Hace unas semanas nos hacíamos eco de la salida de Microsoft Safety Scanner (MSS), un antimalware de Microsoft para ejecución bajo demanda. Y hace un par de días Microsoft ha dado a conocer, a través de su blog del Centro de Protección contra Malware, las primeras estadísticas relacionadas con esta herramienta, junto a novedades de la herramienta en si, como el soporte para 64 bits y la instalación en equipos que no tengan conectividad de red. Dentro la información que aparece en esas estadísticas, es importante analizar dos puntos:

• La gran aceptación por parte de los usuarios, ya que durante la primera semana se llegaron a contabilizar alrededor de 420.000 descargas, unas 60000 diarias.

• La cantidad de detecciones de malware realizadas, hasta 20000, y eso sin contar aquellos usuarios que decidiesen no enviar ningún tipo de información.

Además, desde Microsoft, con toda la información recopilada sobre las diferentes infecciones encontradas, han pasado a realizar una clasificación con las principales amenazas encontradas. Y es curioso revisar que entre las 10 primeras, 7 de ellas están relacionadas con vulnerabilidades Java que aparecen en expedientes como CVE-2008-5353, CVE-2010-0094, CVE-2010-0840 y CVE-2009-3867.


Figura 1: Principales amenazas detectadas

Esto corrobora lo mostrado por Microsoft en el Microsoft Security Intelligence Report 10 (SIR10), donde se indicaba que la plataforma con mayor número de exploits detectados durante el año 2010 por las herramientas antimalware de la empresa de Redmond había sido Java.


Figura 2: Numero de exploits por plataforma

También se indica en el análisis que la descarga de MSS se produce una vez que el equipo ya ha sido víctima de la vulnerabilidad, y que a partir de ese exploit, el equipo es infectado con otras amenazas. Con lo cual, se recomienda instalar todas las actualizaciones de seguridad e instalar algún software antimalware de Microsoft, como Microsoft Security Esssentials. Es posible descargar MSS desde la siguiente URL: Descargar Microsoft Security Scanner.
 

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Como se ha podido comprobar en la entrada anterior, el motor NIS ha detectado el ataque, pero sólo lo ha monitorizado. Una vez que se tenga total certeza de que las posibles consultas a un sitio Web específico están controladas y no suponen en ningún caso algún caso de una alerta de falso positivo por parte de la comprobación de MS Forefront Threat Management Gateway TMG 2010, entonces se puede poner en producción la protección contra ataques XSS habilitando la firma, pero, esta vez, para que bloquee todo tráfico malicioso o que sea una consulta “extraña”.

Una vez habilitada la firma para que deniegue el acceso a posibles ataques de XSS, podremos ver en el registro del Log lo siguiente:


Figura 19: Conexión denegada por ataque XSS

Incluso si construimos una consulta, un poco más difícil de detectar, por ejemplo utilizando la función escape de javascript, el motor de NIS lo detecta y MS Forefront TMG 2010 marca en el registro del Log lo siguiente:


Figura 20: Caracteres escapados XSS

Y por supuesto, en el monitor de alertas de Forefront TMG 2010, se encuentra la información sobre el bloqueo de la consulta y la firma que se ha visto implicada en la detección del ataque:


Figura 21: Bloqueo XSS en las alertas de Forefront TMG 2010

Como se ha podido ver a lo largo de esta serie, la activacion del motor NIS de Forefront TMG 2010 puede suponer una poderosa herramienta de defensa para las aplicaciones corporativas publicadas en Internet. Por supuesto, lo recomendable es que las aplicaciones pasen duros procesos de auditoría por parte de especialistas en seguridad, pero, aún así, utilizar una protección NIS ayudará a mejorar la seguridad de la infraestructura.

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En estas últimas entregas dedicadas al motor de NIS (Network Inspection System), vamos a evaluar la firma que tiene Forefront TMG 2010 para detectar ataques de tipo XSS (Cross Site Scripting) a servidores que estén protegidos con NIS. Para ello, Forefront TMG 2010 cuenta con una firma específica, la cual se va actualizando cada cierto tiempo, ya que este tipo de ataque es común que se manifieste de muchas maneras.

En el caso de la firma protagonista de este artículo, por defecto viene deshabilitada. Si en algún momento deseamos testear alguna de las aplicaciones Web que tengamos en la organización contra este tipo de ataques, Forefront TMG 2010, y su motor NIS, es una buena solución, ya que se puede modificar el comportamiento a la hora de detectar amenazas. En una primera instancia configuraremos NIS para que sólo detecte este tipo de amenazas. Esta configuración puede ser útil a la hora de detectar falsos positivos en las querys que hayan definido los desarrolladores Web.


Figura 15: XSS en aplicación de pruebas

Para modificar el comportamiento de la detección, tendremos que hacerlo desde la propia firma en sí. Para ello, bastará con dar doble clic sobre la firma, y realizar los cambios oportunos, tal y como se muestra en la siguiente imagen.


Figura 16: SÓLO detección de XSS

Una vez que se ha modificado la firma en la función de sólo detección, es hora de atacar nuestro sitio a conciencia, y ver cómo se comporta Forefront TMG 2010 y su motor NIS. Para ello, se inserta una URL construida de forma maliciosa, y examinamos los paquetes enviados y recibidos.


Figura 17: Conexión permitida XSS

Como se puede comprobar en la siguiente imagen, Forefornt TMG 2010 ha dejado pasar la conexión, incluso cuando la URL es maliciosa, pero no hay que olvidar que hemos configurado la firma para que sólo detecte. A la hora de mirar las alertas en NIS, nos podemos encontrar con lo siguiente:


Figura 18: Detección de XSS

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta cuarta entrega dedicada al motor de NIS (Network Inspection System), nos vamos a centrar en la posibilidad de que un usuario intente explotar algún tipo de vulnerabilidad en alguno de nuestros sistemas de la Red Interna. Para proteger la Red, Forefront TMG 2010 tiene, dentro de las características del sistema NIS, un motor por el cual inspecciona el tráfico de red. Este motor, lleva incluido una serie de definiciones con los exploits y malware más comunes y que más impacto pueden llegar a tener en una Red.

Para que el motor NIS haga uso de estas firmas, a la hora de inspeccionar tramas de red, éstas deben estar habilitadas. Si una firma se encuentra activa se puede configurar para bloquear la petición, o solo para detecctar el ataque. En función de una configuración u otra, Forefront TMG 2010 actuará en modo bloqueante o en modo de alerta.

Figura 11: Firma para Vulnerabilidad

A la hora de inspeccionar una trama que pueda hacer uso de esta vulnerabilidad, Forefont TMG 2010 primero deberá evaluar si el tráfico se encuentra permitido dentro de las directivas de Firewall. Si el tráfico se encuentra permitido, Forefront TMG 2010 dejará pasar las tramas, tal y como se muestra en la figura siguiente:


Figura 12: Tráfico permitido por Forefront TMG 2010

Una vez que Forefront TMG 2010 deja pasar el tráfico que coincide con una regla específica, le toca el turno al motor de NIS. Siempre que este motor se encuentre activado, junto con la inspección de Malware, Forefront TMG 2010 evaluará cada trama que pase mediante el sistema NIS, con la base de datos interna sobre Malware y Exploits. Si al evaluar la regla, ésta da positivo y se encuentra dentro del nivel específico de alerta, el motor de NIS mandará a Forefront TMG 2010 una señal de bloqueo de trama, tal y como se muestra en la siguiente imagen:

Figura 13: Tráfico bloqueado por el sistema NIS

En tiempo real, el motor de NIS escribe una alerta indicando que una trama ha coincidido con un patrón específico. Junto con la alerta, el motor de NIS indicará también la definición causante del bloqueo de tráfico, tal y como se muestra a continuación.


Figura 14: Alerta en Forefront TMG 2010 sobre bloqueo de tráfico

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Security By Default es un blog de reconocido prestigio dentro del mundo de la seguridad informática. De hecho, no es casualidad que fuera galardonado con el premio Bitacoras al mejor blog de seguridad, después de haber encabezado todas las clasificaciones parciales que, no hay que olvidar, fueron hechas con los votos de los lectores de Internet. Ayer hicieron una revisión de Microsoft Security Essentials v2.0, el cuál puedes descargar gratuitamente y ver como se instala desde la siguiente URL: Descargar Microsoft Security Essentials 2.0, y queremos publicarla hoy aquí, tal y como ellos la plasmaron:

Microsoft Security Essentials, impresiona
Autor: Yago Jesús

Desde hace algún tiempo se lleva escuchando el run-run del nuevo antivirus de Microsoft, lo cierto es que la mayoría de cosas que he leído sobre el tema son acerca de si es moralmente reprobable que Microsoft sea a la vez, plataforma y solución o últimamente, sobre si es correcto que saque 'el rodillo' regalando y 'ofreciendo' el producto.

Dejando a un lado todo eso, le he dado una oportunidad para ver in situ de lo que es capaz y evaluarlo pura y llanamente como lo que es: Un antivirus.

De entrada, instalarlo es sumamente fácil, no tiene 'opciones Ninja' ocultas que puedan generar desconcierto.



Una vez instalado, el rendimiento es bastante bueno, a mi particularmente me resulta imprescindible que un Antivirus no sea un 'traga-recursos' ya que uno de los hábitats mas frecuentes suele ser Vmware. Doy FE que MSE funciona con bastante soltura y sin crear cuellos de botella.

La interface de administración sigue el concepto de la instalación: 'Nada de cosas complejas' y resulta bastante intuitiva para cualquier perfil de usuario


Una de las opciones que mas me ha gustado es la posibilidad de programar las revisiones globales del sistema indicando cuanta CPU se le va a asignar.


La gente de Microsoft ha cuidado los detalles estéticos pero ... ¿Que hay de la efectividad? no olvidemos que las diferencias se marcan 'parando' ataques. Voy a tomar como ejemplo el último 0day para Internet Explorer del que no existe parche todavía. Permite ejecutar código en el sistema con tan solo visitar una web. La anterior solución AV que tenía instalada lo veía pasar sin decir nada. ¿Que hará MSE?


Detecta perfectamente el ataque vía metasploit y lo detiene


Bravo por MSE ! Este tipo de cosas son las que espero de un Antivirus, proactividad y defensa real. Sin duda MSE es una magnífica solución y además gratuita. +1 para Microsoft