Archive

Posts Tagged ‘microsoft’

Microsoft saca herramienta anti-exploit para administradores de IT

agosto 21, 2012 Deja un comentario

Microsoft dió a conocer una nueva herramienta para ayudar a los administradores de TI a actualizar con mitigaciones anti-exploits del tipo ASLR (Aleatorización del Esquema de Espacio de Direccionamiento) y DEP (Prevención de Ejecución de Datos) en versiones de Windows más antiguas.

La herramienta, llamada Kit de Herramientas de Experiencia de Mitigación Mejorada (Enhanced Mitigation Experience Toolkit – EMET) funciona aplicando las tecnologías de mitigación de seguridad a aplicaciónes arbitrarias para bloqueo contra la explotación a través de vectores comunes de ataque.

Además de implementar ASLR y DEP en versiónes más antiguas de sistema operativo Windows, Microsoft dice que EMET también agregará mitigaciones anti-explotación a los programas existentes de terceros que actualmente no eligen las mitigaciones.

“Esto ayuda a proteger contra la explotación exitosa de vulnerabilidades sin solución disponible,” dice Mike Reavey, un director en Microsoft’s Security Response Center (MSRC).

ASLR y DEP, los cuales sirven como bloqueos de defensa en profundidad durante los ataques de malware, están habilitados por defecto en las versiones más nuevas de Windows.

EMET soporta tanto aplicaciones de 32 bits como de 64 bits y activa mecanismos de protección específicos en binarios compilados. Agrega las siguientes mitigaciones a aplicaciones que no las soportan nativamente:

* Protección de sobre escritura de manejo estructurado de errores (Structured Error Handling Overwrite Protection – SEHOP) que impide la explotación de sobre escritura del Manejo Estructurado de Excepciones (SEH) mediante la realización de validaciones de cadenas SEH.
* La Prevención de Ejecución Dinámica de Datos que marca porciones de la memoria del proceso como no ejecutable, dificultando la explotación de vulnerabilidades de corrupción de memoria.
* La asignación de página NULA que asigna la primera página de memoria antes de la inicialización del programa y bloquea a los atacantes de poder aprovecharse de las referencias NULAS en modo usuario.
* La Asignación de Rociado de memoria Heap que pre-asigna direcciones de memoria para bloquear ataques comunes que llenan la memoria heap del proceso con contenido manipulado especialmente.
* La aleatorización mandatoria del esquema de espacio de direcciones (ASLR) tanto como los módulos que no soportan ASLR en Windows Vista, Windows Server 2008 y Windows 7.
* La tabla de exportación de direcciones (EAT) que usa puntos de parada para filtrar el acceso a la EAT de kernel32.dll y ntdll.dll, bloquea el acceso si el puntero de intrucciones no está dentro del módulo, e interrumpe los shellcodes metasploit comunes actualmente.

Video de explicación

Descargalo!

Traducción: Raúl Batista – Segu-Info
Autor: Ryan Naraine

Fuente: b1nary0

Boletines de seguridad de Microsoft en agosto

agosto 21, 2012 Deja un comentario
Este martes Microsoft ha publicado nueve boletines de seguridad (del MS12-052 al MS12-060) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad “crítico” y los cuatro restantes son “importantes“. En total se han resuelto 26 vulnerabilidades relacionadas en gran medida con la ejecución de código.
Junto a estas actualizaciones, se ha publicado también (como ya se indicó en una una-al-día anterior) la actualización de longitud mínima de certificados RSA. Ya no se podrán utilizar los que sean menores a 1024 bits. Aunque la instalación todavía es opcional, se avisa que estará disponible automáticamente a través de Windows Update a partir del 9 de octubre.
Repasemos los boletines oficiales publicados:
  • MS12-052: Boletín de carácter crítico, que resuelve cuatro vulnerabilidades relacionadas con ejecución remota de código en Internet Explorer, afectando a todas las versiones de Windows (CVE-2012-1526, CVE-2012-2521,  CVE-2012-2522, CVE-2012-2523)
  • MS12-053: otra actualización crítica, relacionada también con la ejecución remota de código, esta vez a través del protocolo de Escritorio Remoto (RDP). Sólo afectaría a las versiones de Windows XP. (CVE-2012-2526)
  • MS12-054: boletín de nivel crítico que soluciona cuatro vulnerabilidades de ejecución remota de código a través de Componentes de Red. Los fallos se dan en el servicio de cola de impresión (CVE-2012-1851), y en el Protocolo de Administración Remota mediante paquetes RAP especialmente manipulados (CVE-2012-1850, CVE-2012-1852 y CVE-2012-1853). Afecta a toda la familia Windows.
  • MS12-058: de nivel crítico, el atacante conseguiría la ejecución remota de código en Microsoft Exchange Server a través del visor de documentos WebReady. Esta vulnerabilidad está relacionada con el plugin de Oracle ‘Outside In‘ descubierta el mes pasado, tratándose de una  actualización de las contramedidas publicadas anteriormente. (CVE-2012-1766, CVE-2012-1767, CVE-2012-1768, CVE-2012-1769, CVE-2012-1770, CVE-2012-1771, CVE-2012-1772, CVE-2012-1773, CVE-2012-3106, CVE-2012-3107, CVE-2012-3108, CVE-2012-3109, y CVE-2012-3110)
  • MS12-060, última de las marcadas como críticas, soluciona la ejecución remota de código en  Office, SQL Server, Commerce Server, Host Integration Server y Visual FoxPro / Visual Basic 6.0 Runtime, a través de los Controles Comunes de Windows, en concreto TabStrip de MSCOMCTL.OCX  (CVE-2012-1856). Es la que afecta a mayor software y se alerta de que existen exploits que están aprovechando activamente esta vulnerabilidad.
  • MS12-055: caracterizada como “Importante“, se trataría de una elevación de privilegios a través de modo kernel (Win32k.sys), afectando a todas las versiones Windows (CVE-2012-2527)
  • MS12-056: otro boletín de nivel “Importante” que soluciona una ejecución remota de código a través de los motores JScript/VBScript, afectando solamente a las versiones de 64 bits de Windows (CVE-2012-2523).
  • MS12-057: Importante, ejecución remota de código en Microsoft Office 2007/2010 a través de gráficos CGM (CVE-2012-2524), mediante la apertura de documentos especialmente manipulados (enviados por mail por ejemplo) o incluyendo gráficos previamente alterados en un documento Office.
  • MS12-059: El boletín calificado como de gravedad “Importante” está relacionado con la ejecución remota de código en Visio a través del formato DXF (CVE-2012-1888) al no gestionar correctamente dichos gráficos provocando un desbordamiento de búfer.
Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
Fuente: Hispasec
Resumen del boletín de seguridad de Microsoft de agosto 2012
Microsoft curándose en salud (II): bloqueará los certificados de menos de 1024 bits
Categorías:Noticias Etiquetas: ,