ALERTAS DICIEMBRE DE 2006

Principales vulnerabilidades revisadas en Diciembre de 2006

03 de Enero de 2007

Riesgo: Medio

DESCRIPCION GENERAL

Durante el mes de diciembre el Equipos de Alertas de Seguridad de NeoSecure analizó 76 informes emitidos de vulnerabilidades y amenazas en Internet. Sin embargo, ninguna de ellas calificó para dar origen a una Alerta de Seguridad a nuestros clientes.

Para mantener a nuestros clientes informados, a continuación les indicamos un resumen de las tres vulnerabilidades mas importantes analizadas durante el mes: 

DESCRIPCION ALERTAS

(1) Vulnerabilidades en Trend Micro OfficeScan

======================================================================

El 04 de Diciembre de 2006, TrendMicro publicó, para su gama de productos OfficeScan (antivirus para empresas, orientados a los equipos de usuarios), y que permitían generar un desbordamiento de buffer en la aplicación, y de este modo, crear una denegación de servicio o posiblemente ejecutar código arbitrario con privilegios sobre el servicio TrendMicro.

No existen exploits disponibles para esta vulnerabilidad, que fue publicada por la propia casa de antivirus, junto con los parches.

(2) Exploits Zero Day para Microsoft Word

======================================================================

Durante Diciembre se han detectado dos ataques del tipo Zero Day que afectan al producto Microsoft Word. Ambas vulnerabilidades se aprovechan de problemas de la aplicación Word para manejar ciertas cadenas de texto en los documentos, que pueden causar desbordamientos de buffer al ser manipuladas. La apertura de estos archivos por parte de un usuario, permitirá al atacante ejecutar código arbitrario con los privilegios del usuario que abre el documento. En ambos casos se requiere la interacción del usuario.

La segunda de estas vulnerabilidades apareció públicamente el 11 de Diciembre, y estaba siendo aprovechada por atacantes en Internet. EL 19 de Diciembre se hizo público un exploit para aprovechar dicha vulnerabilidad. Hasta el momento no existen parches disponibles.

(3) Ejecución remota de código en servicio SNMP de Windows

======================================================================

En su boletín mensual, Microsoft incluyó una alerta para el servicio SNMP, el cual presenta una falla de seguridad que puede permitir a un atacante tomar el control del equipo, producto de una corrupción de memoria presente en la aplicación, y que puede ser explotado sin la necesidad de autenticación previa. La alerta fue publicada con el correativo MS06-074 el 12 de Diciembre de 2006, sin poseer exploits conocidos hasta el momento. El servicio no se encuentra habilitado por defecto.

IMPACTO

En todos los casos se ve afectada la integridad de los sistemas afectados.

 SISTEMAS AFECTADOS

(1) TrendMicro OfficeScan: Versiones desde la 3.0 hasta la 7.3, plataforma Windows y Novell

(2) Microsoft Word: Todas las versiones del producto, incluyendo Microsoft Word para MAC OS.

(3) Microsoft SNMP: Plataforma Microsoft Windows, todas las versiones excepto Microsoft Vista.

RECOMENDACIONES

  • Bloquear en el gateway de correo electrónico todos los archivos adjuntos externos de tipo word (.doc)
  • Bloquear en los gateway de navegación (proxyes) la apertura de documentos Word en Internet.
  • Mantener actualizado el motor de Antivirus y revisar si el fabricante puede identificar estos archivos maliciosos.
  • Aplicar los parches publicados por Microsoft el segundo martes de cada mes.
  • Aplicar los parches de TrendMicro publicados para la alerta reportada.
  • Habilitar SNMP sólo en los servidores que requieran dicho servicio.
  • Restringir los accesos desde Internet al servicio SNMP solamente para aquellos servidores que lo requieran, y restringido exclusivamente a direcciones autorizadas. Esta restricción de IP de origen debe aplicarse también en el servidor con SNMP (ver detalle de alerta de Microsoft)
  • Mantener una política de parchado de las aplicaciones más críticas, en particular de todas aquellas expuestas a Internet

No olvide que la aplicación de cada una de las recomendaciones entregadas debe pasar por un proceso de validación y prueba en ambiente de testing o certificación, antes de ser aplicadas en ambiente de producción.

MAYOR INFORMACIÓN

(1) TrendMicro:

http://uk.trendmicro-europe.com/enterprise/products/groups.php?prodgroup=3&family=5

Los parches se pueden descargar desde:

http://www.trendmicro.com/ftp/products/patches/OSCE_6.5_win_en_patch8.exe

http://www.trendmicro.com/ftp/products/patches/osce_73_win_en_patch1.1.exe

(3) Microsoft:

http://www.microsoft.com/technet/security/Bulletin/MS06-074.mspx

 

INFORMACIÓN PARA CLIENTES RISK MANAGEMENT

Para clientes que tienen contratado el Servicio RISK MANAGEMENT, acceda al URL que se indica a continuación para determinar el nivel de riesgo de sus activos críticos respecto a la alerta del servicio SNMP de Microsoft:

https://srms.neosecure.cl/threats/threat_detail.exp?threat_id=1650

 

En el caso de las alertas de TrendMicro y Microsoft Office, es sólo del tipo informativa.

 

 
Volver | subir

Desarrollo Altavoz