Más del problema crítico en los servidores DNS

Han empezado ha aparecer exploits para el problema en el DNS de los
servidores Windows tanto por herramientas gratuitas, comerciales y en diversos
sitios Web. Aparentemente estos exploits pudieron realizarse gracias a la
información proporcionada en el aviso de seguridad de Microsoft.

Actualmente se tiene reportes de que la vulnerabilidad esta siendo
activamente explotada.

El Internet Storm Center pública más información de porqué se presenta
el problema y porqué afecta al DNS con el RPC.

Adicional a esto Microsoft a actualizado su aviso de seguridad agregando
sugerencias para mejorar la seguridad en los equipos afectados.  

Referemcias:

Publicly Available Exploit Code
for Vulnerability in RPC on Windows DNS Server

http://www.us-cert.gov/current/index.html#rpcexpl

Update on Microsoft DNS
vulnerability

Vulnerability in RPC on Windows
DNS Server Could Allow Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspx

Microsoft’s advisories giving clues
to hackers

Microsoft previene de falla crítica en el servicio de DNS

Microsoft publico ayer un
aviso de seguridad donde previene sobre un ataque limitado al servicio de DNS
de las versiones de servidor de Windows.

Vulnerability in RPC on Windows
DNS Server Could Allow Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspxEl Departamento de seguridad
en cómputo consiente del problema, ha emitido el  Boletín de Seguridad UNAM-CERT-2007-014.

Buffer overflow en el RPC
utilizado por el DNS de Microsoft Windows

http://www.cert.org.mx/boletin/?vulne=5291

 
En el boletín se puede
encontrar algunos metodos de prevenir el problema mientras Microsoft emite una
actualización.

Secunia ha calificado la
vulnerabilidad como altamente crítica.

Microsoft Windows DNS Service Buffer Overflow Vulnerability

http://secunia.com/advisories/24871/

Sistemas afectados

    * Windows 2000 Server Service Pack 4

    * Windows Server 2003 Service
Pack 1

    * Windows Server 2003 Service Pack 2.

Más información en:

Microsoft previene de falla
crítica en el servicio de DNS

http://www.seguridad.unam.mx/noticias/?noti=2580

Resumen de los boletines de seguridad del mes de Abril de 2007

Siguiendo su ciclo mensual de
actualizaciones, Microsoft liberó el día de hoy 5 actualizaciones de seguridad
dentro de los que se encuentran 4 críticas y uno importante, esto se suma al
crítico liberado la semana pasada.

*********

Importante

*********

·  Vulnerabilidad
en el Kernel de Windows podría permitir la elevación de privilegio (931784)
Liberado el 10 de Abril de 2007, este boletín corrige una vulnerabilidad en el
Kernel de Windows con la cual un intruso podría elevar privilegios en el sistema
afectado. La vulnerabilidad mencionada en este boletín afecta a Windows 2000,
XP y 2003.

********

Críticos

********

· Vulnerabilidad
en GDI podría permitir la ejecución remota de código (925902)
Liberado el 3 de Abril de 2007, este boletín corrige múltiples vulnerabilidades
en el motor de interpretación de gráficos, las cuales podrían permitir a un
intruso tomar el control total del sistema. Las vulnerabilidades mencionadas en
este boletín afectan a Windows 2000, XP, 2003 y Vista.

·  Vulnerabilidad
en CSRSS podría permitir la ejecución remota de código (930178)
Liberado el 10 de Abril de 2007, este boletín corrige múltiples
vulnerabilidades en CSRSS las cuales podrían permitir a un intruso tomar el
control total del sistema. Las vulnerabilidades mencionadas en este boletín afectan
a Windows 2000, XP, 2003 y Vista.·  Vulnerabilidad
en Microsoft Agent podría permitir la ejecución remota de código (932168)

Liberado el 10 de Abril de 2007, este boletín corrige una vulnerabilidad en Microsoft
Agent con la cual un intruso podría tomar el control total del sistema afectado.
La vulnerabilidad mencionada en este boletín afecta a Windows 2000, XP y 2003.

http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5288

 

·  Vulnerabilidad
en UPnP (Universal Plug and Play) podría permitir la ejecución remota de código
(931261).
Liberado el 10 de Abril de 2007, este boletín corrige una vulnerabilidad en Universal
Plug and Play con la cual un intruso podría tomar el control total del sistema
afectado. La vulnerabilidad mencionada en este boletín afecta a Windows XP.  

·  Vulnerabilidad
en Microsoft Content Management Server podría permitir la ejecución remota de
código (925939)
Liberado el 10 de Abril de 2007, este boletín corrige múltiples
vulnerabilidades en Microsoft Content Management Server las cuales podrían
permitir a un intruso tomar el control total del sistema afectado. Las
vulnerabilidades mencionadas en este boletín afectan Microsoft Content
Management Server 2001 y 2002.

Más sobre el problema con con los cursores animados de Windows (.ani)

El problema
con los cursores animados de Windows (.ani) era conocido por Microsoft desde
finales del año pasado, esto fue reportado por la firma Determina, la cual
reporto el problema, para tal problema el 3 de Enero Microsoft reservo el
CVE-2007-0038.  Un vocero de Microsoft
afirma que han estado trabajando desde entonces para corregir el problema.

El Internet
Storm Center menciona es su sitio Web algunas recomendaciones y puntos
para  mitigar el problema. Además
menciona algunos dominios que están propagando el código maliciosos, esto con
el fin de que los administradores bloqueen el acceso a estos dominios.

Adicional
mente la firma de seguridad eEye esta ofreciendo una corrección temporal para
evitar el problema, la cual previene que cursores sean cargador fuera del
%systemroot% (variable del sistema que dice donde se instala el sistema operativo,
regularmente c:\windows).

Referencia:

Microsoft knew of Windows .ANI flaw
since December 2006

Windows Animated Cursor Handling
vulnerability – CVE-2007-1765

EEYEZD-20070328

http://research.eeye.com/html/alerts/zeroday/20070328.html

Se esta propangdo un código malicioso que simula ser IE7

Que tal lista!!!

Varias instancias de seguridad están reportando un correo electrónico no
deseado (spam) invitando a los usuarios a descargar un archivo adjunto de
nombre IE7.0.exe, el correo es enviado falsificando una dirección de correo
electrónico de Microsoft. La dirección utilizada es admin@microsoft.com

Al realizar un análisis con herramientas antivirus se ha detectado que
es un código malicioso.  Por lo que hay
que tener cuidado con lo que se descarga.

Recomendaciones:

• No abrir
  correos electrónicos no solicitados.

• Microsoft
  nunca envía archivos o actualizaciones mediante correo electrónico.

• Actualizar
  nuestro antivirus.

En las siguientes páginas se muestran análisis del código maliciosos.

http://research.sunbelt-software.com/ViewMalware.aspx?id=220

http://www.sunbelt-software.com/ihs/alex/virustotal19231823123.PNG

Referencias:

IE7.0.exe

Beware
fake IE 7 downloads

http://sunbeltblog.blogspot.com/2007/03/beware-fake-ie-7-downloads.html

 Buenas
prácticas de seguridad

http://www.seguridad.unam.mx/usuario-casero/bpracticas.dsc 

Nueva vulnerabilidad activa en Windows

Microsoft ha publicado un aviso de seguridad referente a un exploit que
esta siendo utilizado en la red. El
problema se debe al manejo en los archivos de los cursores animados de Windows
(Windows Animated Cursor). Para explotar
con éxito esta vulnerabilidad el usuario debe acceder a un sitio Web malicioso
o abrir un correo electrónico especialmente diseñado.

Varias versiones de Windows se ven afectadas como 2000, XP 2003 e
incluso Vista.

Microsoft publica en su aviso que este problema amerita una actualización
de seguridad.

Recomendaciones:

* No abrir correos electrónicos no solicitados.

* No acceder a sitios Web sospechosos o navegar en sitios no confiables.

Referencias:

Microsoft Security Advisory
(935423) Vulnerability in Windows Animated
Cursor Handling

http://www.microsoft.com/technet/security/advisory/935423.mspx

Troj_anicmooo.ax

http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=1&VName=TROJ_ANICMOO.AX

McAffe Avert Labs Blog

Unpatched Drive-By Exploit Found On The Web

Active Exploitation of an
Unpatched Vulnerability in Microsoft Windows ANI Handling

http://www.us-cert.gov/current/index.html#WINANI

Empieza a causar controversia que Microsoft no libere actualizaciones de seguridad

Como parte del ciclo mensual de actualizaciones Microsoft proporciona el
avance de los boletines de seguridad. Para esta ocasión Microsoft informa que
no se planea liberar ninguna actualización de seguridad para el mes de Marzo.

Pero si se planea liberar una actualización de la herramienta de detección
de código malicioso, dos actualizaciones de seguridad, no siendo estas de
seguridad, a través de Windows Update y SUS y cuatro actualizaciones de alta
prioridad, no siendo estas de seguridad, a través de Microsoft Update y WSUS.

Microsoft aún cuenta con varias vulnerabilidades no corregidas que han
sido documentadas por el Internet Storm Center y eEye, los cuales mencionan que
existen vulnerabilidades críticas sin corregir y otras no críticas.

Se ha mencionado que la falta de actualizaciones de este mes no se debe
a que Microsoft no tenga que corregir en su software, sino al cambio del
horario de verano que se tiene programado en varios países el siguiente domingo.
Por lo que Microsoft para evitar problemas que se presenten con las actualizaciones
y el cambio de horario, solo dos días previos, evita publicar boletines.            

Todavía existe la posibilidad de que Microsoft de marcha atrás y
publique algunos boletines como lo ha hecho en ocasiones anteriores.

Referencias:

Microsoft Security Bulletin Advance
Notification

http://www.microsoft.com/technet/security/bulletin/advance.mspx

Upcoming Advisories

http://research.eeye.com/html/advisories/upcoming/index.html

The missing Microsoft
patches

No Microsoft Security
Bulletins Planned for This Month

OneCare de Microsoft último lugar en evaluación de antivirus

El mejor en la prueba fue AntiVirusKit de G Data Security.

Microsoft Windows Live OneCare se ubico en el último lugar de 17 antivirus probados con miles de gusanos, virus, troyanos y cualquier otro tipo de código malicioso, publico en un reporte el día de ayer un investigador austriaco.

El sitio Web AV Comparatives, el cual es mantenido por Adreas Cleminti en Innsbruck, Austria, publico unos resultados trimestrales de pruebas realizadas ha antivirus contra casi medio millón de piezas de código malicioso.

El mejor, de acuerdo a las pruebas realizadas por Cleminti, fue AntiVirusKit (AVK) de G Data Security, el cual obtuvo 99.5% de detección de código malicioso. Muy cerca de este se encuentran TrustPort AV WS de AEC con 99.4%, AntiVir PE Premium de Avira con 98.98%, F-Secure con 97.9% y Kaspersky con 97.9% en detección de código malicioso.De los productos antivirus más conocidos como Symantec y McAfee obtuvieron 96.8% y 91.6% respectivamente.

En el último lugar se encuentra Live OneCare de Microsoft, el producto de seguridad que la compañía de Redmon desarrollo y liberó el año pasado. OneCare sólo pudo detectar 82.4% de todo el código malicioso analizado.

Cleminti también probó los 17 antivirus contra virus polimórficos, de los cuales hay una gran cantidad de variantes debido a que tratan de evadir los análisis de antivirus. “El resultado de las pruebas con virus polimórficos es importante debido a que se puede saber la flexibilidad de un motor antivirus y como es la calidad de detección de virus complejos.”, comento Cleminti en su reporte.Sólo el antivirus de Symantec y NOD32 de ESET detectaron cada una de las variantes de las 12 familias polimórficas, comenta Cleminti.

En esta prueba, OneCare se coloco en el lugar 15 detectando las variantes de sólo 2 familias polimórficas y no detectando del todo siete familias polimórficas.El reporte de Cleminti esta disponible en línea. ( Descargar PDF).

Esta no es la primera evaluación que da al programa de seguridad de Microsoft malas calificaciones. La semana pasada, por ejemplo, la compañía australiana PC Tools liberó una investigación que mostraba que Windows Defender (nombre del antispyware de Microsoft) detectaba entre el 46% y 53% del spyware.

“Estamos analizando detenidamente la metodología y los resultados de las pruebas para asegurarnos que Windows Live OneCare obtenga mejores resultados en pruebas futuras,” comento un vocero de Microsoft.

Convocatoria Plan de Becarios de Seguridad en Cómputo 2007

Recordandoles para que no se queden sin entrar.

———————————————————————-
DIRECCIÓN GENERAL DE SERVICIOS DE CÓMPUTO ACADÉMICO

UNAM-CERT
Departamento de Seguridad en Cómputo

CONVOCATORIA
PLAN DE BECARIOS 2007-2008
———————————————————————-

La Dirección General de Servicios de Cómputo Académico (DGSCA) a través
del Departamento de Seguridad en Cómputo/UNAM-CERT en su búsqueda por
coadyuvar en la formación de recursos humanos especializados en el área
de seguridad en cómputo, convocan a todos los interesados a participar
en el proceso de selección de candidatos para el plan de capacitación de
becarios para apoyar las funciones sustantivas de investigación y
desarrollo en el área de la seguridad informática en México.

Requisitos: Para participar en el proceso de selección al Programa, los
aspirantes deben cumplir con el siguiente perfil:

1. Estudiantes activos de carreras de Computación, Ingeniería,
Ciencias, Informática y Sistemas, Físico-Matemáticas o áreas
afines.
2. Ser alumno regular, con promedio mínimo de 8.5.
3. Avance del 60% mínimo de créditos. (sexto semestre terminado
en adelante).
4. Conocimiento de Lenguaje de Programación C.
5. Conocimientos en computación y matemáticas.
6. Conocimientos básicos de los sistemas operativos UNIX y
WINDOWS.
7. Aprobar los exámenes de selección los cuales comprenderán:
o Examen de conocimientos.
o Evaluación psicológica (Facultad de Psicología).
o Examen de lectura y comprensión del idioma inglés (CELE).
8. Disposición de al menos 20 horas a la semana para cubrir el
plan de estudios con un horario de 14:00 a 18:00 hrs.
(Durante la etapa de capacitación).
9. No estar comprometido con otro programa de becas.
10.Registrarse en Línea en la dirección:

http://www.seguridad.unam.mx

Documentos:
===========

1. Carta de exposición de motivos firmada por el solicitante
(una cuartilla).
2. Registro de inscripción al semestre en curso.
3. Copia del último historial académico o constancia de créditos
avalada por la institución.
4. Currículum Vitae actualizado (con copia de comprobantes).
5. Tres fotografías tamaño infantil.
6. Confirmación de Registro en Línea (enviado por correo
electrónico).

Fechas Importantes:
===================

– Recepción de documentos: A partir de la publicación de la
convocatoria y hasta el lunes 5 de marzo de 2007
(Departamento de Informes y Relaciones, DGSCA-CU).
(Departamento de Promoción de Servicios Educacionales,
DGSCA-CU).
– Entrevistas: 6 al 12 de marzo de 2007.
– Exámenes de selección: 13, 14 y 27 de marzo de 2007.
– Examen de Lectura y Comprensión de Inglés:
martes 13 de marzo 16:00 hrs.
– Examen de conocimientos: miércoles 14 de marzo 14:00 hrs.
– Evaluación Psicológica: martes 27 de marzo 10:00 hrs.
– Publicación de resultados en Web: jueves 12 de abril de 2007.
– Inicio de la tercera generación del Plan de Becarios:
lunes 16 de abril de 2007.

Pláticas informativas:
======================

– Martes 20 de febrero de 2007
12:00 hrs.
Auditorio de la DGSCA.

– Lunes 26 de febrero de 2007
15:00 hrs.
Auditorio de la DGSCA

Nota: Para ver los requerimientos de cada una de las evaluaciones,
consultar la página Web.

Mayores Informes
================

Departamento de Promoción de Servicios Educacionales
De lunes a viernes de 10:00 a 15:00 y de 17:00 a 19:30 hrs.
Tels: 5622-8502 y 5622-8354

Departamento de Seguridad en Cómputo/UNAM-CERT
De lunes a viernes de 10:00 a 15:00 y de 17:00 a 19:30 hrs.
Tels: 56228169 y 56228047
Correo: plan_becarios@seguridad.unam.mx

http://www.seguridad.unam.mx

Aumentan las vulnerabilidades no corregidas por Microsoft

Sólo a unas horas de que Microsoft corrigiera múltiples
vulnerabilidades en su software y exploits de día cero en Word, el día de
hoy  Microsoft publica un aviso de
seguridad relacionado a un problema de seguridad en Word.

En el aviso de seguridad 933052 de Microsoft se
puede leer que Microsoft esta investigando un ataque limitado usando una
vulnerabilidad en Microsoft Office 2000 y Microsoft Office XP.  

Las recomendaciones que se dan dentro del aviso
son no abrir archivos Word que no vengan de fuentes no confiables o archivos en
Word no solicitados.

Microsoft Security Advisory (933052)

Vulnerability in Microsoft Word Could Allow
Remote Code Execution

http://www.microsoft.com/technet/security/advisory/933052.mspx

Esto aumenta las vulnerabilidades no corregidas
en software de Microsoft. Las cuales podrían ser corregidas en el siguiente
ciclo de actualizaciones.  Más información
acerca de las correcciones faltantes en:

The missing Microsoft
patches

Zero-Day Tracker

http://research.eeye.com/html/alerts/zeroday/index.html