La vulnerabilidad reside en un desbordamiento de entero en el descompresor LZCOMP del motor de fuentes empotradas OpenType, cuando procesa fuentes OpenType incrustadas (fuentes EOT o Embedded OpenType) específicamente diseñadas. Este fallo podría permitir la ejecución remota de código, si el usuario atacado abre un documento que incluya fuentes EOT especialmente manipuladas con alguna aplicación capaz de representar este tipo de fuentes, como Microsoft Internet Explorer, Microsoft Office PowerPoint o Microsoft Office Word.

Se ven afectados los sistemas Windows 2000, XP, Vista, 7 y Server 2003 y 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa según la plataforma afectada. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Información:

Boletín de seguridad de Microsoft MS10-001 – Crítico
Una vulnerabilidad en el motor de fuentes OpenType incrustadas podría permitir la ejecución remota de código (972270)

http://www.microsoft.com/spain/technet/security/Bulletin/ms10-001.mspx

Antonio Ropero
antonior@hispasec.com

Resumen
A continuación se presenta un resumen de los boletines publicados:

MS08-041: CRITICO Una vulnerabilidad en el control ActiveX para el Snapshot Viewer de Microsoft Access podría permitir la ejecución remota de código arbitrario.

MS08-042: IMPORTANTE Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código arbitrario.

MS08-043: CRITICO Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código arbitrario.

MS08-044: CRITICO Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código arbitrario.

MS08-045: CRITICO Actualización acumulativa para Internet Explorer.

MS08-046: CRITICO Una vulnerabilidad en Microsoft Windows Image Color Management System podría permitir la ejecución remota de código arbitrario.

MS08-047: IMPORTANTE Una vulnerabilidad en IPsec Policy Processing podría permitir la revelación de información confidencial.

MS08-048: IMPORTANTE Actualizaciones de seguridad para Outlook Express y Windows Mail.

MS08-049: IMPORTANTE Una vulnerabilidad en Event System podría permitir la ejecución remota de código arbitrario.

MS08-050: IMPORTANTE Una vulnerabilidad en Windows Messenger podría permitir la divulgación de información confidencial.

MS08-051: CRITICO Una vulnerabilidad en Microsoft PowerPoint podría permitir la ejecución remota de código arbitrario.

Versiones Afectadas
Para cada uno de los boletines mencionados, se ven afectados los siguientes productos:

MS08-041:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2 y Microsoft Office 2003 Service Pack 3
Snapshot Viewer para Microsoft Access (Microsoft está trabajando en la actualización de seguridad para este producto)

MS08-042:
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3

MS08-043:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System
2007 Microsoft Office System Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats Service Pack 1
Microsoft Office SharePoint Server 2007
Microsoft Office SharePoint Server 2007 Service Pack 1
Microsoft Office SharePoint Server 2007 x64 Edition
Microsoft Office SharePoint Server 2007 x64 Edition Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

MS08-044:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office Project 2002 Service Pack 1
Microsoft Office Converter Pack
Microsoft Works 8

MS08-045:
Internet Explorer 5.01 and Internet Explorer 6 Service Pack 1:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4

Internet Explorer 6:
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems and Windows Server 2003 con SP2 para Itanium-based Systems

Internet Explorer 7:
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 with SP2 para Itanium-based Systems
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-046:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems

MS08-047:
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-048:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-049:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-050:
Windows Messenger 4.7:
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems

Windows Messenger 5.1:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems and Windows Server 2003 con SP2 para Itanium-based Systems

MS08-051:
Microsoft Office Suites and Components:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System
2007 Microsoft Office System Service Pack 1

Other Office Software:
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats Service Pack 1

Microsoft Office para Mac:
Microsoft Office 2004 para Mac

Detalle
MS08-041: Una vulnerabilidad en un control ActiveX para el Snapshot Viewer para Microsoft Access podría ser explotada por un atacante construyendo una página web especialmente modificada. Esto podría permitir la ejecución de código arbitrario cuando un usuario visualiza la página web modificada. De esta forma el atacante podría obtener los permisos del usuario logueado.

MS08-042: Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo especialmente modificado.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-043: Cuatro vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código arbitrario si un usuario abre un archivo especialmente modificado.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-044: Cinco vulnerabilidades podrían permitir la ejecución remota de código arbitrario si un usuario visualiza con Microsoft Office un archivo de imagen especialmente modificado. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-045: Seis vulnerabilidades podrían permitir la ejecución de código arbitrario si un usuario utilizando Internet Exlorer visualiza una página web especialmente modificada. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-046: Una vulnerabilidad en el sistema Microsoft Image Color Management (ICM) podría permitir la ejecución remota de código arbitrario, en el contexto del usuario actual.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-047: Una vulnerabilidad en la forma en que se aplican ciertas reglas del protocolo Windows Internet Protocol Security (IPsec) podría hacer que el sistema ignore ciertas políticas de IPsec y transmita paquetes en texto plano. Esto podría hacer que se divulgara información que debería transmitirse cifrada. Un atacante podría visualizar y modificar el contenido de los paquetes transmitidos en plano.

MS08-048: Una vulnerabilidad en Outlook Express y Windows Mail podría permitir la divulgación de información confidencial si un usuario utilizando Internet Explorer visualiza una página web especialmente modificada. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-049: Dos vulnerabilidades en Microsoft Windows Event System podrían permitir la ejecución remota de código arbitrario.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos.

MS08-050: Una vulnerabilidad en Windows Messenger podría permitir la divulgación de información confidencial de un usuario logueado. El atacante que explotara exitosamente esta vulnerabilidad podría cambiar el estado del usuario, obtener información de sus contactos, iniciar sesiones de audio y video sin el conocimiento del usuario, capturar el ID del usuario logueado y robar su identidad.

MS08-051: Tres vulnerabilidades en Microsoft Office PowerPoint y Microsoft Office PowerPoint Viewer podrían permitir la ejecución remota de código arbitrario si un usuario abre un archivo especialmente modificado.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

Impacto
El impacto de las vulnerabilidades presentadas en cada boletín se incluye en los resúmenes precedentes.

Recomendaciones
Se recomienda aplicar los parches correspondientes al boletín en los sistemas afectados. El proveedor de los sistemas afectados ofrece además diversas herramientas para la automatización del proceso de actualización. Para más información, consulte la información suministrada por el proveedor.

Referencias

Para más información sobre este boletín consultar el alerta original en el sitio:

http://www.microsoft.com/technet/security/bulletin/ms08-aug.mspx

Fuente: ArCert.gov.ar

El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Se debe utilizar la cuenta de un usuario sin privilegios, sin excusas. Esto es lo que puede llevar a una mayor protección no solo contra el malware, sino contra posibles despistes del propio usuario. Un “administrador” está precisamente para “administrar”, y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Cuando apareció XP, tras su instalación Microsoft permitía por fin la creación de un usuario distinto al administrador para el uso del sistema. Un gesto que hubiera servido de algo si este mismo usuario no perteneciese por defecto al grupo administradores, y por tanto fuese tan poderoso como él.

A nadie que utilice un sistema operativo que no sea Windows se le ocurre realizar sus actividades cotidianas como “root” o súperusuario. En Windows, lo extraño es precisamente lo contrario, trabajar con cuentas limitadas. Este es el verdadero origen de la mayor parte de los males, y de que el malware pueda campar a sus anchas en un ordenador donde puede escribir, leer, modificar… puesto que es ejecutado con los mismos permisos del usuario que está usando la máquina.

En Windows Vista, Microsoft ha establecido un importante sistema de seguridad para mitigar este problema heredado, rompiendo así una tendencia muy arraigada y limitando el poder del usuario habitual. Se ha relegando por fin el uso del administrador a un segundo plano. Sin embargo esto ha sido visto por muchos usuarios como un estorbo, en vez de como una importantísima mejora en su seguridad.

Aunque se presente aquí como panacea, no lo es. Todavía una parte del malware actual podría seguir actuando. Además, trabajar como usuario raso en XP o 2000 puede llegar a ser incómodo, incluso para usuarios experimentados. Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition escondía deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos.

Actualizar el sistema

No sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. Esto es muy importante, pues una gran parte del malware hoy en día se aprovecha de vulnerabilidades conocidas que ya tienen parche. Muchos usuarios piensan que un Windows parcheado tendrá problemas “legales” o que sufrirá fallos de compatibilidad. Un Windows sin actualizar es un Windows contaminado. Pero no sólo el sistema operativo. Todo programa es susceptible de sufrir problemas de seguridad y de que sean aprovechados. Desde el reproductor de MP3 hasta el lector de PDF, se han detectado ataques dirigidos a versiones vulnerables de los programas más utilizados para tareas comunes. La única solución es no abrir archivos no solicitados tengan el formato que tengan y sobre todo, mantener actualizados los programas que los interpretan.

Mantenerse informado

Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. No se puede luchar contra lo que no se conoce. Son muchos los usuarios que desconocen que pueden ser infectados por archivos que no son ejecutables, que es posible ejecutar código arbitrario en el sistema de forma transparente con sólo visitar una web, o que el SSL del banco visitado no tiene por qué significar que un sistema no esté troyanizado o que no se trate de un phishing. Otros piensan que el hecho de que la página del banco aparezca modificada y requiera más casillas de la tarjeta de coordenadas de lo habitual, significa que la seguridad ha aumentado…estar informado es primordial. No sólo por lo cambiante de algunas técnicas, sino también porque es necesario seguir de cerca ciertas campañas que emprenden los atacantes y que suscitan modas y comportamientos sobre los que resulta imprescindible estar especialmente atento. Existen momentos en los que se perpetran ataques concretos para los que puede que la única solución sea conocerlos y evitarlos hasta que exista parche.

Otros consejos

Estos tres consejos anteriores son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Ni la tecnología, ni Internet ni los atacantes son los mismos que hace cinco años, por tanto las precauciones no deben ser iguales para siempre. Obviamente es necesario usar herramientas o suites de seguridad actualizadas (cortafuegos, antispyware…) pero sobre todo, saber cómo se usan. Si no se saben manejar, se vuelven inútiles.

¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.

Sergio de los Santos
ssantos@hispasec.com

Aunque al principio algunos han tenido problemas para su descarga (y otros están ansiosos porque aún no les aparece en la lista de actualizaciones), todo es cuestión de tiempo. El archivo completo ya está disponible (lo acabamos de descargar en VSAntivirus). Es solo cuestión de horas para que empiece a estar disponible en Windows Update.

Una de las características del SP3, se aplica a quienes tienen Internet Explorer 7 (o una versión beta de Internet Explorer 8). Luego de instalar el nuevo Service Pack, ya no podrán desinstalar el Internet Explorer, debido a su total integración al sistema. Los que en cambio tengan el IE6, mantendrán dicha aplicación, pero con una serie de mejoras y todos los parches de seguridad que han aparecido desde el Service Pack 2 de XP hasta la fecha.

La razón de este comportamiento en relación al Internet Explorer, es que cuando se instala IE7 en un Windows XP con SP2, se realiza una copia de seguridad de los archivos del IE6 incluidos en el SP2, junto a todas las actualizaciones posteriores. Cómo el SP3 incluye una versión más nueva de esos archivos, al desinstalarse el IE7 (o el beta del IE8), se produciría una regresión, es decir, se volvería a los archivos originales del IE6, y no a las actualizaciones que agrega el SP3 al IE6.

La única manera de solucionar esto, sería desinstalar Windows XP SP3, desinstalar Internet Explorer y, después, volver a instalar el SP3.

Teniendo en cuenta las diferencias en la seguridad entre IE6 e IE7, es lógico el deseo de Microsoft de evitar que se abra esa brecha luego de la mejora que significa actualizarse al Service Pack 3 de Windows XP.

Si alguien ha instalado la versión beta del Internet Explorer 8, deberá desinstalar esa versión antes de aplicar el SP3, y luego, si lo desea, volver a instalar el IE8 (no aconsejamos una versión beta en máquinas que se utilizan para trabajar, pero hay de todo en este mundo).

Además de todas las actualizaciones publicadas anteriormente para el sistema operativo, Windows XP SP3 incluye algunas nuevas funcionalidades, muchas de ellas ya implementadas en Windows Vista, sobre todo en el área de conectividad y redes.

Por ejemplo, incorpora NAP (Network Access Protection), una plataforma con la que se puede crear una política de seguridad personalizada para validar la seguridad de una computadora antes de darle permiso de acceso o comunicación a nuestra red, bloqueando aquellos equipos que no tengan instaladas todas las actualizaciones de seguridad.

El SP3 también activa el llamado Black Hole Router Detection, o detección de routers Black Hole (agujero negro), es decir, routers que desechan paquetes sin avisar.

El panel de opciones de seguridad del usuario, parece ser más descriptivo, intentando evitar el uso de configuraciones incorrectas. Un módulo de encriptación a nivel del kernel, agrega la capacidad de encriptar varios algoritmos diferentes. Todo esto, junto a otras mejoras, que pueden parecer más sutiles, hacen de Windows XP con SP3 un sistema más robusto y seguro.

Aún así, pueden existir algunos problemas para quienes poseen alguna clase específica de configuración en su sistema. Si desea conocer algunos de esos posibles problemas que pueda ocasionarle el SP3, antes de instalarlo lea el contenido del siguiente enlace: http://tinyurl.com/42g34j

Y si desea instalarlo antes de que aparezca como una actualización automática, descargue manualmente el siguiente archivo: http://tinyurl.com/3hv2wr

A pesar del pomposo nombre y de las recomendaciones casi apocalípticas (Este paquete de instalación está destinado a profesionales de TI y desarrolladores que realizan la descarga y la instalación en varios equipos de una red. Si sólo va a actualizar un equipo, visite Windows Update), cualquier usuario que desee descargar los 308 MB del paquete puede hacerlo e instalarlo en su PC, teniendo en cuenta las recomendaciones que antes mencionábamos.

Esto último es lo que acabamos de hacer en VSAntivirus. Por cierto, aquellos que utilicen un cortafuego como el de ESET Smart Security, solo deberán permitir la conexión de un par de nuevos módulos del sistema operativo después de la instalación, sin necesidad de realizar ningún otro cambio o configuración extra posterior a la instalación.

Relacionados:

Paquete de instalación red de Windows XP Service Pack 3 para profesionales de TI y desarrolladores

http://tinyurl.com/3hv2wr

Notas de la versión de Windows XP Service Pack 3

http://tinyurl.com/42g34j

Por Angela Ruiz
angela@videosoft.net.uy

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Son vulnerables todos los equipos con versiones de HP Software Update v4.000.009.002 o anteriores. La vulnerabilidad también puede permitir la revelación de información.

HP Software Update es una aplicación de HP, que comprueba la existencia de actualizaciones para muchos de los productos de la compañía (firmware, nuevas versiones del software y drivers). Suele instalarse como parte del software proporcionado con ciertos equipos HP, impresoras, escáneres o cámaras.

Se ha publicado una nueva versión de este producto, que resuelve esta vulnerabilidad.

HP sugiere el siguiente procedimiento para proceder a esta actualización.

En Windows, hacer clic en Inicio, Todos los programas, HP, HP Update o HP Software Update. Hacer clic en la opción y seguir el procedimiento de actualización.

Si se reinstala algún producto de HP, es necesario realizar el mismo procedimiento de actualización para reinstalar la versión no afectada por el problema.

En caso de que ello no sea posible, HP recomienda aplicar el “kill-bit” a varias claves CLSID en el registro de Windows.

Para ello, puede utilizar alguno de los siguientes procedimientos:

1. Uso de REGEDIT

Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada:

HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Internet Explorer\ActiveX Compatibility\

Busque cada una de estas subcarpetas:

{60178279-6D62-43af-A336-77925651A4C6}
{DC4F9DA0-DB05-4BB0-8FB2-03A80FE98772}
{0C378864-D5C4-4D9C-854C-432E3BEC9CCB}
{93441C07-E57E-4086-B912-F323D741A9D8}
{CDAF9CEC-F3EC-4B22-ABA3-9726713560F8}
{CF6866F9-B67C-4B24-9957-F91E91E788DC}
{A95845D8-8463-4605-B5FB-4F8CFBAC5C47}
{B9C13CD0-5A97-4C6B-8A50-7638020E2462}
{C70D0641-DDE1-4FD7-A4D4-DA187B80741D}
{DE233AFF-8BD5-457E-B7F0-702DBEA5A828}
{AB049B11-607B-46C8-BBF7-F4D6AF301046}
{910E7ADE-7F75-402D-A4A6-BB1A82362FCA}
{42C68651-1700-4750-A81F-A1F5110E0F66}
{BF931895-AF82-467A-8819-917C6EE2D1F3}
{4774922A-8983-4ECC-94FD-7235F06F53A1}
{E12DA4F2-BDFB-4EAD-B12F-2725251FA6B0}
{C94188F6-0F9F-46B3-8B78-D71907BD8B77}
{6470DE80-1635-4B5D-93A3-3701CE148A79}
{17E67D4A-23A1-40D8-A049-EE34C0AF756A}
{AB237044-8A3B-42BB-9EE1-9BFA6721D9ED}
{784F2933-6BDD-4E5F-B1BA-A8D99B603649}

Por cada carpeta encontrada, haga clic en la misma y agregue el siguiente valor DWORD (400 en hexadecimal):

Compatibility Flags = 400

NOTA: Si no existen estas claves, no tiene instalado HP Update Software en su sistema y no es vulnerable.

2. Uso de un archivo .REG

Descargue el siguiente archivo:

http://www.videosoft.net.uy/hp-update-killbit.reg

Haga doble clic sobre él, y luego acepte agregar su contenido al registro.

Si por alguna razón quisiera revertir la situación, descargue el siguiente archivo, haga clic sobre él, y acepte agregar su contenido al registro:

http://www.videosoft.net.uy/hp-update-killbit-normal.reg

Relacionados:

HPSBGN02333 SSRT080031 rev.1 – HP Software Update HPeDiag Running on Windows, Remote Disclosure of Information and Execution of Arbitrary Code

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01439758

HP Software Update HPeDiag ActiveX Control Insecure Methods and Buffer Overflow

http://secunia.com/advisories/29966/

CVE-2008-0712 (Common Vulnerabilities and Exposures project)

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0712

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

La vulnerabilidad Zero Day, puede permitir a un atacante utilizar un archivo .MOV modificado maliciosamente para tomar el control completo de un equipo con Windows XP o Vista totalmente actualizados (definimos “Zero Day” o Día Cero, a cualquier exploit que no haya sido mitigado por un parche del vendedor).

Se ha publicado un video que muestra el ataque en acción. En él, un simple clic en un archivo llamado TEST.MOV descargado en el escritorio de Windows, puede llegar a ejecutar las aplicaciones Microsoft Paint y la calculadora de Windows.

Evidentemente, otros códigos podrían ser lanzados en el equipo, sin que el usuario se percate de ello, mientras él supone que está viendo una simple película descargada de algún sitio.

Lo curioso de esto, es que Petkov, quien se considera un hacker ético, no está seguro de como divulgar los detalles de la vulnerabilidad a Apple, debido a las complicaciones que ha creado una controvertida ley de uso indebido de computadoras aplicada en el Reino Unido (país donde reside).

Increíblemente, Petkov podría ser castigado por esa ley, y por lo tanto, prefiere utilizar otros medios como iDefense o la iniciativa Zero Day para hacerlo.

Esto contrasta enormemente con la actitud de Microsoft, que la semana pasada se comprometió públicamente a no presentar demandas o cargos, contra los “hackers éticos” que de manera responsable, encuentren e informen de los fallos de sus servicios en línea.

Lo cierto es que quienes utilicen QuickTime, deben estar prevenidos de que es posible la ejecución de malwares si descargan y abren un archivo .MOV de sitios dudosos, o recibidos como adjuntos no solicitados.

Relacionados:

Microsoft ama a los hackers éticos

http://www.vsantivirus.com/22-04-08.htm

UK Crown Prosecution Service publishes Computer Misuse Act guidance

http://tinyurl.com/4386fc

QuickTime Zero-Day Hits Windows XP, Vista

http://tinyurl.com/3t8gny

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Cuando nos presentamos en una máquina Windows, la contraseña que proporcionamos debe estar almacenada en algún lugar para que el sistema operativo la reconozca y bien nos deje pasar, bien rechace el acceso. Almacenar la contraseña y compararla sin más con la que proporciona el usuario, sería una muy mala política de seguridad. Cualquiera con acceso al disco duro podría robar la contraseña en texto plano. Lo que se almacena en realidad es el resultado de aplicar un algoritmo a la clave introducida. Esto da como resultado una “firma” (o tradicionalmente llamado “hash”), un valor que en teoría sólo es producido por una contraseña en concreto. Son firmas lo que siempre se comparará entre sí, nunca contraseñas. En Windows, ese hash se encuentra físicamente en el archivo de nombre SAM (Security Account Manager) para contraseñas locales y en el archivo ntds.dit del controlador de dominio para los usuarios que se validan contra controladores de dominio. Nos centraremos en las contraseñas locales.

Para calcular los hashes que se almacenan en la SAM, Windows XP y anteriores utilizan por defecto dos algoritmos para cifrar cada clave: LM (por compatibilidad hacia atrás) y NTLM, más avanzado y estándar. Vista usa (por fin) sólo NTLM y no calcula ni almacena el inseguro LM por defecto. Un atacante necesitaría tener acceso a estos hashes (uno, otro, o los dos) para intentar calcular a partir de ellos las contraseñas en texto claro (aplicándoles fuerza bruta, o métodos más sofisticados como las tablas rainbow).

Windows no añade ’sal’ a las contraseñas

Uno de los problemas históricos del almacenamiento de claves en Windows es que no ’saltea’ las contraseñas. No añade, como UNIX por ejemplo, un trozo aleatorio de caracteres a la hora de calcular el hash. Con esto se evitaría que una misma contraseña de dos usuarios distintos, produjese una misma firma. Esto supone un problema de seguridad, porque si un atacante de Windows tiene acceso a estos hashes y dos son iguales, puede tener la certeza de que esos dos usuarios tienen la misma contraseña, incluso si no sabe cuál.

Tipos de ataque

Existen básicamente dos métodos con los que obtener estos hashes. Uno es “offline” y tiene como barrera (evitable) una funcionalidad de Windows de la que hablaremos en el futuro. Otra es “online” y muestra los hashes tal cual.

Volcado de los hashes “online”

Una forma de obtener los hashes de las contraseñas es conectarse al proceso LSASS (Local Security Authority Subsystem) como administrador (o alguien con permisos equivalentes) y volcarlos. LSASS es el proceso que autoriza y maneja todo el tinglado de las contraseñas introducidas en Windows. Mantiene una copia en memoria de estas firmas contra las que compara y valida para ofrecer el token de credenciales correspondiente. Conectarse a este proceso y volcar los hashes “en vivo” en memoria no es complicado gracias a programas como pwdump, que en sus distintas versiones, permite engancharse al proceso y mostrar los hashes de todos los usuarios locales del sistema.

Este método mostrará en claro el hash LM y NTLM con el que Microsoft compara todas las contraseñas que le introducimos y ahora sí se podrá realizar un sencillo ataque de fuerza bruta contra ellos.

Volcado de los hashes “offline”

Si no se tiene acceso al proceso en memoria, bien porque el sistema esté apagado, bien porque no se disfruten de los permisos necesarios, existen otros métodos. Como hemos dicho al principio, un lugar especialmente delicado en Windows (equivalente al etc/passwd de los sistemas basados en UNIX) se ubica en %systemroot%\system32\config\sam. En todo momento el archivo está manejado y bloqueado por el proceso de sistema por lo que no puede ser movido, copiado o accedido mientras el ordenador esté en marcha, ni siquiera por el administrador.

Esto no impide realmente que alguien pueda hacerse con el archivo. Existen muchas maneras de llegar a ese fichero sin pasar por Windows. Arrancar en un sistema Linux alojado en otra partición, o cualquier otra forma de montar particiones NTFS… (Live Cds, por ejemplo). Otros métodos consisten en buscar otros archivos SAM diseminados por el disco duro. Microsoft guarda una copia de seguridad del archivo en varios directorios, como por ejemplo en %systemroot%\repair cuando el sistema es instalado. En este directorio se encontrará un archivo SAM de menor peso que “el oficial” y con fecha de instalación del sistema. Esta SAM “de repuesto” no se modificará y contendrá la primera contraseña que se le indicó a Windows, aunque el usuario haya modificado la clave de administrador posteriormente. Este archivo no está tomado por ningún proceso, se puede leer por cualquiera, por tanto es necesario vigilar especialmente los permisos NTFS para controlar su acceso.

También puede existir una copia de la SAM en %systemroot%\winnt\system32\config\sam.bak, que tampoco se encuentra bloqueada por ningún proceso. Por último, si el administrador ha realizado copias de seguridad, es posible encontrar comprimido un %systemroot%\windows\repair\sam._ que se puede expandir con el comando de Microsoft “expand”.

Una vez que se ha tenido acceso al archivo en cuestión, sea con el método que sea, se puede “volcar” su interior con herramientas como samdump, disponible de forma gratuita desde hace años. En teoría, al volcar este archivo deberíamos obtener los hashes LM y NTLM de las contraseñas. Pero esto no es así. A partir de Windows 2000, Microsoft utiliza por defecto el sistema adicional de cifrado Syskey. Samdump volcará una versión a su vez cifrada de los verdaderos algoritmos de cifrado de Microsoft LM y NTLM. Con Syskey como medida adicional de seguridad sobre el sistema que almacena las contraseñas, Microsoft introdujo una capa más de seguridad, un cifrado de la SAM que dificulta (no demasiado si no se utiliza bien) los ataques “offline” de fuerza bruta o diccionario sobre este archivo. Syskey estaba destinado a evitar estos ataques (pues cifra sobre cifrado) pero en la práctica, ni Syskey ni los cifrados LM/NTLM han aportado realmente seguridad adicional. Se sigue dependiendo de la fortaleza de la contraseña que elija el usuario.

¿Por qué el Syskey no suele aportar realmente seguridad? ¿Cómo funcionan realmente los hashes LM/NTLM? Lo estudiaremos en profundidad en un próximo artículo.

Sergio de los Santos
ssantos@hispasec.com

Así César Cerrudo, fundador y CEO de la empresa argentina Argeniss, afirma haber encontrado algunas debilidades que convertirían en inútiles las mejoras de seguridad de Windows Server 2008.

Para Cerrudo, se trata de problemas de diseño que no fueron identificados por los ingenieros de Microsoft durante el Security Development Lifecycle (SDL) y que permiten que cuentas utilizadas normalmente por servicios Windows puedan utilizarse para una escalada de privilegios que permita el control total del sistema operativo…

Microsoft ha manifestado estar al corriente de los trabajos de Cerrudo, pero no reconoce en ellos ninguna nueva vulnerabilidad, sino que afirma que sólo describen cuestiones de diseño, ya que las cuentas que señala Cerrudo (NetworkService y LocalService) deben ser consideradas al mismo nivel que la de Administrador, sin que Cerrudo describa cómo un atacante podría hacerse con el control de las mismas.

Al parecer Microsoft invitó a Cerrudo a demostrar sus afirmaciones en Blue Hat, pero el investigador (que planea explicar los detalles en HITBSecConf2008 el próximo 17 de Abril) alegó “problemas de agenda” para rechazar la invitación.

Referencias:
Windows Server 2008 security not as advertised, says researcher.

Fuente:
Kriptopolis.org

Este fallo de seguridad comunicado por Adam Boileau hace dos años, no cuenta todavía con la correspondiente solución de Microsoft y es por ello que el consultor de Immunity Inc ha hecho público la herramienta en su página web, según declaró.

Para utilizar el “hack” se requiere conectar a un equipo Linux a la máquina objeto de ataque mediante la conexión FireWire, obteniendo acceso a la memoria, eliminando contraseñas de inicio y tomando el control del equipo.

Paul Ducklin, responsable de tecnología de la compañía de seguridad Sophos, indicó que este agujero de seguridad no es un bug o vulnerabilidad en sentido estricto, sino una capacidad para acceder a la memoria del ordenador del estándar multiplataforma para entrada/salida de datos FireWire.

La solución “profesional” de Ducklin: “Desactivar el acceso a FireWire cuando no se utilice”.

Enlace ralacionado:

http://storm.net.nz/projects/16

http://www.smh.com.au/news/security/hack-into-a-windows-pc–no-password-needed/2008/03/04/1204402423638.html

Fuente:

http://www.theinquirer.es/2008/03/04/hackear_una_maquina_windows_a_traves_de_firewire.html

VMware es un sistema de virtualización por software, esto es un programa que simula un sistema físico (una computadora). Pueden ejecutarse múltiples sistemas virtuales dentro de un mismo hardware de manera simultánea.

Si se instala VMware en Windows, y se ha habilitado una carpeta compartida, es posible que un programa que se ejecute en el equipo virtual pueda acceder al sistema operativo del host, o sea al de la computadora en que se ejecuta la máquina virtual.

El acceso permite la modificación, creación o ejecución de archivos en determinadas ubicaciones.

La carpeta compartida de VMware permite la transferencia de datos entre el sistema virtual y el sistema principal.

La vulnerabilidad afecta a las versiones VMware Workstation, VMware Player y VMware ACE que se ejecutan en Windows. Las versiones de este producto para Windows Server, Mac y Linux basados en host, no son vulnerables.

El fallo fue reportado a VMware por la compañía de seguridad Core Security Technologies.

Por el momento, la solución es deshabilitar la carpeta compartida.

El problema no afecta la línea de software de virtualización para servidores, VMware Server y VMware ESX Server, ya que no utilizan carpetas compartidas.

Las nuevas versiones de VMware Client para Windows también deshabilitan las carpetas compartidas por defecto. Por lo tanto, solo son vulnerables si los usuarios activan dicha opción de forma manual.

VMware es ampliamente utilizado para múltiples propósitos, por ejemplo el análisis de malware, respuesta a incidentes, análisis forense, pruebas de seguridad, o capacitación.

Más información:

Critical VMware Security Alert for Windows-Hosted VMware Workstation, VMware Player, and VMware ACE

http://kb.vmware.com/selfservice/viewContent.do?externalId=1004034

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com