En ciertos entornos es posible encontrarse con una problemática derivada de una mala configuración de seguridad al permitir que los usuarios de los equipos sean también administradores locales, y esto puede conllevar que estos usuarios puedan realizar cualquier tipo de tarea administrativa sobre su equipo. Para proteger al cliente de FEP 2010 ante acciones no deseadas por parte del usuario, desde la consola de System Center Configuration Manager SCCM 2007 es posible controlar su estado.

De este modo, es posible monitorizar si el usuario, aprovechándose de que FEP 2010 no tiene Tamper Protection, detenga el servicio. Ante esto existe un par de soluciones:

• Control del servicio de Microsoft Antimalware mediante políticas de grupo de forma que ese servicio se ejecute en modo automático y siempre se inicie de nuevo que se aplique la política.
• La segunda opción es utilizando los anuncios de SCCM 2007.Esta segunda es la opción más factible, aunque para ello haya que utilizar Scripts WMI para ejecutar de nuevo el servicio.

Para ello, la primera acción a llevar a cabo seria generar un paquete el cual contiene la información de la ubicación del script, la prioridad y los permisos.


Figura 1: Creación del paquete.

Tras la creación del paquete, se procede a asignarle a dicho paquete un nuevo programa, en este caso en forma de script. Ese script lo que hará es cambiar el estado del servicio MsMpSvc a modo automático, de modo que aunque el usuario realice un cambio en el servicio, siempre volverá a su estado original. Un ejemplo de ese script seria el siguiente:

strComputer = "."
Set objWMIService = GetObject("winmgmts:\" & strComputer & "rootcimv2")
Set colServiceList = objWMIService.ExecQuery _
("Select * from Win32_Service where Name = ‘MsMpSvc’")
For Each objService in colServiceList
objService.ChangeStartMode("Automatic")
Wscript.Sleep 5000
errReturnCode = objService.StartService()
Next


Figura 2: Creación de programa.

Tras haber agregado el programa al paquete, el último paso es generar el anuncio para este programa y asignarlo a la colección creada específicamente para este hecho, que es la colección denominada Protection Service Off .


Figura 3: Protección del servicio.

Así, tras la creación del anuncio, cada vez que aparezca un equipo en esa colección, se le aplicara el paquete creado anteriormente de modo que se volverá a activar el servicio.

En estos días se ha producido una actualización del motor de análisis de software malicioso en ciertos productos antimalware de Microsoft. Pero ésta no es una mera actualización, sino que también corrige una vulnerabilidad reportada por el investigador argentino Cesar Cerrudo, la cual podría permitir una elevación de privilegios en ciertos escenarios y ciertos productos, como por ejemplo, Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Esta vulnerabilidad, categorizada por Microsoft como importante: KB2491888 y archivada en el número de expediente CVE-2011-0037, permitiría esa elevación de privilegios si se ejecuta un análisis del sistema después de que el atacante, el cual posee credenciales válidas para iniciar sesión, haya creado una clave de registro expresamente diseñada para explotar este bug. En el caso de que el ataque fuese exitoso, el atacante podría obtener los mismos derechos que la cuenta de Local System y ejecutar código en ese contexto de seguridad, como por ejemplo, crear usuarios, instalar programas, etc…. Hay que tener muy en cuenta que esta vulnerabilidad no puede ser explotada por usuarios anónimos.

Microsoft indica que no se requiere ninguna acción especial para mitigar esta vulnerabilidad, únicamente que se tengan actualizadas las ultimas definiciones antimalware. Para ello, las indicaciones para los administradores de empresa es que deben de revisar que el software de administración de actualizaciones que se utilice está configurado para aprobar y distribuir las actualizaciones del motor de forma automática. Para los usuarios finales, es el propio software afectado el que detectará y descargará esta actualización.

Para comprobar si estamos afectados por esta vulnerabilidad y pasar a actualizar nuestro producto, ya sea a través de Microsoft Update o a través de la descarga manual de las últimas definiciones, hay que abrir el cliente que se tenga instalado de alguno de los programas afectados, hacer clic en el cursor que se encuentra a la derecha de la opción Ayuda para desplegar las diferentes opciones, y seleccionar la opción Acerca de…, tal y como se muestra en la imagen inferior.


Imagen 1: Revisión de la versión de motor

Al hacer clic, aparecerá una ventana en la que se informará de las diferentes versiones de los componentes de la solución antimalware instalados en el sistema. En el caso de la vulnerabilidad que se trata en este artículo, es necesario revisar la versión del motor instalada.


Imagen 2: Versión del motor

Si se tiene la versión 1.1.6502.0 o inferior, ese cliente está afectado por la vulnerabilidad, con lo que se recomienda la actualización del motor lo antes posible. En el caso de tener la versión 1.1.6603.0, eso indica que no hay riesgos de que la vulnerabilidad pueda ser explotada ya que esa es la versión desplegada por Microsoft para solucionar el problema. Con lo cual, revisad la versión de vuestro motor antimalware lo antes posible para comprobar que no vais a tener problemas con este bug.
 

En Seguros con Forefront llevamos ya hablando desde hace tiempo de Forefront Endpoint Protection 2010 para lo que hemos ido trabajando con las diferentes versiones que han estado disponibles del producto. Ahora, el equipo del producto ha anunciado que ya está lista la versión RTM (Release To Manufacturing) de MS Forefront Endpoint Protection 2010, a la que se puede acceder a través de los contratos de volumen.

En Seguros con Forefront hemos creado una página de recursos para Forefront Endpoint Protection 2010, donde están disponibles todos los artículos que se han generado, y que se generarán, y los enlaces a las herramientas que se pueden descargar.

Para el que quiera probar la nueva versión del producto está disponible una versión de evaluación de Microsoft Forefront Endpoint Protection 2010 junto con el Security Management Pack para administrar y monitorizar los equipos con System Center Operations Manager. Puedes acceder a las herramientas desde las siguientes URLS:

- Descargar MS Forefront Endpoint Protection 2010 evalución
- Descargar MS Forefront Endpoint Protection 2010 Security Management Pack
 

============================================================================
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (1 de 2)
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (2 de 2)
============================================================================

Este proceso inicia un asistente que permitirá realizar la acción de asignación. Tras determinar la plantilla a asignar, se deberá decidir a qué colección de máquinas se realizará la asignación. En caso de que esta línea base desee asignarse a diferentes colecciones, deberá iniciarse el asistente tantas veces como sea necesario.


Figura 4: Definiendo la colección

El siguiente paso consiste en programar cada cuento tiempo se produce el análisis por parte del agente correspondiente. Independientemente del valor predeterminado del agente, se puede establecer una programación concreta por cada asignación. De esta forma, sistemas más críticos pueden reportar su estado con más asiduidad que aquellos menos importantes.


Figura 5: Programación del análisis de cumplimiento en el cliente

Tras informar del proceso que va a ser llevado se inicia el proceso de asignación a todos los miembros de la colección. La información sobre las asignaciones realizadas para cada plantilla puede verse desde la propia consola. La siguiente figura muestra el resultado de la operación que se ha realizado previamente.


Figura 6: Asignaciones realizadas

============================================================================
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (1 de 2)
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (2 de 2)
============================================================================

============================================================================
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (1 de 2)
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (2 de 2)
============================================================================

Una de las formas de conocer el estado de la seguridad y de los ataques que los clientes de MS Forefront Endpoint Protection 2010 han sufrido por malware, es a través de la gestión de configuración deseada (DCM). Microsoft ha definido unas plantillas base para poder analizar el estado de los equipos en base a diferentes parámetros. A pesare de que estas plantillas han sido generadas, de forma predeterminada no se encuentran asignadas a ningún equipo.

Para que estás configuraciones puedan ser recogidas y reportadas por un cliente, se requiere que previamente se asignen desde la consola. Hay diferentes plantillas y en función del tipo de equipo deberá ser asignada una u otra. En la siguiente imagen se muestran las diferentes plantillas existentes. Por ejemplo desde el punto de vista seguridad la “Baseline High-Security” debería desplegarse a los equipos cuya criticidad sea significativa para la organización.


Figura 1: Plantillas de configuración deseada

Las plantillas de monitorización, presentan información más genérica y deberán ser asignadas seguramente para todos los equipos clientes de la organización. Estas plantillas de una u otra forma constituyen la representación de la información que era reportada a través de la consola de MS Forefront Client Security: estado de las definiciones, del agente y los reportes de actividad antimalware. El análisis a efectuar por el agente no afecta significativamente al rendimiento general del sistema, ya que son consultas simples y rápidas. No obstante a mayor carga de operaciones en el cliente, mayor será el efecto sobre el rendimiento general.

La siguiente imagen muestra las condiciones de reglas que determinarán el estado de un equipo con respecto a periodo de desactualización de un cliente de MS Forefront Endpoint Protection 2010.


Figura 2: Regla de estado de actualización de las definiciones

La asignación de una plantilla se realiza por colección, por lo que previamente se deberá haber creado una colección en la que sus miembros cumplan determinados parámetros para la pertenencia al mismo. Por ejemplo estar dentro de una unidad organizativa o tener determinados servicios configurados.

El proceso de asignación se realiza desde la consola, mediante la selección de la línea base de configuración requerida:


Figura 3: Asignación a una colección

============================================================================
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (1 de 2)
- Forefront Endpoint Protection 2010: Establecer una configuración deseada (2 de 2)
============================================================================