Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código

Kingcope (quién también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio.

Microsoft engloba dentro del “paquete” IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP.

El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes).

Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto.

Fuente:Noticias Hispasec

Read More

Mitos y leyendas: El Directorio Activo (V) (Métodos para la restauración de datos replicados)

La restauración de datos replicados en un entorno de directorio activo plantea un serio problema de coordinación. Todos los controladores de dominio deben tener su información replicada entre ellos, de forma que sea consistente. Una restauración puede insertar cambios que produzcan más daños que beneficios a la hora de ser replicados a otros sistemas, e incluso puede que se pierda más información que la ganada con la restauración. Para controlar el proceso existen tres métodos para restaurar datos que serán replicados.

Respaldar los datos

Lo más rápido, es programar una tarea en el controlador que realice una copia de seguridad de los datos del registro, del Directorio Activo y de su SYSVOL.

NTBACKUP backup systemstate /F “z:\Respaldo\DC1_SysState_ 2009-08-01.bkf”

Cuando ocurra un desastre, estas copias serán necesarias… ¿cómo usarlas?

Métodos para la restauración de datos replicados

Los tres métodos (en realidad dos) para restaurar datos que serán replicados son:

* Autoritativa
* No Autoritativa
* Primaria

La restauración primaria es en realidad un caso concreto de “autoriativa”. En el caso de que sea el primer controlador el restaurado, la estauración sería “restauración primaria” y el resto (si los hay) no autoritativos.

Restauración de Active Directory en modo no autoritativo

Los datos de esta restauración pueden estar desfasados, y serán sincronizados con la información de otros controladores que existan en el dominio. O sea, los datos de controladores de sistema que estén activos se propagarán a este nuevo sistema restaurado. Proporciona un punto de partida más avanzado a la hora de empezar de nuevo en un sistema del que existen réplicas. Se supone que el sistema que se ha mantenido en pie (el que no estamos restaurando) contendrá la información más actualizada, y sólo lo que haya sido modificado desde que se hizo la copia de seguridad será transferido y replicado de uno a otro. En realidad no recupera información, sino que ayuda a la instauración de un controlador de dominio cuando todavía existen otros funcionando.

Lo primero es conseguir que la base de datos de direcciones no esté operativa para poder restaurarla. Esto se consigue iniciando el sistema en modo seguro, pulsando F8 durante el arranque y eligiendo “Modo de restauración de SD”. Se debe arrancar la utilidad ntbackup y restaurar de forma normal el estado del sistema.

Una vez realizada esta restauración con éxito, es necesario elegir si se necesitará una restauración autoritativa o no. En caso afirmativo, NO se debe reiniciar la máquina en modo normal, pues se necesitará otro paso.
Si la restauración es no autoritativa, el proceso ha terminado.

Restauración de Active Directory en modo autoritativo

Es un tipo de restauración más “agresiva” y provoca que los datos restaurados se repliquen al resto de sistemas que pudiesen existir. Hace que la red entera vuelva al estado en el que se encuentran los datos que van a ser restaurados.

El proceso es idéntico al anterior, pero ANTES de arrancar en modo normal, se debe ejecutar ntdsutil. Esta herramienta permitirá marcar los objetos como autoritativos. Ntdsutil es una herramienta muy completa, compleja y potente. Permite múltiples acciones a bajo nivel y es mejor tener que enfrentarse con ellos.

Por ejemplo si se ha borrado una OU por error este sistema permite también marcar sólo este objeto como autoritativo y para replicación al resto de controladores. Si el nombre de la OU es “usuarios” y el dominio hispasec.com.

Desde una consola se ejecuta Ntdsutil y una vez en su contexto:

authoritative restore

En el prompt que aparece (que indica que estamos en el contexto
adecuado) ejecutar

restore subtree OU=Usuarios, DC=Hispasec,DC=Com

El mensaje debería ser que la restauración se ha completado con éxito.
Si en lugar de una rama se quiere especificar que toda la base de datos del AD es la copia debe replicarse al resto (la autoritativa), entonces se podría escribir:

restore database

Solo queda reiniciar.

Restauración de SYSVOL

SYSVOL contiene datos replicados en todos los controladores, como las políticas y scripts de inicio.

La restauración de SYSVOL en modo Restauración no autoritativa es una simple restauración del estado del sistema a través de la utilidad ntbackup.

La restauración de SYSVOL en modo Restauración primaria: Cuando se necesita recuperar un dominio desde el principio, se debe utilizar esta técnica. Se debe arrancar ntbackp y restaurar el estado del sistema, pero en la casilla de opciones avanzadas de restauración, se debe señalar “marcar los datos restaurados como datos primarios” para todas las réplicas cuando se restauren datos replicados.

Restauración de SYSVOL en modo Restauración autoritativa: Si se ha borrado un dato importante de SYSVOL y ya han sido replicados los cambios, entonces es necesario realizar este tipo de restauración. Se debe arrancar ntbackup para restaurar el estado del sistema a un lugar alternativo. De esta forma se consigue una carpeta con la información y esta no es sobreescrita en la base de datos de AD. Se debe ahora reiniciar el sistema en modo normal y permitir que SYSVOL se replique.
Luego, copiar el SYSVOL restaurado sobre el que ahora existe. Se recomienda utilizar el método anterior cuando se realice una restauración en modo autoritativo del controlador de dominio, puesto que esto es necesario para mantener SYSVOL y el Directorio Activo sincronizados.

Fuente:Noticias Hispasec

Read More

Boletines de seguridad de Microsoft en agosto

Tal y como adelantamos, este martes Microsoft ha publicado nueve boletines de seguridad (del MS09-036 al MS09-044) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad “crítico” mientras que los cuatro restantes son “importantes”. En total se han resuelto 19 vulnerabilidades.

Los boletines “críticos” son:

* MS09-037: Actualización destinada a solucionar una vulnerabilidad en Microsoft Active Template Library (ATL) que podría permitir la ejecución remota de código si un usuario si un usuario abre un componente o control específicamente creado y alojado en una página web maliciosa.

* MS09-038: En este boletín se solucionan dos vulnerabilidades en el tratamiento de archivos de Windows Media que podrían permitir la ejecución remota de código arbitrario si el usuario abre un archivo .avi maliciosamente manipulado. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.

* MS09-039: Actualización de seguridad para evitar dos vulnerabilidades en WINS (Windows Internet Name Service), cada una de las cuales podría permitir la ejecución remota de código arbitrario. Afecta a sistemas Windows 2000 y Server 2003 con WINS instalado.

* MS09-043: Actualización para corregir cuatro vulnerabilidades en los Componentes Web de Microsoft Office (Microsoft Office Web Components), que podrían permitir la ejecución remota de código si el usuario accede a una página web creada de forma maliciosa. Afecta a Microsoft Office XP, Office 2003, Microsoft Office 2000 Web Components, Office XP Web Components, Office 2003 Web Components, Microsoft Internet Security and Acceleration Server 2004 y 2006, BizTalk Server 2002, Visual Studio .NET

2003 y Microsoft Office Small Business Accounting 2006.

* MS09-044: Actualización destinada a corregir dos vulnerabilidades en la conexión a Escritorio Remoto (Microsoft Remote Desktop Connection) que podrían permitir la ejecución remota de código si un atacante consigue convencer a un usuario de los Servicios de Terminal para conectar a un servidor RDP malicioso o si el usuario visita un sitio web específicamente creado para explotar esta vulnerabilidad. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.

Los boletines clasificados como “importantes” son:

* MS09-036: Actualización que resuelve una vulnerabilidad de denegación de servicio en el componente Microsoft .NET Framework de Windows. Afecta a Microsoft Vista y Windows Server 2008.

* MS09-040: En este boletín se ofrece una actualización para resolver una vulnerabilidad de elevación de privilegios a través del servicio Windows Message Queuing Service (MSMQ). Afecta a Windows XP, 2000, Vista y Server 2003.

* MS09-041: En este boletín se corrige una vulnerabilidad de elevación de privilegios a través del servicio “Estación de Trabajo” (Windows Workstation Service). Afecta a Windows XP, Vista, Server 2003 y Server 2008.

* MS09-042: Actualización destinada a solucionar una vulnerabilidad en el servicio de Telnet que podría permitir a un atacante obtener credenciales para acceder a los sistemas afectados. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Fuente:Noticias Hispasec

Read More

Microsoft publica dos boletines de seguridad fuera del ciclo habitual

Microsoft ha publicado dos boletines de seguridad fuera de su ciclo habitual de actualizaciones del segundo martes de cada mes. Ambos boletines están relacionados con la Biblioteca de Plantillas Activas de Microsoft, el primero de los boletines afecta a Internet Explorer, mientras que el segundo para Visual Studio está destinado a desarrolladores que hagan uso de dicha librería.

Sin ser el segundo martes de mes, Microsoft acaba de publicar dos boletines de seguridad (con identificadores MS09-034 y MS09-035). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.

La Librería de Plantillas Activas de Microsoft (ATL) es un conjunto de clases de C++ basadas en plantillas que permite crear objetos COM (Component Object Model).

El boletín MS09-034 se refiere a una actualización acumulativa de Internet Explorer que además soluciona tres nuevas vulnerabilidades en ATL (Active Template Library, Librería de Plantillas Activas) que podrían permitir la ejecución remota de código si un usuario visita una página web especialmente manipulada con una versión de Internet Explorer afectada.

El segundo boletín (MS09-035), está destinado a que los desarrolladores que hagan uso de la librería ATL en Visual Studio solucionen las tres vulnerabilidades asociadas. Por eso, su carácter “moderado” y su publicación fuera de ciclo conjunto al anterior boletín descrito. Esta actualización de seguridad está destinada específicamente para desarrolladores de componentes y controles. Los programadores que empleen y distribuyan componentes y controles que usen ATL deben instalar esta actualización y seguir la guía proporcionada para crear y distribuir a sus clientes, componentes y controles que no sean vulnerables a las vulnerabilidades tratadas en el boletín.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

La última vez que Microsoft publicó una actualización de seguridad de este tipo, fuera de su ciclo habitual de actualizaciones, fue el 17 de diciembre de 2008, cuando se lanzó el boletín MS08-078 que curiosamente también solucionaba una vulnerabilidad crítica en Internet Explorer.

Fuente:Noticias Hispasec

Read More

Microsoft libera tres drivers para el kernel de Linux

Windows Server 2008 Sí, en serio, Microsoft sorprendió ayer a propios y extraños liberando 20.000 líneas código bajo licencia GPL v2, correspondientes a tres drivers. Si bien la función de estos drivers es optimizar la ejecución de Linux al ser virtualizado sobre Windows Server 2008 Hyper-V, es decir, que corra mejor sobre Windows, supone la primera publicación de código bajo GPL por parte de los de Redmond.

Todo comenzó cuando un usuario en el Vyatta solicitó soporte para el driver de red de Hyper-V en el kernel Vyatta. Con un poco de búsqueda era fácil encontrar los drivers necesarios, pero una vez visto en detalle había un problema y gordo: el driver tenía parte código abierto bajo la GPL y un enlace estático a varias partes binarias. Ya que la GPL no permite mezclar código abierto y cerrado, esto era una violación de la licencia.

Sin formar mucho escándalo, Steve Hemminger comentó el tema a Greg Kroah-Hartman, que mantiene una relación directa con Novell, que a su vez tiene un trato (digamos) directo con Microsoft, con la esperanza de que el asunto llegara a las personas adecuadas y tomaran medidas. El acto de fe ha producido un resultado desde luego interesante, porque supone muchas cosas:

Read More

Grupo de parches de julio para diversos productos Oracle

Oracle ha publicado un conjunto de 33 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:

* Oracle Database 11g, versión 11.1.0.6, 11.1.0.7

* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4

* Oracle Database 10g, versión 10.1.0.5

* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV

* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0

* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.3.0, 10.1.3.4.0

* Oracle Identity Management 10g, versión 10.1.4.0.1, 10.1.4.2.0, 10.1.4.3.0

* Oracle E-Business Suite Release 12, versión 12.1

* Oracle E-Business Suite Release 12, versión 12.0.6

* Oracle E-Business Suite Release 11i, versión 11.5.10.2

* Oracle Enterprise Manager Database Control 11, versión 11.1.0.6,

11.1.0.7

* Oracle Enterprise Manager Grid Control 10g Release 4, versión 10.2.0.4

* PeopleSoft Enterprise PeopleTools versiones: 8.49

* PeopleSoft Enterprise HRMS versiones: 8.9 y 9.0

* Siebel Highly Interactive Client versiones: 7.5.3, 7.7.2, 7.8, 8.0,

8.1

* Oracle WebLogic Server 10.3, 10.0MP1

* Oracle WebLogic Server 9.0 GA, 9.1 GA, 9.2 hasta 9.2 MP3

* Oracle WebLogic Server 8.1 hasta 8.1 SP6

* Oracle WebLogic Server 7.0 hasta 7.0 SP7

* Oracle Complex Event Processing 10.3 y WebLogic Event Server 2.0

* Oracle JRockit R27.6.3 y anteriores (JDK/JRE 6, 5, 1.4.2)

De las 33 correcciones:

* 10 afectan a Oracle Database. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. 2 afectan a Oracle Secure Backup. Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Network Foundation, Network Authentication, Advanced Replication, Config Management, Upgrade, Virtual Private Database, Listener, Secure Enterprise Search, Core RDBMS y Auditing.

* Dos vulnerabilidades para Oracle Secure Enterprise Search 10g con Oracle Secure Enterprise Search.

* Dos afectan a Oracle Application Server. Las dos requieren un usuario y contraseña válidos para poder ser aprovechadas. Ninguna es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Security Developer Tools y HTTP Server.

* 5 afectan a Oracle Applications. 3 no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Application Object Library, Application Install, Oracle Applications Framework, Oracle iStore y Oracle Applications Manager.

* Dos afectan a Oracle Enterprise Manager. Todas requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Config Management.

* Tres afectan a Oracle PeopleSoft and JDEdwards Suite. Una no requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: PeopleSoft Enterprise FMS, PeopleSoft Enterprise PeopleTools – Enterprise Portal y PeopleSoft Enterprise HRMS eProfile Manager.

* Una afecta a Oracle Siebel Suite. Requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son:

Highly Interactive Client

* Cinco afectan a Oracle BEA Products Suite. Ninguna requiere un usuario y contraseña válidos para poder ser aprovechada. Los componentes afectados son: Jrockit, Oracle Complex Event Processing, WebLogic Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación

oficial:

Oracle Critical Patch Update Advisory – July 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

Fuente:Noticias Hispasec

Read More

Otro “0 day” en Microsoft… a través de Microsoft Office Web Component

Por sorpresa, Microsoft ha publicado que se están detectando ataques contra Microsoft Office Web Components a través de Internet Explorer que permiten la ejecución de código. Este es el tercer “0 day” de Microsoft (todos con ActiveX) en mes y medio.

Microsoft Office Web Components es una colección de controles COMs (Component Object Model) que se usa para publicar contenido de Office en en la web a través de Internet Explorer. En pocas palabras, un ActiveX.

En él, existe un fallo que permite a un atacante ejecutar código arbitrario si la víctima visita una web especialmente manipulada. El software afectado es el siguiente:

* Microsoft Office XP Service Pack 3

* Microsoft Office 2003 Service Pack 3

* Microsoft Office XP Web Components Service Pack 3

* Microsoft Office 2003 Web Components Service Pack 3

* Microsoft Office 2003 Web Components para Microsoft Office 2007 Service Pack 1

* Microsoft ISA Server 2004 Standard Edition Service Pack 3

* Microsoft I ISA Server 2004 Enterprise Edition Service Pack 3

* Microsoft ISA Server 2006

* ISA Server 2006 Supportability Update

* Microsoft ISA Server 2006 Service Pack 1

* Microsoft Office Small Business Accounting 2006

Con esto, Microsoft acumula tres “0 day” sin solución. Se supone que hoy, en su ciclo habitual de actualizaciones, al menos solucionará uno de ellos. No se recordaba una actividad parecida desde el verano de 2006. Entonces, los atacantes se cebaron en Office. En aquel momento se popularizaron las amenazas directas y personalizadas contra compañías que recibían este intento de infección. Se trataba de ataques perpetrados especialmente contra ellos. Se descubrieron una media de dos vulnerabilidades por mes durante julio y agosto en Word, Excel o PowerPoint. Además, se detectaron siempre los ataques muy poco tiempo después del segundo martes de cada mes, con lo que normalmente fue necesario esperar casi todo un mes para que Microsoft cumpliese su siguiente ciclo de actualizaciones y poder estar protegido. Se observó entonces un claro cambio de tendencia en la forma en la que aparecieron estos problemas, unida a una obsesiva y oportunista fijación contra este software de Microsoft.

Para mitigar el problema en Microsoft Office Web Component se recomienda activar el kill bit del control ActiveX para evitar que sea llamado por Internet Explorer. Es posible hacerlo guardando este archivo con extensión .reg y ejecutarlo como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]

“Compatibility Flags”=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]

“Compatibility Flags”=dword:00000400

Fuente:Noticias Hispasec

Read More

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Tres de las actualizaciones afectan a Windows en general, una a Publisher, una a ISA Server y otra Virtual PC (Server). Parece que corregirá los dos “0 days” activos que mantiene.

Si en junio se publicaron doce boletines que parchearon hasta 31 vulnerabilidades diferentes, este mes Microsoft prevé publicar seis actualizaciones el martes 14 de julio. Tres boletines son críticos, y el resto importantes. De los tres boletines dedicados a Windows, las versiones de XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por uno de estos boletines.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.

Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

La buena noticia es que en que se confirma que en esta tanda se solucionará la vulnerabilidad CVE-2009-1537, un problema de ejecución de código en DirectShow que Microsoft reconoció a finales de mayo. Sobre la otra vulnerabilidad que está siendo aprovechada por atacantes,

CVE-2008-0015 (“0 day” destapado hace unos días) Microsoft dice que “nuestros ingenieros han trabajado las 24 horas del día para producir una actualización” y “creen que estará lista con la calidad apropiada”

para el martes. Teniendo en cuenta que conocían la vulnerabilidad desde la primavera de 2008, da la impresión de que realmente han realizado en unos días (desde que se hizo pública) el esfuerzo de todo un año.

Microsoft ha reconocido que mientras “estudiaba a fondo” la vulnerabilidad, los atacantes lo descubrieron de forma paralela y comenzaron a explotarla. Son los riesgos de investigar durante más de un año la solución de un desbordamiento de memoria intermedia sin que interfiera en otros elementos del sistema operativo. Es demasiado tiempo, una ventana de riesgo excesivamente amplia. Existen investigadores a tiempo completo, dedicados a la creación de malware, que descubrirán el fallo tarde o temprano. Cuanto más tiempo pase, más posibilidades de que lo hagan. ¿Cuántas vulnerabilidades están siendo aprovechadas sin que lo detectemos mientras estudian una solución? Este problema puede ocurrir con cualquier pieza de software, pero con este incidente Microsoft ha dado a entender que mientras no salten a la luz, la espera puede alargarse considerablemente y no se sienten tan presionados como para solucionarlos lo antes posible, o no les imprimen la prioridad que los problemas se merecen. Si la excusa para el letargo es que “existen otros problemas de seguridad más urgentes que atender”, el consuelo es mínimo.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Fuente:Noticias Hispasec

Read More

Mitos y leyendas: El Directorio Activo (II) (Instalación segura)

Una vez creado el dominio a través de un primer controlador , es muy aconsejable agregar un nuevo controlador para obtener ventajas de seguridad. Un segundo controlador proporciona un sistema de seguridad adicional en caso de fallo. Además supone un buen balance de carga para el sistema en caso de que miles de usuarios hagan uso del Directorio Activo y deba soportar muchas peticiones.

Habitualmente la manera tradicional de agregar un controlador de dominio a un dominio existente es la instalación de un Windows 2000 Server, 2003 o 2008 y ejecutar la herramienta dcpromo.exe. Los pasos durante la instalación de este segundo controlador son relativamente sencillos, guiados a través de un asistente que explica de forma más o menos detallada cada paso.

Una vez en marcha, comienza la replicación por red de la información desde el primer controlador original, de forma que se duplica la base de directorio del Directorio Activo y ambos sistemas poseerán la misma información. A partir de Windows 2003 se introdujo un nuevo método (Install From Media, IFM) mucho más efectivo que además obliga a realizar una copia de seguridad que se utilizará para la replicación. La táctica consiste en la instalación de un segundo controlador de dominio a partir de una copia de seguridad del primero, sin necesidad de replicar la base de datos a través de la red.

Ventajas

Esto es importante con respecto a la seguridad y el rendimiento porque:

* Obliga a realizar una copia de seguridad del controlador primario.

* Impide que la información de replicado se desplace por la red en caso de que los datos viajen por un canal no seguro.

* Ahorra tiempo y recursos porque no hay necesidad de que los datos se repliquen por la red. En una LAN quizá esto no suponga un problema, pero en sistemas de larga distancia, cualquier dato perdido o mal interpretado puede llegar a crear inconsistencias en las bases de datos.

Creando una copia de seguridad

La utilidad más adecuada en este caso es ntbackup.exe, que viene de serie en cualquier Windows excepto Vista. En ella se debe indicar que se quiere realizar una copia de respaldo del “estado del sistema” (opción solo disponible en los controladores de dominio). Después de unos minutos, esto creará un archivo con extensión BKF de (como mínimo) unos 500 megabytes.

Este fichero está “protegido” por la contraseña introducida durante el proceso de instalación del primer controlador de dominio. Este aspecto es importante porque induce a error. Existe un imperdonable fallo de traducción en los Windows 2003 que puede llegar a confundir a los administradores. Durante el proceso de instalación del directorio activo, el asistente pregunta en un momento dado por la “Contraseña de modo remoto” en el menú “Contraseña de admin. de Modo de restauración de directorio”. Esta “Contraseña de modo remoto” es una traducción fallida de “Restore mode password”, que queda mucho más claro en inglés. Esta contraseña no debe ser la misma que la de administrador, ni sirve para presentarse ante ningún recurso de dominio. Tampoco sirve para ningún tipo de modo remoto. En realidad su utilidad es la de entrar en el modo seguro del controlador de dominio cuando ha ocurrido algún tipo de error o se quieren realizar recuperaciones de objetos. También protege al fichero que acaba de crearse (o sea, para restaurarlo será necesario conocer la contraseña).

Usando la copia de seguridad en el controlador secundario

El archivo BKF puede ser trasladado a través de cualquier medio seguro al servidor secundario. Pero no se debe restaurar el archivo al “sitio original” que aparecerá por defecto al ejecutar ntbackup, sino a una carpeta separada. De ahí se tomarán los datos para promocionar más tarde el segundo servidor. Por ejemplo, se debe indicar que se va a restaurar el “estado del sistema” a una carpeta llamada “RestaurarADTmp”. Esto se indica en las opciones avanzadas del programa de restauración.

Promocionando finalmente el servidor

Ahora es el momento de promocionar el servidor, pero debe hacerse también de una manera diferente, arrancando las opciones avanzadas de dcpromo.exe para poder elegir la opción de instalar el controlador desde una carpeta de restauración. Esto se consigue con:

dcpromo.exe /adv

De esta forma aparecerá en el asistente una nueva opción que permitirá elegir de dónde conseguir la información para instalar el controlador de dominio adicional. Se le debe indicar la carpeta creada a tal efecto (en este caso RestaurarADTmp), indicarle la contraseña de restauración, y el dominio será instalado.

La copia de seguridad debe ser descartada, por defecto, antes de 60 días (para dominios creados antes de Windows 2003 SP1, 180 días para dominios posteriores). Si se restaura después de ese tiempo, se corre el riego de sufrir inconsistencias entre los diferentes controladores. Ese es el valor del tombstone (lápida), tiempo de “vida” de los objetos borrados, o sea, el tiempo que permanecen en una especie de papelera desde donde se pueden recuperar. Este valor también sirve para evitar el riesgo de replicaciones entre controladores que no se han comunicado en todo ese tiempo.

Fuente:Noticias Hispasec

Read More

Microsoft te anima a usar Internet Explorer 8 en “modo porno”

Una de las características más promocionadas de Internet Explorer 8 ha sido el modo InPrivate Browsing, conocido de forma generalizada como “modo porno”, en la que el navegador no almacena registros de la sesión (incluyendo caché, cookies, historial de navegación, etc). Microsoft ha lanzado una serie de anuncios sobre las principales características de su navegador protagonizados por Dean Cain (“Lois y Clark”) y, bueno, ya ha retirado el primero.

A los que seáis rápidos con el ratón y hayáis visto el vídeo antes de leer el post, os está bien empleado. El anuncio es desagradablemente gráfico, de ahí su retirada. Vemos a una feliz pareja, y ella le pide prestado el portátil en el que él, supuestamente, ha estado visitando webs de dudoso contenido, con seguridad relacionados con la regla 34. La reacción de ella, podríamos calificarla de vomitiva.

A continuación os dejo otros tres de estos anuncios, que con el paso de los años formarán parte de esas listas que surgen cada cierto tiempo de “aquellos ridículos anuncios que hacía Microsoft”. Tenemos uno sobre los aceleradores para compartir (para mi gusto el mejor, es genial), otro sobre los web slices (el más patético con diferencia) y un último sobre la mejora en los tiempos de carga (pasable). Curiosamente, no hay ninguno que hable sobre el Acid3 Test

Read More