Flash Player.

Hay que señalar que Microsoft ha corregido los problemas anunciados con anterioridad, incluyendo el fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio (CVE-2017-0016) y los reportados por Project Zero, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038) y de ejecución remota de código en los navegadores Internet Explorer y en Edge (CVE-2017-0037). Tras la ausencia de boletines el pasado mes de febrero se esperaban muchos boletines y vulnerabilidades corregidas.

Read More

Iconos de escritorio en Windows 2008

Si no les aparecen los iconos en el escritorio de Windows 2008 o no quieren instalar Desktop Experience, pueden hacer lo siguiente:

1) Crear una carpeta nueva en el escritorio
2) Nombre la carpeta como:  God Mode.{ED7BA470-8E54-465E-825C-99712043E01C}
3) Abrir la carpeta (El icono de la carpeta tomara la imagen del Panel de Control )
4) Busquen la seccion “Display
5) Seleccionen “Show or hide common icons on the desktop
6) Elijan los iconos que deseen ver en el escritorio.

 

Read More

Microsoft lanzará un parche crítico para todas las versiones de Windows

image

Como es habitual mes con mes, el próximo martes Microsoft lanzará una serie de actualizaciones para sus productos. Si en febrero la compañía publicó nueve boletines de seguridad, para el presente mes se ha programado el lanzamiento de seis boletines que corrigen múltiples vulnerabilidades de seguridad.

Windows es el principal producto afectado al abarcar cuatro de las seis actualizaciones. Una de estas ha sido catalogada por Microsoft como “crítica” ya que soluciona diferentes problemas que pueden ser explotados por atacantes para ejecutar código remoto y tener acceso total al sistema. Cabe señalar que esta actualización afecta a todas las versiones del sistema operativo, incluyendo las más recientes Windows 7 y Server 2008.

Read More

Microsoft presentó este jueves la primera versión pública de su nuevo sistema operativo Windows 8, base de su plan para frenar la expansión de Apple y Google en el mercado.

05/03/2012 – El gigante del software consideró que el nuevo sistema implica el rediseño más amplio de su principal producto desde que lanzó el Windows 95. Hasta el momento el programa sólo estaba disponible para desarrolladores registrados, que descargaron unas tres millones de copias del software.

El nuevo sistema operativo modifica radicalmente la forma en la que los usuarios de Windows interactúan con sus ordenadores y está diseñado para funcionar tanto en las computadoras tradicionales como en las tabletas, con una opción de funciones táctiles o controles a través del mouse o el teclado.

Read More

“Pantallazo azul” (BSOD) en Windows Vista y 7 a través de unidades compartidas

Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB).

El fallo (incomprensiblemente simple) está en el intérprete de las cabeceras SMB, concretamente en el driver srv2.sys. Como los controladores operan en el “ring0”, la capa de abstracción del sistema operativo más cercana al hardware (en contraste con el “ring3”, la capa de usuario que no interactúa directamente con él) un fallo en cualquier driver provoca que el sistema se bloquee por completo, al no poder manejar la excepción correctamente. Se trata del temido pantallazo azul, o BSOD. Los Windows anteriores a Windows 2000 no realizaban esta separación de seguridad entre capas, por lo que todo operaba en el mismo espacio de memoria y los fallos en el espacio de usuario podían causar un bloqueo total del sistema. De ahí que los pantallazos azules fuesen mucho más comunes en Windows 9x y Me.

El ataque es tan sencillo que recuerda a los “pings de la muerte” que hicieron estragos a finales de los 90 en los sistemas Windows. Contenían un fallo en la pila TCP que hacía que, si se enviaba un ping al sistema especialmente manipulado (simplemente especificando con un parámetro, por ejemplo, un tamaño mayor del paquete) se podía hacer que el sistema dejara de responder. Esto, unido a la carencia de cortafuegos del sistema, a que en aquellos momentos las conexiones se realizaban a través de módem (que carecía de protección por cortafuegos o NAT) y el hecho de no existir servicio de actualización automático del sistema, hicieron muy popular el ataque.

Este fallo en el protocolo SMBv2 de compartición de archivos requiere igualmente del envío de una sencilla secuencia de paquetes SMB (al puerto 445) al sistema víctima con las cabeceras manipuladas. El truco está en enviar un carácter “&” en el campo “Process Id High” de las cabeceras SMBv2. Esto provoca una excepción en srv2.sys que provoca el pantallazo azul. El exploit es público y realmente sencillo.

Vista mantiene el cortafuegos activo por defecto para su perfil “público”, y esto mitiga el problema. Pero todo depende del perfil. Si el usuario usa un perfil de cortafuegos (ya sea de dominio, o el perfil
privado) en el que permite las conexiones a sus unidades compartidas (puerto 445, normalmente abierto en las redes locales) será vulnerable.
No es necesario que comparta realmente una unidad, solo que el protocolo SMB esté activo y preparado para compartir en su sistema. Esto puede resultar especialmente grave en redes internas.

No existe parche oficial disponible. Se recomienda filtrar el puerto 445 (y los implicados también en la compartición de ficheros 137-139) a través de cortafuegos. También es posible detener el servicio “Servidor”
del sistema (aunque se puede llegar a perder funcionalidad). Otra contramedida posible es desactivar la casilla “compartir archivos e impresoras” que aparece en las propiedades de las interfaces de red.

Aunque el ataque no permite ejecución de código y es poco viable que pueda propagarse por la red pública, sí que puede resultar más que molesto en redes internas donde los usuarios normalmente mantienen reglas de cortafuegos mucho más relajadas. ¿Vuelven los tiempos del “ping de la muerte”?.

Fuente:Noticias Hispasec

Read More

Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código

Kingcope (quién también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio.

Microsoft engloba dentro del “paquete” IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP.

El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes).

Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto.

Fuente:Noticias Hispasec

Read More

Mitos y leyendas: El Directorio Activo (V) (Métodos para la restauración de datos replicados)

La restauración de datos replicados en un entorno de directorio activo plantea un serio problema de coordinación. Todos los controladores de dominio deben tener su información replicada entre ellos, de forma que sea consistente. Una restauración puede insertar cambios que produzcan más daños que beneficios a la hora de ser replicados a otros sistemas, e incluso puede que se pierda más información que la ganada con la restauración. Para controlar el proceso existen tres métodos para restaurar datos que serán replicados.

Respaldar los datos

Lo más rápido, es programar una tarea en el controlador que realice una copia de seguridad de los datos del registro, del Directorio Activo y de su SYSVOL.

NTBACKUP backup systemstate /F “z:\Respaldo\DC1_SysState_ 2009-08-01.bkf”

Cuando ocurra un desastre, estas copias serán necesarias… ¿cómo usarlas?

Métodos para la restauración de datos replicados

Los tres métodos (en realidad dos) para restaurar datos que serán replicados son:

* Autoritativa
* No Autoritativa
* Primaria

La restauración primaria es en realidad un caso concreto de “autoriativa”. En el caso de que sea el primer controlador el restaurado, la estauración sería “restauración primaria” y el resto (si los hay) no autoritativos.

Restauración de Active Directory en modo no autoritativo

Los datos de esta restauración pueden estar desfasados, y serán sincronizados con la información de otros controladores que existan en el dominio. O sea, los datos de controladores de sistema que estén activos se propagarán a este nuevo sistema restaurado. Proporciona un punto de partida más avanzado a la hora de empezar de nuevo en un sistema del que existen réplicas. Se supone que el sistema que se ha mantenido en pie (el que no estamos restaurando) contendrá la información más actualizada, y sólo lo que haya sido modificado desde que se hizo la copia de seguridad será transferido y replicado de uno a otro. En realidad no recupera información, sino que ayuda a la instauración de un controlador de dominio cuando todavía existen otros funcionando.

Lo primero es conseguir que la base de datos de direcciones no esté operativa para poder restaurarla. Esto se consigue iniciando el sistema en modo seguro, pulsando F8 durante el arranque y eligiendo “Modo de restauración de SD”. Se debe arrancar la utilidad ntbackup y restaurar de forma normal el estado del sistema.

Una vez realizada esta restauración con éxito, es necesario elegir si se necesitará una restauración autoritativa o no. En caso afirmativo, NO se debe reiniciar la máquina en modo normal, pues se necesitará otro paso.
Si la restauración es no autoritativa, el proceso ha terminado.

Restauración de Active Directory en modo autoritativo

Es un tipo de restauración más “agresiva” y provoca que los datos restaurados se repliquen al resto de sistemas que pudiesen existir. Hace que la red entera vuelva al estado en el que se encuentran los datos que van a ser restaurados.

El proceso es idéntico al anterior, pero ANTES de arrancar en modo normal, se debe ejecutar ntdsutil. Esta herramienta permitirá marcar los objetos como autoritativos. Ntdsutil es una herramienta muy completa, compleja y potente. Permite múltiples acciones a bajo nivel y es mejor tener que enfrentarse con ellos.

Por ejemplo si se ha borrado una OU por error este sistema permite también marcar sólo este objeto como autoritativo y para replicación al resto de controladores. Si el nombre de la OU es “usuarios” y el dominio hispasec.com.

Desde una consola se ejecuta Ntdsutil y una vez en su contexto:

authoritative restore

En el prompt que aparece (que indica que estamos en el contexto
adecuado) ejecutar

restore subtree OU=Usuarios, DC=Hispasec,DC=Com

El mensaje debería ser que la restauración se ha completado con éxito.
Si en lugar de una rama se quiere especificar que toda la base de datos del AD es la copia debe replicarse al resto (la autoritativa), entonces se podría escribir:

restore database

Solo queda reiniciar.

Restauración de SYSVOL

SYSVOL contiene datos replicados en todos los controladores, como las políticas y scripts de inicio.

La restauración de SYSVOL en modo Restauración no autoritativa es una simple restauración del estado del sistema a través de la utilidad ntbackup.

La restauración de SYSVOL en modo Restauración primaria: Cuando se necesita recuperar un dominio desde el principio, se debe utilizar esta técnica. Se debe arrancar ntbackp y restaurar el estado del sistema, pero en la casilla de opciones avanzadas de restauración, se debe señalar “marcar los datos restaurados como datos primarios” para todas las réplicas cuando se restauren datos replicados.

Restauración de SYSVOL en modo Restauración autoritativa: Si se ha borrado un dato importante de SYSVOL y ya han sido replicados los cambios, entonces es necesario realizar este tipo de restauración. Se debe arrancar ntbackup para restaurar el estado del sistema a un lugar alternativo. De esta forma se consigue una carpeta con la información y esta no es sobreescrita en la base de datos de AD. Se debe ahora reiniciar el sistema en modo normal y permitir que SYSVOL se replique.
Luego, copiar el SYSVOL restaurado sobre el que ahora existe. Se recomienda utilizar el método anterior cuando se realice una restauración en modo autoritativo del controlador de dominio, puesto que esto es necesario para mantener SYSVOL y el Directorio Activo sincronizados.

Fuente:Noticias Hispasec

Read More

Glary Undelete, para recuperar archivos borrados

glary undeleteHoy me han hablado de otra aplicación para recuperar archivos borrados en Windows, se trata de Glary Undelete, un freeware que funciona con Windows XP, 2003 Server y Vista (no está claro si también funciona en Windows 7).

Glary Undelete permite recuperar archivos borrados de la papelera de reciclaje o de un disco externo (lápices USB, tarjetas SD ó discos CD RW), dispone de la posibilidad de realizar algunos escaneos en busca de archivos por nombre, tamaño o estado y también soporta archivos comprimidos, fragmentados o encriptados en sistemas de ficheros NTFS. Aunque también soporta la recuperación de archivos en unidades formateadas con FAT, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS, para que casi nada quede fuera de su alcance.

Así pues se trata de otra utilidad gratuita que nos puede venir muy bien en determinadas ocasiones cuando por error eliminamos archivos y queramos recuperarlos.

Vía | bitelia
Más información | Techmixer
Descarga | Glary Undelete

Fuente:Gen Beta

Read More

Microsoft libera tres drivers para el kernel de Linux

Windows Server 2008 Sí, en serio, Microsoft sorprendió ayer a propios y extraños liberando 20.000 líneas código bajo licencia GPL v2, correspondientes a tres drivers. Si bien la función de estos drivers es optimizar la ejecución de Linux al ser virtualizado sobre Windows Server 2008 Hyper-V, es decir, que corra mejor sobre Windows, supone la primera publicación de código bajo GPL por parte de los de Redmond.

Todo comenzó cuando un usuario en el Vyatta solicitó soporte para el driver de red de Hyper-V en el kernel Vyatta. Con un poco de búsqueda era fácil encontrar los drivers necesarios, pero una vez visto en detalle había un problema y gordo: el driver tenía parte código abierto bajo la GPL y un enlace estático a varias partes binarias. Ya que la GPL no permite mezclar código abierto y cerrado, esto era una violación de la licencia.

Sin formar mucho escándalo, Steve Hemminger comentó el tema a Greg Kroah-Hartman, que mantiene una relación directa con Novell, que a su vez tiene un trato (digamos) directo con Microsoft, con la esperanza de que el asunto llegara a las personas adecuadas y tomaran medidas. El acto de fe ha producido un resultado desde luego interesante, porque supone muchas cosas:

Read More

Mitos y leyendas: El Directorio Activo (II) (Instalación segura)

Una vez creado el dominio a través de un primer controlador , es muy aconsejable agregar un nuevo controlador para obtener ventajas de seguridad. Un segundo controlador proporciona un sistema de seguridad adicional en caso de fallo. Además supone un buen balance de carga para el sistema en caso de que miles de usuarios hagan uso del Directorio Activo y deba soportar muchas peticiones.

Habitualmente la manera tradicional de agregar un controlador de dominio a un dominio existente es la instalación de un Windows 2000 Server, 2003 o 2008 y ejecutar la herramienta dcpromo.exe. Los pasos durante la instalación de este segundo controlador son relativamente sencillos, guiados a través de un asistente que explica de forma más o menos detallada cada paso.

Una vez en marcha, comienza la replicación por red de la información desde el primer controlador original, de forma que se duplica la base de directorio del Directorio Activo y ambos sistemas poseerán la misma información. A partir de Windows 2003 se introdujo un nuevo método (Install From Media, IFM) mucho más efectivo que además obliga a realizar una copia de seguridad que se utilizará para la replicación. La táctica consiste en la instalación de un segundo controlador de dominio a partir de una copia de seguridad del primero, sin necesidad de replicar la base de datos a través de la red.

Ventajas

Esto es importante con respecto a la seguridad y el rendimiento porque:

* Obliga a realizar una copia de seguridad del controlador primario.

* Impide que la información de replicado se desplace por la red en caso de que los datos viajen por un canal no seguro.

* Ahorra tiempo y recursos porque no hay necesidad de que los datos se repliquen por la red. En una LAN quizá esto no suponga un problema, pero en sistemas de larga distancia, cualquier dato perdido o mal interpretado puede llegar a crear inconsistencias en las bases de datos.

Creando una copia de seguridad

La utilidad más adecuada en este caso es ntbackup.exe, que viene de serie en cualquier Windows excepto Vista. En ella se debe indicar que se quiere realizar una copia de respaldo del “estado del sistema” (opción solo disponible en los controladores de dominio). Después de unos minutos, esto creará un archivo con extensión BKF de (como mínimo) unos 500 megabytes.

Este fichero está “protegido” por la contraseña introducida durante el proceso de instalación del primer controlador de dominio. Este aspecto es importante porque induce a error. Existe un imperdonable fallo de traducción en los Windows 2003 que puede llegar a confundir a los administradores. Durante el proceso de instalación del directorio activo, el asistente pregunta en un momento dado por la “Contraseña de modo remoto” en el menú “Contraseña de admin. de Modo de restauración de directorio”. Esta “Contraseña de modo remoto” es una traducción fallida de “Restore mode password”, que queda mucho más claro en inglés. Esta contraseña no debe ser la misma que la de administrador, ni sirve para presentarse ante ningún recurso de dominio. Tampoco sirve para ningún tipo de modo remoto. En realidad su utilidad es la de entrar en el modo seguro del controlador de dominio cuando ha ocurrido algún tipo de error o se quieren realizar recuperaciones de objetos. También protege al fichero que acaba de crearse (o sea, para restaurarlo será necesario conocer la contraseña).

Usando la copia de seguridad en el controlador secundario

El archivo BKF puede ser trasladado a través de cualquier medio seguro al servidor secundario. Pero no se debe restaurar el archivo al “sitio original” que aparecerá por defecto al ejecutar ntbackup, sino a una carpeta separada. De ahí se tomarán los datos para promocionar más tarde el segundo servidor. Por ejemplo, se debe indicar que se va a restaurar el “estado del sistema” a una carpeta llamada “RestaurarADTmp”. Esto se indica en las opciones avanzadas del programa de restauración.

Promocionando finalmente el servidor

Ahora es el momento de promocionar el servidor, pero debe hacerse también de una manera diferente, arrancando las opciones avanzadas de dcpromo.exe para poder elegir la opción de instalar el controlador desde una carpeta de restauración. Esto se consigue con:

dcpromo.exe /adv

De esta forma aparecerá en el asistente una nueva opción que permitirá elegir de dónde conseguir la información para instalar el controlador de dominio adicional. Se le debe indicar la carpeta creada a tal efecto (en este caso RestaurarADTmp), indicarle la contraseña de restauración, y el dominio será instalado.

La copia de seguridad debe ser descartada, por defecto, antes de 60 días (para dominios creados antes de Windows 2003 SP1, 180 días para dominios posteriores). Si se restaura después de ese tiempo, se corre el riego de sufrir inconsistencias entre los diferentes controladores. Ese es el valor del tombstone (lápida), tiempo de “vida” de los objetos borrados, o sea, el tiempo que permanecen en una especie de papelera desde donde se pueden recuperar. Este valor también sirve para evitar el riesgo de replicaciones entre controladores que no se han comunicado en todo ese tiempo.

Fuente:Noticias Hispasec

Read More