Microsoft

Vulnerabilidades MS Exchange Server

2021-05-11T10:37:19+02:00mayo 11, 2021|Seguridad|

Microsoft lanzó parches fuera de banda para varias vulnerabilidades de Exchange Server. Cuatro de estas vulnerabilidades se están usando en ataques dirigidos, por lo que sería prudente instalar los parches lo antes posible.

Las cuatro vulnerabilidades más peligrosas permiten que los atacantes pongan en marcha un ataque de tres etapas. Primero, acceden a un servidor de Exchange, después crean un shell web para acceso remoto al servidor, y por último, utilizan ese acceso para robar los datos de la red de la víctima. Las vulnerabilidades son:

  • CVE-2021-26855: puede usarse para un ataque de falsificación de solicitud del lado del servidor, lo que genera un código de ejecución remoto;
  • CVE-2021-26857: puede utilizarse para ejecutar códigos arbitrarios de parte del sistema (aunque requiere permisos de administrador o haber explotado la vulnerabilidad anterior);
  • CVE-2021-26858 y CVE-2021-27065: el atacante puede utilizarlas para sobrescribir los archivos en el servidor.

Los cibercriminales utilizan las cuatro vulnerabilidades en conjunto; sin embargo, de acuerdo con Microsoft, en lugar de un ataque inicial, a veces utilizan credenciales robadas y se autentican a sí mismos en el servidor sin utilizar la vulnerabilidad CVE-2021-26855.

Además, el mismo parche arregla otras vulnerabilidades menores en Exchange que no están (hasta donde se sabe) relacionadas directamente con los ataques dirigidos activos.

Estas vulnerabilidades no afecta la versión de la nube de Exchange; solo son una amenaza para los servidores instalados dentro de la infraestructura. De manera inicial Microsoft lanzó actualizaciones para Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, y una actualización de “Defense in Depth” adicional para Microsoft Exchange Server 2010. Sin embargo, debido a la gravedad de la situación, también agregaron después soluciones para servidores de Exchange obsoletos.

De acuerdo con investigadores de Microsoft, fueron los atacantes del grupo Hafnium quienes aprovecharon la vulnerabilidades para robar información confidencial. Sus objetivos incluyen empresas industriales, investigadores de enfermedades infecciosas, bufetes de abogados, organizaciones sin fines de lucro y analistas políticos de los Estados Unidos. Se desconoce el número exacto de víctimas, pero de acuerdo con las fuentes de KrebsOnSecurity, al menos 30,000 organizaciones en los Estados Unidos, incluidas pequeñas empresas, administraciones locales, y gobiernos locales, fueron atacadas mediante estas vulnerabilidades. Sin embargo, no solo las organizaciones estadounidenses están en peligro: los cibercriminales de todo el mundo están usando estás vulnerabilidades.

¿Cómo mantenerse a salvo de los ataques?

  • En primer lugar, se debe aplicar los parches a la instalación de Microsoft Exchange Server. Si la empresa no puede instalar actualizaciones, Microsoft recomienda múltiples soluciones.
  • De acuerdo con Microsoft, negar el acceso no confiable al servidor de Exchange en el puerto 443, o, en general, limitar las conexiones desde fuera de la red corporativa puede detener la fase inicial del ataque. Pero esto no será útil si los atacantes ya están dentro de la infraestructura, o si logran que un usuario con permisos de administrador ejecute un archivo malicioso.
  • Una solución de tipo Endpoint Detection and Response (si se cuenta con expertos internos) o especialistas en el servicio de Detección administrada y respuesta pueden detectar este comportamiento malicioso.
  • Siempre recuerda que todas las computadoras conectadas al Internet, por medio de un servidor o estación de trabajo, necesitan de una solución de seguridad de endpoints confiable para evitar exploits y detectar de manera proactiva el comportamiento malicioso.

Fuente https://latam.kaspersky.com/blog/exchange-vulnerabilities/21250/

Protocolo de Escritorio Remoto (RDP)

2020-07-22T18:49:20+02:00julio 22, 2020|Internet, Servicios Cloud|

RDP (Remote Desktop Protocol) es un protocolo propietario desarrollado por Microsoft que permite la comunicación entre una terminal y un servidor Windows en la ejecución de aplicaciones. Significa que se podrá acceder de forma remota a equipos de cómputo sin estar físicamente delante de estos.

El acceso remoto sigue el modelo cliente-servidor. El equipo al que se desea acceder es el servidor, y los dispositivos que se conectan a él son los clientes. Al habilitar esta funcionalidad, se «abre» en el servidor un puerto, comúnmente el 3389. Los puertos pueden entenderse como las vías de entrada y salida de información a Internet. Si una comunicación no se realiza en el puerto correcto, será denegada.

El funcionamiento del protocolo es el siguiente, la información gráfica que genera el servidor es convertida a un formato propio RDP y enviada a través de la red al cliente, que interpretará la información contenida para reconstruir la imagen a mostrar en la pantalla. En cuanto a la introducción de órdenes por parte del usuario, lo que pulse en el teclado y los movimientos del mouse serán redirigidos al servidor. Para un mejor rendimiento en redes menos veloces, el protocolo permite que toda la información que intercambien cliente y servidor se comprima.

Este servicio tiene distintos tipos de aplicaciones: se utiliza frecuentemente para el acceso remoto en la administración de equipos, pero también es cada vez más utilizado en la gestión de servicios de terminal o clientes ligeros (thin clients).

RDP también es uno de los objetivos de los ciberdelincuentes, convirtiéndose en un importante riesgo para las organizaciones si no cuenta con las suficientes medidas de seguridad.

El primer aspecto de seguridad en cualquier sistema es que todo el software sea actualizado a la última versión disponible. Así, las vulnerabilidades públicas no podrán ser utilizadas para atacar a la organización.

Utilizar redes privadas virtuales o VPN como puerta de enlace entre el servidor RDP y el usuario, minimizará los riesgos de sufrir un incidente de seguridad. Una VPN crea una conexión cifrada entre ambos dispositivos, aumentando considerablemente la privacidad de las comunicaciones.

Muchos de los ataques se llevan a cabo utilizando nombres de usuario genéricos como Administrador, por tanto habrá que utilizar nombres de usuario que no sean comunes. También es común que los atacantes intenten utilizar contraseñas débiles por lo que una contraseña robusta reducirá considerablemente la posibilidad de un acceso no autorizado.

Los ataques de fuerza bruta basan su funcionamiento en probar posibles nombres de usuario y contraseña hasta que consiguen el acceso o bien, decidan abandonar el ataque en busca de otro objetivo. Se recomienda aplicar una política de seguridad que tras varios intentos no exitosos, restrinja el acceso del usuario durante un tiempo determinado. El tiempo de bloqueo se incrementa en función del número de intentos no exitosos, llegando a bloquear completamente el usuario.

También puede utilizarse un sistema de doble factor de autenticación para acceder al escritorio remoto. En el cual, además de conocer usuario y contraseña, será obligatorio saber un tercer dato, un código generado en el momento. De preferencia, se utilizarían aplicaciones específicas como mecanismo de doble factor de autenticación en lugar de mensajes SMS, que pueden ser más vulnerables a ataques.

En ocasiones, se puede cambiar el puerto utilizado por defecto para conectarse por RDP (3389). Esto se conoce como seguridad por oscuridad.

Probablemente no todos los usuarios en la organización deberían tener acceso al escritorio remoto, por lo que se debe limitar a los estrictamente necesarios. De esta manera, se reduce el riesgo de que un ciberdelincuente consiga acceso de forma fraudulenta. Es recomendable utilizar NLA (Network Level Authentication), con lo cual los usuarios deben autenticarse en la red antes de intentar acceder al servidor RDP. NLA añade una capa de seguridad ante posibles ataques pero en cualquier caso, debemos mantener actualizada la lista de accesos habilitados, sin olvidar supervisar y monitorizar los accesos remotos.

En el cortafuegos o firewall también se recomienda crear reglas específicas para restringir el acceso al servidor de escritorio remoto. Este filtrado se puede hacer por medio de direcciones IP, permitiendo que únicamente accedan las asociadas a los equipos autorizados.

Utilizar un sistema de escritorio remoto puede ser de gran ayuda al desempeñar las funciones de trabajo diarias pero también puede ser la puerta de entrada de los ciberdelincuentes. Proteger su acceso implantando medidas y políticas de seguridad será vital para evitar ser víctima de un incidente de seguridad.

Vulnerabilidad en Microsoft Access

2020-01-07T12:21:24+01:00enero 7, 2020|Internet, Seguridad|

Recientemente se ha descubierto una vulnerabilidad en la aplicación de bases de datos Access de Microsoft que, si no se repara, podría afectar a miles de empresas.

La falla, descubierta por el equipo de la empresa Mimecast, podría conducir a la divulgación involuntaria de información confidencial.

La vulnerabilidad es muy similar a la que se encontró en Microsoft Office el año pasado. La aplicación guarda en cada archivo al azar,  fragmentos de datos llamados elementos de memoria. Normalmente, esto es solo un fragmento de contenido inútil, pero en ocasiones podría ser algo sensible, como contraseñas o información del usuario.

«Si un actor malintencionado lograra acceder a una máquina con archivos MDB (extensión al guardar los archivos de Access), podría realizar una búsqueda para recopilar la información confidencial que reside en estos archivos y darle un uso indebido», dijo Mimecast.

Microsoft ha emitido un parche para corregir el problema. Mimecast está alentando a las empresas a descargar e instalar la solución, así como también, monitorear el tráfico de la red para identificar a posibles atacantes en busca de archivos potencialmente confidenciales.

Fuente https://fortune.com/2020/01/07/microsoft-access-security-flaw-2020/

También puede ser de interés:

Evitar la explotación de vulnerabilidades

Microsoft urge a usuarios actualizar Windows

2019-08-15T16:46:01+02:00agosto 15, 2019|Internet, Seguridad|

Microsoft acaba de lanzar una serie de parches para servicios de Escritorio Remoto que incluyen dos vulnerabilidades críticas, las cuales permiten la ejecución remota de código. Esto quiere decir que un atacante puede aprovecharlas para tomar el control del equipo de forma remota.

No solo eso, ambas vulnerabilidades son «wormable«, es decir, que cualquier malware que las explote podría propagarse a otro equipo sin ninguna interacción por parte del usuario.

Estos problemas afectan a una amplia gama de productos: todas las versiones de Windows 10 con soporte, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, y Windows Server 2012 R2 están afectadas.

Las vulnerabilidades fueron descubiertas por la misma Microsoft mientras trabajaban en mejorar la seguridad de los Servicios de Escritorio Remoto. De momento, según la empresa, no han encontrado evidencia de que las vulnerabilidades fuesen conocidas por algún tercero.

Se insiste en la importancia de actualizar de inmediato todos los sistemas afectados tan pronto como sea posible, dado el elevado riesgo asociado con este tipo de vulnerabilidades.

Si se tienen las actualizaciones automáticas activas, entonces se está protegido. Aquellos que descarguen de forma manual pueden buscar actualizaciones ya mismo con Windows Update, o acceder a las descargas desde Microsoft Security Update Guide.

Fuentes:

https://www.genbeta.com/windows/microsoft-corrige-dos-fallos-criticos-que-afectan-a-windows-7-windows-8-1-todas-versiones-windows-10

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Falso antivirus para Windows

2016-10-25T17:32:38+02:00octubre 25, 2016|Internet, Seguridad|

Investigadores de seguridad Microsoft han descubierto una amenaza detectada como SupportScam: MSIL / Hicurdismos, la cual pretende ser un instalador de Microsoft Security Essentials, el producto antimalware para Windows 7 y versiones anteriores. Aunque en Windows 10 y Windows 8, la protección antimalware se incluye en Windows Defender, que está instalado y activo de forma predeterminada, algunos usuarios pueden creer que también se debe descargar e instalar Microsoft Security Essentials.

Hicurdismos utiliza un falso mensaje de error en Windows (a veces llamada «pantalla azul de la muerte», o BSoD) para poner en marcha una estafa. Un BSoD real es un error fatal en el que la pantalla se pone de color azul y bloquea el equipo. La recuperación de un BSoD normalmente requerirá que el usuario reinicie el equipo. Pero la pantalla BSoD falsa incluye un número telefónico para ponerse en contacto con un supuesto departamento de soporte técnico. Los mensajes de error reales de Microsoft no incluyen datos de contacto.

bsod

Los atacantes recurren cada vez más a tácticas de ingeniería social para engañar a los usuarios y que llamen buscando asistencia técnica, donde se les pide el pago para «solucionar el problema» mediante la descarga de «herramientas de apoyo». La descarga contiene el archivo que se hace pasar por Microsoft Security Essentials para solucionar un problema que en realidad no existe.

Windows 10 Anniversary Update

2016-08-02T17:52:42+02:00agosto 2, 2016|Seguridad|

Este 2 de Agosto se inicia la difusión de la Anniversary Update de Windows 10. Se trata de la primera gran actualización con la que Microsoft celebra el primer aniversario del sistema operativo.

Mejoras de seguridad con Windows Hello y Windows Defender

Con Windows Hello se tiene acceso a un nuevo control biométrico para iniciar sesión. Windows reconocerá el rostro del usuario mediante la webcam y no serán necesarias las contraseñas.

Windows Defender cuenta con «Limited Periodic Scanning» que complementa las funciones del antivirus instalado realizando escaneos periódicos para detectar y eliminar las amenazas.

Únicamente está disponible cuando la seguridad en tiempo real la manejen aplicaciones de terceros. En la versión empresarial de Windows 10, también se ha incluido «Defender Advanced Threat Protection» para detectar, investigar y responder a ataques mediante una amplia red de sensores y expertos en protección. También se tiene «Windows Information Protection» para proteger a las empresas de filtraciones accidentales de datos.

Otras mejoras

Bash de Ubuntu

Llega la consola Linux de forma nativa a Windows. Se podrá aplicar la actualización que da acceso a la consola Bash de Ubuntu y al ejecutar una PowerShell, escribir bash y dar enter, se tendrá un sistema Linux dentro de Windows.

Para activar el Bash de Ubuntu, ir a “Configuración”, dar clic en “Actualización y Seguridad”. Elegir la opción “Para programadores” y activar el “Modo de programador”. En el menú de inicio buscar Activar o desactivar las características de Windows, y habilitar el Subsistema de Windows para Linux. El equipo hará los cambios y se reiniciará, después solo se tendrá que buscar Bash en el menú de inicio.

Cortana

El asistente de Microsoft mejora notablemente y aunque ahora no será posible desactivarlo, se puede limitar la información a la que tiene acceso. Podrá ser utilizada desde la pantalla de bloqueo antes de iniciar sesión con el equipo. Se le ha añadido un sistema de conversación contextual para entender mejor las preguntas. De esta manera, si después de pedirle que reproduzca música se le pide cambiar de canción, sabrá el contexto de la frase y añadirá nuevas canciones a la lista de reproducción. También permite crear recordatorios para prácticamente cualquier cosa con un sistema de notas de voz.

Windows Ink

Estará activo si se ha sincronizado algún lápiz digital con el equipo de cómputo. Se tendrá el ícono de un lápiz en la parte inferior derecha con todas las funciones. Este nuevo sistema para interactuar con la pantalla incluye una serie de nuevas aplicaciones para hacer uso del lápiz digital.

Microsoft Edge

Con la Anniversary Update se añaden opciones, como la integración con Cortana y permite sincronizar contraseñas y favoritos en la Nube. También se le han incluido extensiones de grandes servicios como Adblock y AdBlock Plus, LastPass, Evernote, Amazon, Pinterest o Pocket.

Se ha mejorado la gestión de energía de Edge, usando menos ciclos de CPU. El navegador ahora consume menos memoria, minimizando el impacto de los anuncios en Flash y las aplicaciones en segundo plano. También se mejora el uso de estándares como HTML 5, haciendo que las estructuras y contenido de las páginas se expongan de forma más clara.

Xbox One

Con la nueva Xbox Play Anywhere, al comprar un juego se podrá utilizar tanto en consola como en PC. La Anniversary Update también permite convertir Xbox en una PC; un nuevo paso hacia la convergencia total de Microsoft y sus plataformas. Esta conversión viene acompañada del soporte para poder utilizar teclados, ratones y también Cortana, con comandos de voz para buscar nuevos juegos en su catálogo o realizar tareas básicas como encender o apagar la consola.

Microsoft Cloud Road Show México

2016-05-18T08:22:44+02:00mayo 18, 2016|Servicios Cloud|

La compañía realizó su primer Microsoft Cloud Road Show en México con el objetivo de presentar a desarrolladores y profesionales de informática los servicios y nuevas tecnologías de Nube disponibles para el mercado mexicano y la manera en que éstas impactan directamente en los negocios.

Desde la visión de Microsoft, México es un mercado con alto potencial en temas de adopción de servicios de Nube. Actualmente, cerca del 72% de las empresas mexicanas utilizan la Nube de alguna manera, ya sea a través de pruebas, utilizando algún tipo de servicio o invirtiendo en Cloud; razón por la que seleccionó al país como una de las 16 sedes para realizar su gira “Microsoft Cloud Road Show”.

De acuerdo al director de soluciones empresariales y de Nube en Microsoft México, Adel Meza, “para 2018 se estima que el 90% de las empresas mexicanas utilicen la Nube y el 52% de estas organizaciones realizará inversiones serias, aprovechando el cómputo en la Nube para ser más ágiles, más eficientes y responder más rápidamente a las necesidades de los clientes”.

También aseguró que la pequeña y mediana empresa está invirtiendo en Cloud para satisfacer necesidades puntuales como facturación electrónica, soluciones que le permiten hacer control de inventarios, catálogos y comercio electrónico. Destacó que hasta hace algunos meses un gran porcentaje de la PyME no estaba tecnificada, pero ahora, con la posibilidad de pagar por lo que consume, implementar soluciones rápidamente y no requerir de especialistas en dicha tecnología como parte de la organización, la Nube está siendo adoptada más rápidamente. “La PyME no compra infraestructura, sino soluciones listas y llave en mano para satisfacer las necesidades de su negocio”.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar específicamente a su empresa acerca de las soluciones y servicios de Cómputo en la Nube disponibles, así como los casos de éxito de nuestros clientes.

Fin de actualizaciones para Windows 8 y XP Embedded

2016-05-17T12:52:18+02:00mayo 17, 2016|Seguridad|

El 12 de enero de 2016, Microsoft distribuirá la última actualización de seguridad para Windows 8 y Windows XP Embedded. La distribución mensual de actualizaciones de seguridad incluirá por última vez estas versiones de Windows. Por este motivo será imprescindible actualizar a Windows 8.1 o Windows 10.

La razón de que algunos sistemas no cuenten con la actualización 8.1 es que los  usuarios así lo desean; Microsoft ha recordado durante un tiempo a los usuarios de Windows 8 la importancia de actualizar a Windows 8.1. La actualización debe realizarse mediante Windows Store, en lugar del procedimiento habitual, mediante Windows Update. La actualización a Windows 8.1 es una condición para la eventual actualización a Windows 10.

Windows XP Embedded, que es una versión de Windows XP diseñada para sistemas integrados, ha tenido gran popularidad en diversas industrias y continúa siendo utilizada en todo tipo de máquinas, incluyendo cajeros automáticos, surtidores de combustible, tableros de información y puntos de venta. Sin embargo, un gran número de máquinas han sido diseñadas con una prolongada vida útil, y la sustitución del sistema operativo es mucho más costosa que para el caso de un PC. Por esta razón es que aún hay numerosos sistemas operados con Windows XP Embedded. Microsoft suspendió todo tipo de soporte para las versiones corrientes de Windows XP en abril de 2014.

Otro producto afectado es el navegador web, donde Internet Explorer 11, será la única versión para la que se ofrecerá soporte a partir del 12 de enero de 2016. Microsoft anuncia que su equipo de ingenieros trabaja intensamente con el fin de que el mayor número de aplicaciones puedan ser ejecutadas en IE 11. La empresa se refiere específicamente a Enterprise Mode, que es un conjunto de funcionalidades y características disponibles para los usuarios corporativos de IE11. Enterprise Mode habilita al navegador a emular la forma en que versiones más antiguas del software presentan las páginas web, permitiendo así que aplicaciones empresariales heredadas, basadas en el navegador, puedan seguir siendo ejecutadas sin modificaciones.

Ir a Arriba