• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    "Doce boletines de seguridad de Microsoft en agosto"

    Como cada segundo martes de mes,(disculpen la tardanza ), Microsoft ha publicado sus ya habituales boletines de seguridad. Y una vez más se demuestra que para la seguridad no existen vacaciones de verano, en este ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención "Doce boletines de seguridad de Microsoft en agosto"

      Como cada segundo martes de mes,(disculpen la tardanza ), Microsoft ha publicado sus ya habituales boletines de seguridad. Y una vez más se demuestra que para la seguridad no existen vacaciones de verano, en este mes de agosto se han anunciado doce nuevos boletines (MS06-040 al MS06-051). Según la propia clasificación de Microsoft nueve de los nuevos boletines presentan un nivel de gravedad "crítico" y los otros tres reciben la calificación de "importante".

      Es por tanto, importante conocer la existencia de estas actualizaciones, evaluar el impacto de los problemas y aplicar las actualizaciones en la mayor brevedad posible. Este es un boletín de urgencia en el que se describe superficialmente cada uno de los nuevos boletines de seguridad de Microsoft. En los próximos días se publicaran otros boletines donde se analizaran más detalladamente las actualizaciones más importantes.

      * MS06-040: Evita una vulnerabilidad en el servicio Server que puede ser explotada por usuarios maliciosos para comprometer sistemas afectados. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como "crítico".

      * MS06-041: Se trata de una actualización para evitar dos vulnerabilidades en Winsock y el servicio cliente DNS que pueden ser explotadas por usuarios maliciosos para comprometer los sistemas afectados. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como "crítico".

      * MS06-42: Actualización acumulativa para Microsoft Internet Explorer
      que además soluciona ocho nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Según la calificación de Microsoft está calificado como "crítico". Afecta a Internet Explorer 5.01 e Internet Explorer 6.

      * MS06-043: Evita una vulnerabilidad de ejecución remota de código en Outlook Express 6 para Windows XP y Windows Server 2003. También recibe una calificación de "crítico".

      * MS06-044: Se trata de una actualización para Windows 2000 debido
      a que se ha detectado una vulnerabilidad de cross-site scripting con redirección que puede ser explotada por usuarios remotos para lograr la ejecución de código. Recibe el nivel de "Crítico".

      * MS06-045: En este boletín se anuncian los parches de actualización
      necesarios para solventar una vulnerabilidad con los GUID de carpetas que permitiría que podrían permitir la ejecución remota de código arbitrario. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como "importante".

      * MS06-046: Destinado a solucionar un error de desbordamiento de búfer en el control ActiveX HTML Help. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como "crítico".

      * MS06-047: Soluciona una vulnerabilidad en diferentes versiones de
      Office y Works Suite en Visual Basic for Applications que puede ser explotada para lograr la ejecución remota de código arbitrario. Está calificado como "crítico". Office 2000, Project 2000, Access 2000, Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004, 2005 y 2006), Visual Basic for Applications SDK 6.x.

      * MS06-048: Corrige dos vulnerabilidades en Power Point que podrían
      permitir la ejecución remota de código. Afecta a Office 2000, 2003 y XP; y a PowerPoint 2000, 2002 y 2003. Microsoft lo califica como "crítico".

      * MS06-049: Informa sobre una actualización para Windows 2000 debido a una vulnerabilidad en su kernel que puede ser explotada por usuarios
      locales para realizar escaladas de privilegios. Según la calificación de Microsoft recibe un nivel de "crítico".

      * MS06-050: En este boletín se presenta una actualización de seguridad para diversas versiones de Windows (2000, XP y 2003) destinados a solventar dos vulnerabilidades detectadas en la Hyperlink Object Library. Microsoft califica esta actualización como "importante".

      * MS06-051: En este boletín se presentan dos vulnerabilidades en el
      núcleo de Windows podrían permitir la elevación de privilegios y la ejecución de código. Según la calificación de Microsoft recibe el nivel de "importante". Afecta a Windows 2000, Windows XP y Windows Server 2003.

      Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.


      Más información:

      Microsoft Security Bulletin MS06-040
      Vulnerability in Server Service Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-040.mspx

      Microsoft Security Bulletin MS06-041
      Vulnerability in DNS Resolution Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-041.mspx

      Microsoft Security Bulletin MS06-042
      Cumulative Security Update for Internet Explorer
      http://www.microsoft.com/technet/sec.../MS06-042.mspx

      Microsoft Security Bulletin MS06-043
      Vulnerability in Microsoft Windows Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-043.mspx

      Microsoft Security Bulletin MS06-044
      Vulnerability in Microsoft Management Console Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-044.mspx

      Microsoft Security Bulletin MS06-045
      Vulnerability in Windows Explorer Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-045.mspx

      Microsoft Security Bulletin MS06-046
      Vulnerability in HTML Help Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-046.mspx

      Microsoft Security Bulletin MS06-047
      Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-047.mspx

      Microsoft Security Bulletin MS06-048
      Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-048.mspx

      Microsoft Security Bulletin MS06-049
      Vulnerability in Windows Kernel Could Result in Elevation of Privilege
      http://www.microsoft.com/technet/sec.../MS06-049.mspx

      Microsoft Security Bulletin MS06-050
      Vulnerabilities in Microsoft Windows Hyperlink Object Library Could Allow Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-050.mspx

      Microsoft Security Bulletin MS06-051
      Vulnerability in Windows Kernel Could Result in Remote Code Execution
      http://www.microsoft.com/technet/sec.../MS06-051.mspx
      • Nota Ampliatoria:
      (El boletín MS06-042) es una actualización acumulativa para Internet Explorer, que además solventa un total de ocho nuevas vulnerabilidades descubiertas en las versiones 5.01 y 6 del navegador.

      Las vulnerabilidades corregidas son las siguientes:

      * Revelación de información por problemas con redirección de dominios: se ha descubierto una vulnerabilidad de revelación de información debida a la forma en la que trata los redireccionamientos. Un atacante puede explotar esta vulnerabilidad construyendo una página web, que si es visitada por la víctima, permitiría al usuario malicioso leer datos de archivos de una página web en otro dominio del navegador. Esta otra página debe usar codificación gzip u otro tipo de compresión soportada por Explorer para que la explotación se realice con éxito. Esta otra página debe estar además cacheada en el cliente de la víctima.

      * Corrupción de memoria por error en posicionamiento de HTML: se ha descubierto una vulnerabilidad de ejecución remota de código debido a la forma en la que Internet Explorer interpreta HTML con ciertas combinaciones de posicionamiento de disposición. Un atacante puede explotar la vulnerabilidad construyendo una página maliciosa que provocaría la ejecución remota de código si es visualizada por la víctima.

      * Corrupción de memoria en tratamiento de CSS: se ha descubierto una vulnerabilidad de ejecución de código remoto debido a la forma en la que Internet Explorer trata los CSS (Cascading Style Sheets) encadenados. Un atacante puede explotar la vulnerabilidad construyendo una página web maliciosa que si es visitada por la víctima, provocaría en el sistema de la víctima la ejecución de código arbitrario.

      * Corrupción de memoria en interpretación de HTML: se ha descubierto una vulnerabilidad de ejecución remota de código arbitrario debida a la forma en la que Internet Explorer interpreta el HTML con ciertas combinaciones de composición. Un atacante puede explotar la vulnerabilidad construyendo una página web maliciosa que, si es visitada por la víctima, provocaría la ejecución remota de código en el sistema de esta.

      * Corrupción de memoria por instanciación de objetos COM: se ha descubierto una vulnerabilidad de ejecución remota de código debido a la forma en la que Internet Explorer instancia objetos COM que no fueron diseñados para ser instanciados por el mismo. Un atacante puede explotar la vulnerabilidad construyendo una página web maliciosa que provocaría la ejecución de código arbitrario si es visualizada por la víctima.

      * Vulnerabilidad cross-domain en elemento fuente: se ha descubierto una vulnerabilidad en Internet Explorer debido a la forma en la que trata las redirecciones que puede ser explotada para acceder a información o para realizar ejecución remota de código. Un atacante puede explotar la vulnerabilidad construyendo una página maliciosa que si es visitada por la víctima, le permitiría leer archivos de una página web en un dominio diferente de Internet Explorer. En el caso de Windows 2000 SP4 y Windows XP SP1, el atacante puede explotar la vulnerabilidad para provocar la ejecución remota de código si la víctima visualiza la página maliciosa.

      * Revelación de información de posición de ventana: se ha descubierto una vulnerabilidad de revelación de información debido a que un script puede persistir entre distintas navegaciones en Internet Explorer para conseguir así acceso a la localización de una ventana en otro dominio o zona de Internet Explorer. Un atacante puede explotar la vulnerabilidad construyendo una página web maliciosa que revelaría dicha información si la víctima la visita.

      * Inyección de comandos a servidores FTP: se ha detectado una vulnerabilidad de escalada de privilegios debida a la forma en la que Internet Explorer trata ciertos enlaces a FTP que contiene caracteres de salto de línea. Un atacante puede explotar esta vulnerabilidad construyendo una página que permitiría al atacante mandar comandos a un servidor FTP si el usuario pulsa sobre el enlace FTP. Si el atacante realiza el ataque con éxito, podrá enviar comandos al servidor como si fuera el usuario víctima.

      Actualice los sistemas afectados mediante Windows Update o descargando
      los parches desde las siguientes direcciones:

      * Internet Explorer 5.01 Service Pack 4 sobre Microsoft Windows 2000 Service Pack 4:
      http://www.microsoft.com/downloads/d...B-B6A7DA33DAF4
      * Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000 Service Pack 4 o sobre Microsoft Windows XP Service Pack 1:
      http://www.microsoft.com/downloads/d...E-F990FD0B48D2
      * Internet Explorer 6 para Microsoft Windows XP Service Pack 2:
      http://www.microsoft.com/downloads/d...E-F01B5392BB31
      * Internet Explorer 6 para Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1:
      http://www.microsoft.com/downloads/d...0-C68C997529BD
      * Internet Explorer 6 para Microsoft Windows Server 2003 para sistemas Itanium y Microsoft Windows Server 2003 con SP1 para sistemas Itanium:
      http://www.microsoft.com/downloads/d...3-398E7222C9B5
      * Internet Explorer 6 para Microsoft Windows Server 2003 x64 Edition:
      http://www.microsoft.com/downloads/d...6-4B45B44C6346
      * Internet Explorer 6 para Microsoft Windows XP Professional x64
      Edition:

      http://www.microsoft.com/downloads/d...4-9BBE286D96FA
      • Malware "Habemus" para MS06-040!
      13/08/2006

      Esta madrugada del sábado para domingo, antes de que acabe esta segunda semana de mes (la oficial de Microsoft para publicar parches de actualización) ya se han detectado ejemplares de malware que explotan una de las vulnerabilidades solventadas por estos.

      El pasado martes, y dentro del marco de su famosa política de publicación mensual de parches, Microsoft publicó una larga lista de boletines que solventaban una lista aún mayor de vulnerabilidades, muchas de ellas clasificadas como críticas. Entre estos boletines nos encontrábamos con uno que, con solo echar un vistazo al contenido, clamaba a gritos ser convertido en vector de ataque para malware: MS06-040.

      Este boletín describe una vulnerabilidad en el servicio Server utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos, incluso en el caso de XP con su Service Pack 2 instalado, o 2003 con el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas plataformas como crítica, por lo que puede dar a priori una idea de la peligrosidad del asunto.

      El servicio Server ofrece un interface RPC (Remote Procedure Call: llamadas a procedimientos remotos) para soporte de impresión de archivos y compartición de pipes con nombre en entornos de red. El problema en sí se debe a un desbordamiento de buffer dentro de este servicio, que en principio podía ser explotado para provocar denegaciones de servicio o incluso para provocar la ejecución remota de código arbitrario.

      El propio boletín de Microsoft ya avisaba sobre la especial propensión a sufrir este ataque por parte de plataformas Windows 2000, debido a la naturaleza en sí de la vulnerabilidad. No han pasado más que unos días para ver hecho realidad lo que todos temíamos: ya hay confirmación de la existencia de malware en la red que hace uso de la vulnerabilidad descrita para infectar sistemas afectados.

      Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el encargado de avisar de la presencia de este malware que, en esta ocasión, viene en forma de bot que de momento se ha visto con el nombre 'wgareg.exe' y con un valor hash md5 de 9928a1e6601cf00d0b7826d13fb556f0.

      Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se estaban portando las soluciones antivirus para detectar esta amenaza. Tras enviarlo al servicio, comprobó que sólo 9 de los 27 motores incluidos en el servicio eran capaces de detectarlo, y todos ellos mediante heurísticas.

      No hay que confiarse de todas formas sobre este perfil, ya que la gente de LURHQ ha comentado que han detectado la existencia de una variante diferente, con nombre 'wgavm.exe' y valor hash md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las suyas. Dado que usa los mismos servidores de control que el anteriormente nombrado, se sospecha que esta otra variante es una versión precursora de la detectada con nombre 'wgareg.exe'.

      Este malware está diseñado para formar parte de una red de bots de los utilizados para, por ejemplo, realizar ataques de denegación de servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot, ejemplar que apareció a finales del año pasado y que explotaba la vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta nueva versión es controlada también desde servidores IRC localizados en China. Al igual que los profesionales del Phishing, los creadores de este ejemplar de malware aprovechan la falta de cooperación de las entidades de dicho país a la hora de actuar contra sitios que hospedan contenido malicioso.

      No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe formar parte de las buenas prácticas de seguridad en cualquier entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.

      Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección dentro de las redes.

      Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso, y que pueden ser encontradas en el enlace concretamente en el aviso de LURHQ.


      Más Información:

      *Vulnerability in Server Service Could Allow Remote Code Execution (921883):
      http://www.microsoft.com/technet/sec.../MS06-040.mspx

      *MS06-040 exploit in the wild:
      http://isc.sans.org/diary.php?storyid=1592

      *Mocbot/MS06-040 IRC Bot Analysis:
      http://www.lurhq.com/mocbot-ms06040.html

      *Microsoft Security Advisory (922437): Exploit Code Published Affecting the Server Service:
      http://www.microsoft.com/technet/sec...ry/922437.mspx

      *VirusTotal:
      http://www.virustotal.com

      *Wikipedia => Botnets:
      http://es.wikipedia.org/wiki/Botnet

    2. #2
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Re: "Doce boletines de seguridad de Microsoft en agosto"

      Malware "Habemus" para MS06-047 !

      Después de detectar malware destinado a aprovechar una vulnerabilidad en el servicio Servidor de Microsoft Windows (MS06-040), se ha encontrado nuevo código dañino que aprovecha otra vulnerabilidad descrita en el boletín MS06-047 y que se difunde en forma de documento Word.

      El boletín MS06-047 soluciona una vulnerabilidad en diferentes versiones de Office y Works Suite en Visual Basic for Applications que puede ser aprovechada para lograr la ejecución remota de código arbitrario. Está calificado como "crítico" y afecta a Office 2000, Project 2000, Access 2000, Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004, 2005 y 2006), Visual Basic for Applications SDK 6.x. El error de desbordamiento de memoria intermedia se localiza en la librería vbe6.dll.

      Si el malware bautizado como Wgareg fue rápido (apenas 5 días desde la publicación del parche), este nuevo código no ha tardado demasiado en aparecer. Se trata de un documento Word que llega a través del correo y que puede tener el nombre de syosetu.doc y una extensión de 107.520 bytes. El hash MD5 es 7443358555983341CB9BB12BB0A0A191. Si este archivo es abierto con un Microsoft Office vulnerable, tratará de descargar otros componentes desde distintas localizaciones e intentará comprometer el sistema con puertas traseras y troyanos.

      La primera muestra de este malware llegó a VirusTotal a las 9 de la mañana (hora española) del día 14 de agosto, lo que indica que puede estar circulando al menos desde entonces. Aun así, a día 17 de agosto son pocos los antivirus capaces de detectarlo, además todos con nombres dispares, sin un distintivo común que lo identifique claramente: W97M/ProjMod!exploit (eTrust-Vet), W32/Bgent.ZE!tr (Fortinet), Exploit-OleModule (McAfee), Exploit:Win32/Ponaml.gen (Microsoft), Trojan.Mdropper (Symantec), TROJ_MDROPPER.BK (TrendMicro).

      Esta nueva amenaza para usuarios de Microsoft Office se une a los últimos problemas de seguridad que está sufriendo esta suite ofimática, que se ha convertido en claro objetivo para “atacantes profesionales”. Afortunadamente, al contrario que Wgareg (malware para MS06-040 que se ejecuta automáticamente conectándose a un servicio), aprovechar esta vulnerabilidad no es tan sencillo pues requiere de interacción por parte de la potencial víctima. Esto limitará su difusión de forma significativa.

      Se recomienda no abrir ningún archivo Office no solicitado y actualizar los sistemas lo antes posible con los parches correspondientes del boletín MS06-047.


      Más información:

      Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution
      Microsoft Security Bulletin MS06-047: Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (921645)

      New trojan exploits MS06-047 with Word File
      SecuriTeam Blogs » New Trojan exploits MS06-047 with Word file

    3. #3
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Re: "Doce boletines de seguridad de Microsoft en agosto"

      Los parches de "MS06-042" pueden impedir la visualización de ciertas páginas con Internet Explorer

      Dentro de los doce boletines de seguridad publicados el pasado día 8 de agosto, el MS06-042 escondía una actualización para ocho problemas de seguridad descubiertos en el navegador Internet Explorer, con varias de estas vulnerabilidades calificadas como críticas. La solución a estos problemas en forma de parche acumulativo ha introducido un nuevo error que hace que el navegador deje de responder al visitar ciertas páginas.

      Los usuarios de Windows 2000 SP4 y XP SP1 que hayan aplicado este parche, habrán observado un comportamiento errático del navegador al visitar ciertas webs. El navegador informa de un error irreparable y se cierra de forma abrupta, impidiendo la visualización de la página. Aunque este fallo podría considerarse como una "denegación de servicio", no parece que en principio permita ser aprovechado por atacantes para ejecutar ningún otro tipo de acción que pueda comprometer el sistema. Es importante destacar que el problema no afecta a los usuarios de Windows XP con el Service Pack 2 instalado, que no sufrirán este error y por tanto no tendrán que realizar ninguna acción al respecto.

      Este inconveniente ha sido reconocido por Microsoft, admitiendo que ha sido introducido inadvertidamente con la última actualización acumulativa para Internet Explorer. El fallo se da en las páginas que acepten el uso de la versión 1.1 del protocolo HTTP además de compresión de tráfico. Estas dos circunstancias no son manejadas correctamente por el navegador si ha sido actualizado con los parches del boletín MS06-042 (acción más que recomendada).

      Microsoft ha creado un “hotfix” que soluciona el problema, pero no lo ha hecho público para descarga (sólo está disponible a través de la línea de soporte del fabricante). Mientras, como contramedida, los usuarios pueden desactivar el uso de la versión 1.1 del protocolo en el navegador. Esto se consigue a través de las “Opciones de Internet” en la pestaña “Opciones avanzadas”. En este menú es necesario desactivar la opción “Usar HTTP 1.1”. Si realmente es este el origen del problema, las páginas “problemáticas” deberían poder ser visitadas sin problemas.

      En cualquier caso, Microsoft planea una nueva publicación del parche el día 22 de agosto, que no contendrá este fallo y que estará disponible a través de los canales habituales de distribución de parches públicos.

      Más información:

      El Service Pack 1 de Internet Explorer 6 se cierra inesperadamente después de instalar la actualización 918899
      Internet Explorer 6 Service Pack 1 unexpectedly exits after you install the 918899 update