A veces ocurre que no se sabe si el producto antimalware que se ha instalado en un equipo posee las últimas definiciones desplegadas por el fabricante. O, en otro caso, es necesario conocer los cambios que introducido en esa última definición, como, por ejemplo, el nuevo malware detectado y su nivel de peligrosidad.

Para todas estas acciones, y algunas más, Microsoft posee el Centro de Protección contra Malware. Desde esta página es posible ver cual es la última versión de las definiciones antimalware enviada a los clientes, tanto para todos los productos de la familia Forefront, para Microsoft Security Essentials, Windows Intune o Windows Defender, de modo que es posible revisar si es la que se posee instalada.


Figura 1: Información sobre versión de definiciones

Ya con esa información es posible realizar una comparativa para revisar los cambios que se han llevado a cabo respecto a la versión anterior de definiciones. Para ello, únicamente es necesario hacer clic sobre el log de cambios de las definiciones antimalware o sobre el log de cambios de las definiciones Antispyware, donde se mostraran los cambios acaecidos.

A su vez, Microsoft da la opción de poder realizar la descarga manual de esas definiciones para realizar una implementación en aquellos equipos los cuales no poseen salida a internet para poder actualizarse.


Figura 2: Descarga manual de definiciones

Tal y como se puede apreciar, aparece la descarga tanto para 32 como 64 bits, y, en el caso de Microsoft Forefront, incluso para Network Inspector System NIS. Una vez se tenga decidido cuál es la descarga a realizar, únicamente es necesario cliquear sobre el enlace correspondiente, descargar y proceder a ejecutar el archivo.

Finalizada la instalacion, el equipo poseerá las últimas definiciones instaladas. Con lo cual, ante cualquier duda respecto a las definiciones que posea el equipo, o ante la necesidad de descargar de forma manual la última actualización, lo mejor es acceder al Centro de Protección contra Malware de Microsoft.
 

En estos días se ha producido una actualización del motor de análisis de software malicioso en ciertos productos antimalware de Microsoft. Pero ésta no es una mera actualización, sino que también corrige una vulnerabilidad reportada por el investigador argentino Cesar Cerrudo, la cual podría permitir una elevación de privilegios en ciertos escenarios y ciertos productos, como por ejemplo, Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Esta vulnerabilidad, categorizada por Microsoft como importante: KB2491888 y archivada en el número de expediente CVE-2011-0037, permitiría esa elevación de privilegios si se ejecuta un análisis del sistema después de que el atacante, el cual posee credenciales válidas para iniciar sesión, haya creado una clave de registro expresamente diseñada para explotar este bug. En el caso de que el ataque fuese exitoso, el atacante podría obtener los mismos derechos que la cuenta de Local System y ejecutar código en ese contexto de seguridad, como por ejemplo, crear usuarios, instalar programas, etc…. Hay que tener muy en cuenta que esta vulnerabilidad no puede ser explotada por usuarios anónimos.

Microsoft indica que no se requiere ninguna acción especial para mitigar esta vulnerabilidad, únicamente que se tengan actualizadas las ultimas definiciones antimalware. Para ello, las indicaciones para los administradores de empresa es que deben de revisar que el software de administración de actualizaciones que se utilice está configurado para aprobar y distribuir las actualizaciones del motor de forma automática. Para los usuarios finales, es el propio software afectado el que detectará y descargará esta actualización.

Para comprobar si estamos afectados por esta vulnerabilidad y pasar a actualizar nuestro producto, ya sea a través de Microsoft Update o a través de la descarga manual de las últimas definiciones, hay que abrir el cliente que se tenga instalado de alguno de los programas afectados, hacer clic en el cursor que se encuentra a la derecha de la opción Ayuda para desplegar las diferentes opciones, y seleccionar la opción Acerca de…, tal y como se muestra en la imagen inferior.


Imagen 1: Revisión de la versión de motor

Al hacer clic, aparecerá una ventana en la que se informará de las diferentes versiones de los componentes de la solución antimalware instalados en el sistema. En el caso de la vulnerabilidad que se trata en este artículo, es necesario revisar la versión del motor instalada.


Imagen 2: Versión del motor

Si se tiene la versión 1.1.6502.0 o inferior, ese cliente está afectado por la vulnerabilidad, con lo que se recomienda la actualización del motor lo antes posible. En el caso de tener la versión 1.1.6603.0, eso indica que no hay riesgos de que la vulnerabilidad pueda ser explotada ya que esa es la versión desplegada por Microsoft para solucionar el problema. Con lo cual, revisad la versión de vuestro motor antimalware lo antes posible para comprobar que no vais a tener problemas con este bug.
 

Estamos de enhorabuena con las soluciones de seguridad de Microsoft y Forefront ya que los equipos de producto han acelerado los tiempos para poner a disposición de todos nuevas versiones de sus programas. Ésta es una buena medida ya que, en los periodos vacacionales, donde hay menor actividad por parte de los usuarios de una empresa, muchos administradores aprovechan para realizar migraciones o pruebas. El primero de los productos de los que vamos a hablar es de entorno doméstico y para pequeñas empresas de hasta 10 equipos y es Microsoft Security Essentials.

La versión final de Microsoft Security Essentials 2.0 está ya disponible para descarga desde la siguiente URL: Descargar Microsoft Security Essentials 2.0. Una vez se descarga el fichero de instalación, el proceso comprobará si ya está instalada o no la versión 1.0, por lo que si se diera la situación, como en el caso de este artículo, se lanzaría una actualización totalmente limpia del mismo:


Figura 1: Detección de versión Microsoft Security Essentials 1.0. Se lanza actualizacion

Una vez comienza el proceso, se deben decidir si se quiere partipar en los programas de experiencia de usuario. De ser así, Microsoft Security Essentials recogerá información de rendimiento del sistema para detectar cuellos de botella o fallas que puedan ser corregidas en futuras versiones. Además, una de las novedades de MSE 2.0 es un mayor control del firewall del sistema y como tal, pregunta si se desea activar el firewall en caso de no detectarse niguno en el sistema.


Figura 2: Experiencia de Usuario y Configuración del Firewall

Por último, como se puede ver, comenzará la copia de ficheros necesarios del producto. Una vez terminado este proceso se solicitará un reinicio del programa.


Figura 3: Copia de ficheros y reinicio final

Cuando se vuleva a arrancar el producto ya dispondremos de la versión 2.0 instalada. Como puede verse el interfaz es prácticamente el miso, salvo que se ha pasado de unos colores azules a unos colores grisaceos en esta versión.


Figura 4: Pantalla principal de MSE 2.0

Sin embargo, si vamos a la opción de acerca de Microsoft Security Essentials podremos comprobar que está la versión 2.0 del producto.


Figura 5: Microsoft Security Essentials 2.0

Desde Seguros con Forefront pondremos una versión actualizada del manual del producto, pero si conoces la versión anterior entonces no tendrás ningún problema con esta nueva.
 

A partir de este mes de Octubre, Microsoft Security Essentials, la solución antimalware gratuita de Microsoft para los equipos domésticos, va a poder usarse en entornos corporativos de hasta 10 equipos. Esta medida es una buena noticia para todas las pequeñas empresas que no necesitan de una solución centralizada administrada en la que sus usuarios tienen ciertos conocimientos de Informática.

La nueva solución empresarial, Microsoft Endpoint Protection 2010, que aún se encuentra en versión Beta, necesita de una cierta arquitectura de servidores, tal y como se ha visto en el artículo de instalación de Forefront Endpoint Protection 2010 (Beta) y para la distribución y gestión del cliente que hace inviable económicamente su implantación en empresas demasiado pequeñas.

El anuncio de la implantación gratuita para estas pequeñas empresas es una buena noticia en estos momentos de crisis, por lo que creemos que Microsoft ha acertado en este proceso de liberación.

El producto puede descargarse directamente desde la siguiente URL: Microsoft Security Essentials y puedes leer más sobre esta notica en el Microsoft Partnert SMB Community Blog.
 

Los Rogue AV son un malware muy singular. Sólo a una mente con un toque de ironía dramática se le pudo ocurrir la idea de introducir troyanos en los ordenadores de los usuarios simulando ser una solución antimalware gratuita. Desde hace tiempo vienen copiando nombres comerciales similares a los de las soluciones auténticas, como ya vimos aquí con el caso del Security Essentialas 2010, pero desde también se centran en la copia exacta de las ya existentes. Este es un ejemplo de una copia exacta de Microsoft Security Essentials.

Como se puede ver en la primera imagen, el sistema copia la pantalla de alerta de MS Security Essentials para avisar de una posible amenaza.


Figura 1: Detección de amenaza

Desgraciadamente, el sistema no tiene ninguna solución para esta amenaza y hay que recurrir al escaneo online con múltiples motores. Esta, por supuesto, no es una opción disponible en el autentico MS Security Essentials.


Figura 2: No hay solución, sólo queda buscar online

Tras aceptar el escaneo online se presenta una lista de motores disponibles que van a evaluar el malware para ver si tienen una solución al respecto. Algunos de esos motores son reales, otros también son falsos.


Figura 3: Motores a utilizar durante el escaneo online

Por supuesto, siempre hay una solución que se ofrece desde ellos, que terminará con un coste o una infección aún peor para los usuarios.


Figura 4: Ha habido "suerte", hay soluciones online

El mercado de los Rogue AV crece día a día, así que lo mejor es que te instales un AV de verdad desde el principio o que llames a profesionales que lo hagan por tí. Puedes descargar desde esta URL Microsoft Security Essentials y aprender a usaralo con el Manual de usuario de Microsoft Security Essentials.