A veces ocurre que no se sabe si el producto antimalware que se ha instalado en un equipo posee las últimas definiciones desplegadas por el fabricante. O, en otro caso, es necesario conocer los cambios que introducido en esa última definición, como, por ejemplo, el nuevo malware detectado y su nivel de peligrosidad.

Para todas estas acciones, y algunas más, Microsoft posee el Centro de Protección contra Malware. Desde esta página es posible ver cual es la última versión de las definiciones antimalware enviada a los clientes, tanto para todos los productos de la familia Forefront, para Microsoft Security Essentials, Windows Intune o Windows Defender, de modo que es posible revisar si es la que se posee instalada.


Figura 1: Información sobre versión de definiciones

Ya con esa información es posible realizar una comparativa para revisar los cambios que se han llevado a cabo respecto a la versión anterior de definiciones. Para ello, únicamente es necesario hacer clic sobre el log de cambios de las definiciones antimalware o sobre el log de cambios de las definiciones Antispyware, donde se mostraran los cambios acaecidos.

A su vez, Microsoft da la opción de poder realizar la descarga manual de esas definiciones para realizar una implementación en aquellos equipos los cuales no poseen salida a internet para poder actualizarse.


Figura 2: Descarga manual de definiciones

Tal y como se puede apreciar, aparece la descarga tanto para 32 como 64 bits, y, en el caso de Microsoft Forefront, incluso para Network Inspector System NIS. Una vez se tenga decidido cuál es la descarga a realizar, únicamente es necesario cliquear sobre el enlace correspondiente, descargar y proceder a ejecutar el archivo.

Finalizada la instalacion, el equipo poseerá las últimas definiciones instaladas. Con lo cual, ante cualquier duda respecto a las definiciones que posea el equipo, o ante la necesidad de descargar de forma manual la última actualización, lo mejor es acceder al Centro de Protección contra Malware de Microsoft.
 

El equipo de seguridad de GFI ha publicado en su blog las capturas de un ransomware descubierto que simula la pantalla de activación de Windows. La estafa con este tipo de software es muy sencilla y retorcida. Una vez que la víctima es infectada, el usuario no podrá acceder a ninguno de sus archivos hasta que no llame para activar su copia de Windows. Por supuesto, la llamada telefónica, a pesar de que diga que es gratuita, tiene un coste altísimo para el usuario, que será la forma en la que la mafia robe el dinero.

Imagen: Malware que simula ser la pantalla de activación de Windows

Lo curioso es que cuando se llama, estas empresas tienen Call Centers preparados para atender a los usuarios, que intentan alargar la llamada lo más posible. En SpamLoco.NET también han hablado de este tipo de software con anterioridad, explicando muy bien la estafa. En cualquier caso, se recomienda tener los equipos con los antivirus actualizados y evitar ser confiados en las descargas por Internet.

Os recordamos que la gente de GFI en España dará una conferencia gratuita el próximos día 24 de Marzo en Madrid
 

En estos días se ha producido una actualización del motor de análisis de software malicioso en ciertos productos antimalware de Microsoft. Pero ésta no es una mera actualización, sino que también corrige una vulnerabilidad reportada por el investigador argentino Cesar Cerrudo, la cual podría permitir una elevación de privilegios en ciertos escenarios y ciertos productos, como por ejemplo, Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Esta vulnerabilidad, categorizada por Microsoft como importante: KB2491888 y archivada en el número de expediente CVE-2011-0037, permitiría esa elevación de privilegios si se ejecuta un análisis del sistema después de que el atacante, el cual posee credenciales válidas para iniciar sesión, haya creado una clave de registro expresamente diseñada para explotar este bug. En el caso de que el ataque fuese exitoso, el atacante podría obtener los mismos derechos que la cuenta de Local System y ejecutar código en ese contexto de seguridad, como por ejemplo, crear usuarios, instalar programas, etc…. Hay que tener muy en cuenta que esta vulnerabilidad no puede ser explotada por usuarios anónimos.

Microsoft indica que no se requiere ninguna acción especial para mitigar esta vulnerabilidad, únicamente que se tengan actualizadas las ultimas definiciones antimalware. Para ello, las indicaciones para los administradores de empresa es que deben de revisar que el software de administración de actualizaciones que se utilice está configurado para aprobar y distribuir las actualizaciones del motor de forma automática. Para los usuarios finales, es el propio software afectado el que detectará y descargará esta actualización.

Para comprobar si estamos afectados por esta vulnerabilidad y pasar a actualizar nuestro producto, ya sea a través de Microsoft Update o a través de la descarga manual de las últimas definiciones, hay que abrir el cliente que se tenga instalado de alguno de los programas afectados, hacer clic en el cursor que se encuentra a la derecha de la opción Ayuda para desplegar las diferentes opciones, y seleccionar la opción Acerca de…, tal y como se muestra en la imagen inferior.


Imagen 1: Revisión de la versión de motor

Al hacer clic, aparecerá una ventana en la que se informará de las diferentes versiones de los componentes de la solución antimalware instalados en el sistema. En el caso de la vulnerabilidad que se trata en este artículo, es necesario revisar la versión del motor instalada.


Imagen 2: Versión del motor

Si se tiene la versión 1.1.6502.0 o inferior, ese cliente está afectado por la vulnerabilidad, con lo que se recomienda la actualización del motor lo antes posible. En el caso de tener la versión 1.1.6603.0, eso indica que no hay riesgos de que la vulnerabilidad pueda ser explotada ya que esa es la versión desplegada por Microsoft para solucionar el problema. Con lo cual, revisad la versión de vuestro motor antimalware lo antes posible para comprobar que no vais a tener problemas con este bug.
 

El equipo de Microsoft Forefront Endpoint Security ha puesto en circulación, el pasado 8 de Marzo, una nueva actualización del motor de Forefront Client Security, actualizándolo a la versión 1.0.1736.0. Esta nueva compilación corrige 3 problemas nuevos detectados e implementa todos los hotfixes desplegados anteriormente.



Para instalar esta revisión basta con aplicar las actualizaciones que se han desplegado en el último Patch Tuesday a través de Microsoft Update Services, la información de esta actualización está en el siguiente artículo de la Knowledge Base: KB 2508823. Además, si se desea aplicar esta versión en una máquina que no tiene instalada ninguna versión anterior, los componentes a desplegar están listados en el artículo de la Knowledge Base KB 2508824.

Sin embargo, como recoge el equipo de producto en su blog, se han detectado ciertos problemas en el despliegue de esta actualización de Marzo, así que antes de desplegarlo en el entorno de producción se recomienda probarlo en un entorno de Pre-Producción o Pruebas para comprobar que no hay ninguna problema y bloquearlo en el el sistema de despliegue de actualizaciones momentáneamente hasta tener más información.
 

El día 23 de Febrero, como estaba previsto, se puso a disposición general del público el Service Pack 1 de Windows 7 y Windows Server 2008 R2. Ahora, para muchos administradores de empresas toca la labor de implementarlo en las organizaciones sin que afecte a las aplicaciones corporativas. Para ayudar en el despliegue, el portal de Springboard ha puesto las guías de implementación de Windows 7 Service Pack 1.


Figura 1: Procceso de instalación de Windows 7 Service Pack 1

Windows 7 Service Pack 1 y las soluciones antimalware

En el caso de las soluciones antimalware de Microsoft, tanto MS Forefront Endpoint Protection FEP 2010 como Windows Security Essentials 2.0 funcionan perfectamente y sin necesidad de ningún cambio como Windows 7 SP1. En le caso de las soluciones anteriores, es necesario que se hayan desplegado con anterioridad dos actualizaciones del producto que se publicaron.

En el caso de Forefront Client Security funcionará con cualquier versión que haya instalado la actualización KB2394433 del 12 de Octubre de 2010 o cualquiera posterior del mismo, mientras que para Windows Security Essentials 1.0, con que tenga la actualización KB2254596 del 29 de Junio de 2010 o posterior, el despliegue de Windows 7 Service Pack 1 no dará ninguna incidencia, tal y como recuerda el equipo de Forefront Endpoint Security.