En estos días se ha producido una actualización del motor de análisis de software malicioso en ciertos productos antimalware de Microsoft. Pero ésta no es una mera actualización, sino que también corrige una vulnerabilidad reportada por el investigador argentino Cesar Cerrudo, la cual podría permitir una elevación de privilegios en ciertos escenarios y ciertos productos, como por ejemplo, Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Esta vulnerabilidad, categorizada por Microsoft como importante: KB2491888 y archivada en el número de expediente CVE-2011-0037, permitiría esa elevación de privilegios si se ejecuta un análisis del sistema después de que el atacante, el cual posee credenciales válidas para iniciar sesión, haya creado una clave de registro expresamente diseñada para explotar este bug. En el caso de que el ataque fuese exitoso, el atacante podría obtener los mismos derechos que la cuenta de Local System y ejecutar código en ese contexto de seguridad, como por ejemplo, crear usuarios, instalar programas, etc…. Hay que tener muy en cuenta que esta vulnerabilidad no puede ser explotada por usuarios anónimos.

Microsoft indica que no se requiere ninguna acción especial para mitigar esta vulnerabilidad, únicamente que se tengan actualizadas las ultimas definiciones antimalware. Para ello, las indicaciones para los administradores de empresa es que deben de revisar que el software de administración de actualizaciones que se utilice está configurado para aprobar y distribuir las actualizaciones del motor de forma automática. Para los usuarios finales, es el propio software afectado el que detectará y descargará esta actualización.

Para comprobar si estamos afectados por esta vulnerabilidad y pasar a actualizar nuestro producto, ya sea a través de Microsoft Update o a través de la descarga manual de las últimas definiciones, hay que abrir el cliente que se tenga instalado de alguno de los programas afectados, hacer clic en el cursor que se encuentra a la derecha de la opción Ayuda para desplegar las diferentes opciones, y seleccionar la opción Acerca de…, tal y como se muestra en la imagen inferior.


Imagen 1: Revisión de la versión de motor

Al hacer clic, aparecerá una ventana en la que se informará de las diferentes versiones de los componentes de la solución antimalware instalados en el sistema. En el caso de la vulnerabilidad que se trata en este artículo, es necesario revisar la versión del motor instalada.


Imagen 2: Versión del motor

Si se tiene la versión 1.1.6502.0 o inferior, ese cliente está afectado por la vulnerabilidad, con lo que se recomienda la actualización del motor lo antes posible. En el caso de tener la versión 1.1.6603.0, eso indica que no hay riesgos de que la vulnerabilidad pueda ser explotada ya que esa es la versión desplegada por Microsoft para solucionar el problema. Con lo cual, revisad la versión de vuestro motor antimalware lo antes posible para comprobar que no vais a tener problemas con este bug.
 

El equipo de Microsoft Forefront Endpoint Security ha puesto en circulación, el pasado 8 de Marzo, una nueva actualización del motor de Forefront Client Security, actualizándolo a la versión 1.0.1736.0. Esta nueva compilación corrige 3 problemas nuevos detectados e implementa todos los hotfixes desplegados anteriormente.



Para instalar esta revisión basta con aplicar las actualizaciones que se han desplegado en el último Patch Tuesday a través de Microsoft Update Services, la información de esta actualización está en el siguiente artículo de la Knowledge Base: KB 2508823. Además, si se desea aplicar esta versión en una máquina que no tiene instalada ninguna versión anterior, los componentes a desplegar están listados en el artículo de la Knowledge Base KB 2508824.

Sin embargo, como recoge el equipo de producto en su blog, se han detectado ciertos problemas en el despliegue de esta actualización de Marzo, así que antes de desplegarlo en el entorno de producción se recomienda probarlo en un entorno de Pre-Producción o Pruebas para comprobar que no hay ninguna problema y bloquearlo en el el sistema de despliegue de actualizaciones momentáneamente hasta tener más información.
 

El día 23 de Febrero, como estaba previsto, se puso a disposición general del público el Service Pack 1 de Windows 7 y Windows Server 2008 R2. Ahora, para muchos administradores de empresas toca la labor de implementarlo en las organizaciones sin que afecte a las aplicaciones corporativas. Para ayudar en el despliegue, el portal de Springboard ha puesto las guías de implementación de Windows 7 Service Pack 1.


Figura 1: Procceso de instalación de Windows 7 Service Pack 1

Windows 7 Service Pack 1 y las soluciones antimalware

En el caso de las soluciones antimalware de Microsoft, tanto MS Forefront Endpoint Protection FEP 2010 como Windows Security Essentials 2.0 funcionan perfectamente y sin necesidad de ningún cambio como Windows 7 SP1. En le caso de las soluciones anteriores, es necesario que se hayan desplegado con anterioridad dos actualizaciones del producto que se publicaron.

En el caso de Forefront Client Security funcionará con cualquier versión que haya instalado la actualización KB2394433 del 12 de Octubre de 2010 o cualquiera posterior del mismo, mientras que para Windows Security Essentials 1.0, con que tenga la actualización KB2254596 del 29 de Junio de 2010 o posterior, el despliegue de Windows 7 Service Pack 1 no dará ninguna incidencia, tal y como recuerda el equipo de Forefront Endpoint Security.
 

Desde hace más o menos un mes, en Seguros con Forefront hemos empezado a construir las páginas de recursos para todos los productos de la familia Forefront. Estas páginas recogen, en diferentes secciones, las descargas a los productos y las herramientas relacionadas de las que se ha ido hablando en diferentes artículos, la lista completa de artículos publicados en Seguros con Forefront referente a cada producto, los blogs, los vídeos y los foros de debate.

Estas páginas de recursos no se actualizan vía RSS y la única forma de acceder a sus contenidos es mediante los siguientes links dentro de este sitio:

- Página de recursos de Microsoft Forefront Threat Management Gateway TMG 2010
- Página de recursos de Microsoft Forefront Unified Access Gateway UAG 2010
- Página de recursos de Microsoft Forefront Protection 2010 for SharePoint
- Página de recursos de Microsoft Forefront Protection 2010 for Exchange
- Página de recursos de Microsoft Forefront Client Security
- Página de recursos de Microsoft Forefront Identity Manager 2010

Aún no están creadas todas las páginas de recursos, que iremos completando a lo largo de este mes, para que también estén disponibles las páginas dedicadas a Forefront Endpoint Protection, Microsoft Security Essentials y Forefront for OCS.

 

Durante la gira Up To Secure 2010 se dio una conferencia de Microsoft Forefront Client Security en todas las ciudades de la gira. Este es el video de la misma impartido por Chema Alonso en la ciudad de Murcia.

903 Up To Secure 2010 from ts ds on Vimeo.

Todos los temas que se presentan en esta sesión están descritos ya en Seguros con Forefront y disponibles a través de la página de recursos dedicada a Forefront Client Security.