11/08/2010

Nuevos parches de seguridad para Microsoft.

Por Jason Miller*
Microsoft publicó 14 boletines que reparan 34 vulnerabilidades el día de hoy, pero particularmente existen cuatro de ellos que los administradores de sistemas deben aplicar tan pronto como les sea posible. 

MS10-052 y MS10-055 afectan a los archivos de medios y están clasificados como críticos. Abrir un archivo de medios maliciosos puede provocar la ejecución remota de código. Descargar y reproducir archivos de medios es cada vez más frecuente, y la interacción social se está moviendo al vídeo. Esto hace de estas vulnerabilidades sean objetivos destacados para ataques. 
MS10-056 afecta a Microsoft Word y es calificado como crítico. Al abrir un documento malicioso puede provocar la ejecución remota de código. Además de Microsoft Word, Microsoft Outlook 2007 también puede desempeñar un papel en la explotación. En Outlook 2007, el simple hecho de abrir un correo electrónico con un archivo adjunto malicioso puede provocar la ejecución remota de código. Esta versión de Outlook puede ser afectada al visualizar el documento en el panel de lectura, debido a que Outlook 2007 utiliza Microsoft Word como el lector de correo electrónico predeterminado. Los documentos RTF son muy comunes y típicamente son archivos adjuntos que no son bloqueados por las empresas. Se espera una oleada de archivos RTF maliciosos en la cajas de entrada de las cuentas de correo electrónico de los usuarios en las próximas semanas. 
MS10-060 afecta a Silverlight. Este parche corrige una vulnerabilidad que puede permitir la ejecución remota de código. Microsoft ha reparado a Silverlight en el pasado, pero este parche se destaca de los anteriores. Un atacante sólo necesita atraer a un usuario hacia un sitio web malicioso para entregar una carga útil.  La instalación de Silverlight es sumamente fácil, por lo que se puede suponer que una gran cantidad de equipos actualmente tiene este programa instalado. No he oído hablar de explotaciones en Silverlight, pero espero ver más con el lanzamiento de este parche. 
Existen otro par de boletines liberados este mes que también requieren una atención adicional: MS10-054 afecta al servicio de SMB en Microsoft Windows. Normalmente vulnerabilidades SMB solo llamarían la atención de los investigadores de seguridad por ser una alternativa para los ataques de gusanos. Sin embargo con esta vulnerabilidad existen algunos factores que lo tornan en una afectación de bajo riesgo. En las versiones más recientes del sistema operativo de Microsoft (Windows 2003 y versiones posteriores) requiere que el atacante no se autentifique. En ese instante se disminuye el riesgo de un gusano, ya que la mayoría de los ataques deben ser autenticados. En los sistemas operativos más antiguos (Windows XP), el ataque puede ser no autenticado. La propia vulnerabilidad sería muy difícil de explotar debido a que el atacante no puede controlar el resultado de la explotación en la máquina. El resultado más probable será un ataque de negación de servicio en el sistema que provoque el equipo deje de responder y se reinicie. 
MS10-047 afecta el núcleo de Windows. Aunque este boletín tiene una clasificación de gravedad más bajo, es imperativo probar este parche antes de desplegarlo en sus equipos. Corregir el núcleo de Windows a veces puede tornar el sistema completamente inservible. Hemos visto esto con algunos equipos infectados por rootkits en el pasado. Microsoft ha tomado medidas desde esa ocasión para garantizar que el kernel no se vea afectado negativamente por el parche, pero aun así recomiendo aplicar esta revisión a un conjunto de sistemas para evaluarlo antes de implementarlo completamente en todos los demás equipos. 
MS10-046 fue lanzado fuera del calendario el 2 de agosto. Algunas organizaciones se esperaron para implementarlo hasta que se liberara el conjunto de parches correspondientes a este mes. Este boletín debe ser abordado de inmediato, debido a que existen muchas explotaciones para esta vulnerabilidad. Sí ha aplicado la solución para la vulnerabilidad, es importante recordarle que debe removerla. Los usuarios estarán encantados de ver sus iconos en el escritorio y  usarlos nuevamente de manera normal. Este enorme paquete de parches mensual afectará a todos sus sistemas, estaciones de trabajo o equipos de escritorio. La gran cantidad de parches puede aumentar el ancho de banda de red, así como el tiempo requerido para que el sistema los aplique,  además necesita reiniciar los equipos. 
Asegúrese de tomar el tiempo para revisar los resúmenes de cada boletín e implemente un plan de acción para la aplicación de los parches.
* Jason Miller es jefe del equipo seguridad y datos de Shavlik Technologies.

0 comentarios: