Una nuevo fallo crítico afecta todas las versiones de Windows Server con soporte, desde Windows Server 2008 a Windows Server versión 2004. Se trata de una vulnerabilidad de elevación de privilegios en el servicio Netlogon en Windows.

La razón por la que este exploit es tan grave es porque permite a los atacantes ganar control instantáneo del Directorio Activo de Windows, y a partir de ahí básicamente pueden hacer lo que quieran con toda la red de ordenadores de una organización o empresa.

Una vulnerabilidad con la puntuación más alta en la escala de severidad y que Microsoft aún está mitigando

La vulnerabilidad CVE-2020-1472 tiene un 10 de puntuación y es calificada como critica. Aunque Microsoft ya publicó un parche para mitigar el fallo, la empresa está haciéndolo en dos partes, y aunque no hay evidencia de que haya sido explotado, múltiples firmas de seguridad han creado pruebas de concepto en las que muestran como es posible usar el parche de Microsoft para trabajar de forma inversa y desarrollar un exploit.

Para los menos entendidos, el Directorio Activo o "Active Directory" de Windows es un servicio del sistema operativo para implementar el conjunto de aplicaciones que organizan y almacenan todos los recursos de una red de ordenadores.

El Directorio Activo es básicamente la barrera que protege todas las máquinas conectadas a una red, y esta vulnerabilidad solo requiere que un atacante ponga un pequeño pie dentro de la red objetivo para hacerse con todos los privilegios.

En Genbeta

Windows 7 2020 Edition: un espectacular concepto que mezcla la modernidad de Windows 10 con todo lo bueno del viejo sistema

Por ejemplo, si un empleado es engañado y termina instalando malware en su ordenador, aunque este no tenga privilegios elevados, su dispositivo una vez comprometido, puede usarse para acceder al resto de la red.

Aunque esto suele ser bastante difícil, investigadores de seguridad de Secura han publicado un informe describiendo el exploit "Zerologon" mostrando cómo cualquier atacante de la red local (como un infiltrado malintencionado o alguien que simplemente conectó un dispositivo a un puerto de red local) puede comprometer completamente el dominio de Windows.

"El atacante no necesita ninguna credencial de usuario". Secura reportó la vulnerabilidad a Microsoft y dicen haber desarrollado un exploit que funciona, pero dado el riesgo que representa no lo han liberado hasta que estén seguros que los parches de Microsoft han sido instalados en la mayoría de servidores vulnerables.

Vía | Ars Techcnica

Microsoft ha corregido una vulnerabilidad crítica en Windows DNS Server que afecta a todas las versiones de Windows Server desde 2003 a 2019, una vulnerabilidad "contagiosa" que de ser explotada podría comprometer toda la infraestructura corporativa de cualquier empresa u organización que use el sistema operativo.

Su nombre es SIGRed y fue descubierta por investigadores de seguridad de Check Point, quienes junto a Microsoft recomiendan encarecidamente actualizar de inmediato para "evitar la próxima ciberpandemia". Esto es debido a que el fallo es "wormable", es decir, se puede esparcir de un ordenador a otro sin necesidad de interacción humana y tiene un potencial de infección catastrófico como la crisis que causaran los inolvidables Wannacry y NotPetya.

Puede ser explotado de forma remota y sin necesidad de intervención alguna por parte del usuario

Para entender cómo funciona este bug hay que entender cómo funcionan los DNS. En este caso el problema se encuentra en Windows DNS, uno de los software de DNS más populares para traducir nombres de dominio a direcciones IP.

Los DNS son los traductores de la web. Cuando accedemos a cualquier web el cliente DNS es el que genera las peticiones con el objetivo de saber la dirección IP a la que corresponde el dominio al que se intenta acceder. Por ejemplo, si escribes en el navegador "genbeta.com", el navegador solicita la IP a un servidor. Los servidores DNS contestan estas peticiones desde su registro y le dicen al ordenador la IP del sitio, resolviendo la dirección. De esa forma no tenemos que recordar IPs porque el DNS hace ese trabajo por nosotros.

En Xataka

Mejores DNS de 2020: elige los más rápidos, seguros y privados

¿Qué pasa si alguien puede manipular esos registros del DNS para cambiar las direcciones que se traducen? Pues eso es lo que es capaz de hacer SIGRed, apoderarse de todas las peticiones que se hacen desde el sistema para y redirigir todo el tráfico a direcciones controladas por un atacante.

Si un atacante logra explotar SIGRed puede hacerse como privilegios de administración del dominio del servidor. Si a esto le sumamos que la vulnerabilidad es "wormable" y puede pasar de ordenador a ordenador, y además es sumamente difícil de detectar, una sola máquina comprometida podría contagiar a toda la red de una organización en apenas minutos tras ser explotada.

Check Point comenta que la seguridad de los DNS no es algo que muchas organizaciones monitoricen o tengan sometido a grandes controles, por lo que las posibilidades de que sea explotada son muy altas.

Aunque Microsoft no ha encontrado evidencia de que lo haya sido hasta ahora, los investigadores advierten que si ellos encontraron internamente todo lo necesario para explorar el bug, un hacker muy determinado también podría tener los mismos recursos. En incluso, señalan que hasta algunos proveedores de Internet pueden haber configurado sus DNS públicos como los DNS de Windows.

A mediados de 2017, el ataque del malware WannaCry paralizó sistemas informáticos de instituciones y grandes empresas de medio mundo. Un mes más tarde fue otro malware, NotPetya, el que desencadenó el caos. Ahora, una vulnerabilidad descubierta en las versiones más recientes de Windows podría desencadenar una nueva oleada de ciberataques autorreplicantes como los de hace 3 años.

Dicha vulnerabilidad, bautizada como CVE-2020-0796, afecta al protocolo SMBv3 (componente del sistema operativo usado para compartir archivos, impresoras, y otros recursos mediante Internet e intranet) en Windows 10 y Windows Server 2019. En ambos casos las 'builds' afectadas serían la 1903 y la 1909.

¿Cómo funciona CVE-2020-0796?

Cuando el software vulnerable recibe un paquete de datos comprimido creado con fines maliciosos, se provoca un desbordamiento de buffer que permite al atacante remoto ejecutar cualquier clase de código en el equipo atacado, ya sea éste un servidor o una estación de trabajo. Según algunos expertos, a nivel técnico esta nueva vulnerabilidad es similar a EternalBluE.

En Xataka

Cómo ver los puertos que tienes abiertos en tu ordenador Windows

El problema es que por ahora Microsoft no cuenta con un parche disponible para solventar la CVE-2020-0796, ni la compañía ha puesto fecha a la liberación del mismo. De hecho, su existencia no tendría ni que ser pública: todo indica que Microsoft programó la inclusión del parche en su actualización de seguridad mensual y finalmente la descartó, pero el resumen de su vulnerabilidad sí se difundió.

Dicho resumen no permite a los ciberdelincuentes usarlo como 'guía' para realizar ataques, pero sí podría motivarles a buscar por sí mismos el agujero de seguridad. Por ahora, Microsoft sólo ha hecho públicas dos recomendaciones para evitar recibir ataques:

1. Bloquear el puerto 445, usado para enviar tráfico SMB entre equipos, lo que protegerá a clientes vulnerables (aunque su funcionamiento normal podría verse afectado).

2. Un comando PowerShell para deshabilitar la compresión SMBv3, lo que protegerá a los servidores:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Microsoft acaba de liberar una actualización de seguridad con el fin de parchear un agujero de seguridad que afectaría a cientos de millones de PCs equipados con Windows 10 y Windows Server 2016/2019, y que estaría vinculada a un componente criptográfico que lleva décadas integrado en Windows, un archivo llamado crypt32.dll (parte fundamental de la Microsoft CryptoAPI) y usado por los desarrolladores para firmar digitalmente el software que crean con el fin de demostrar al sistema que éste no ha sido manipulado.

En resumidas cuentas, la recién descubierta vulnerabilidad permitiría a un potencial atacante presentar como legítimo software manipulado, facilitando así enormemente la ejecución de malware en el equipo. Según la compañía, en ese caso el usuario no tendría ningún modo de reconocer el archivo ejecutable como malicioso, pues a todos los efectos su firma digital parece estar respaldada por un proveedor de confianza.

NSA: De ocultar vulnerabilidades en provecho propio a avisar de su detección

Microsoft, que reconoce la importancia de esta vulnerabilidad (aunque no la califica como "crítica"), afirma que no existen evidencias de que ningún ciberdelincuente haya hecho uso de la misma hasta ahora. Lo sorprendente es que ha podido crear el parche gracias a un aviso procedente de la NSA, la Agencia Nacional de Seguridad estadounidense.

Y es sorprendente porque, en el pasado la NSA fue acusada de mantener en secreto un agujero de seguridad de Windows con el fin de contar con una puerta trasera que pudiera usar su exploit de vigilancia EternalBlue.

Por desgracia para la NSA y, sobre todo, para miles de usuarios, la existencia de dicha vulnerabilidad se filtró y fue usada por ciberdelincuentes para difundir el destructivo ransomware conocido como WannaCry, que afectó a varios gobiernos y obligó a Microsoft a lanzar, incluso, un parche para Windows XP (después de que finalizase su soporte oficial).

En Genbeta

Windows ha corregido una vulnerabilidad tan peligrosa que incluso la NSA ruega que actualices tu equipo

Ahora, según ha explicado a TechCrunch Anne Neuberger, directora de ciberseguridad de la NSA, su agencia evaluó los pros y los contras de mantener en secreto esta nueva vulnerabilidad, y decidió que lo más adecuado en este caso sería, al contrario de lo ocurrido hace 3 años, informar a Microsoft de su existencia para que pudiera tomar medidas. Según fuentes vinculadas a la NSA, ahora existe una nueva política de intentar beneficiar a empresas y usuarios gracias a los hallazgos de la NSA:

Sources say this disclosure from NSA is planned to be the first of many as part of a new initiative at NSA dubbed "Turn a New Leaf," aimed at making more of the agency's vulnerability research available to major software vendors and ultimately to the public.

— briankrebs (@briankrebs) January 14, 2020

Microsoft ha explicado que, ante el riesgo de que los sistemas del gobierno estadounidense y de ciertas empresas (como contratistas de sus fuerzas armadas o responsables de infraestructuras críticas) pudieran estar bajo ataque, éstos fueron los primeros en recibir el correspondiente parche. Las agencias federales estadounidenses ya han recibido órdenes de aplicarlo lo antes posible.

Pero ahora el parche ya está disponible para todos los usuarios del sistema operativo y, con el nombre de actualización 'CVE-2020-0601', podemos encontrarlo en la web de Seguridad de Windows, o bien instalarlo desde Windows Update, en el apartado 'Actualización y seguridad' de la Configuración de Windows.

Vía | The Verge & TechCrunch

Imagen | U.S. Air Force photo by Steve Kotecki

Si sois administradores de algún servidor que utilice Samba o Windows esto os interesa, porque uno de los desarrolladores de Samba ha descubierto un bug "crucial" de seguridad que afecta a ambos sistemas. Las dos empresas ya están trabajando en solucionarlo, y tendrán un parche preparado para cuando se descubra la vulnerabilidad el 12 de abril.

Aunque aún no sabemos la importancia que puede tener, ya hay quien la ha bautizado como Badlock, y se ha molestado en crear una página web desde la que informarán sobre las novedades que pueda haber, y avisarán a los administradores cuando puedan empezar a parchear sus servidores para minimizar los riesgos.

Quien ha descubierto este bug ha sido el desarrollador Stefan Metzmacher, que además de en Samba también trabaja en la empresa SerNet, en cuyo blog han posteado sobre él. No quieren dar ningún detalle hasta que los parches hayan sido distribuidos, pero advierten que es un bug que afecta a funciones fundamentales de los servidores.

Algunos medios ya han apuntado a un posible error en el protocolo SMB. En Twitter también se ha generado debate, y algunos expertos como el investigador de seguridad David Litchfield también han dado su opinión basándose en el nombre que le han puesto.

@SwiftOnSecurity Due to name "badlock", I'm guessing controllable mem write after file handle invalidated on broken lock over CIFS.

— David Litchfield (@dlitchfield) 22 de marzo de 2016

Siguiendo el procedimiento habitual

Con esta vulnerabilidad se está siguiendo el mismo procedimiento que hemos visto otras veces. Metzmacher descubrió el bug, y además de a sus compañeros de Samba informó a Microsoft para que ambas empresas empezasen a trabajar en una solución poniéndose como fecha límite para el lanzamiento del parche el 12 de abril.

La buena noticia es que parece una vulnerabilidad que afecta a los protocolos de redes internas, por lo que los usuarios domésticos podríamos estar a salvo. En cualquier caso, una vez lanzado el parche la vulnerabilidad también será expuesta, y será sólo cuestión de horas que empiecen a crearse los primeros exploits. De ahí la importancia de que los administrador de sistema estén al día para actualizar en cuanto sea posible.

Enlace | Badlock Bug
En Genbeta | AVG arregla una grave vulnerabilidad... en su propia extensión de Chrome

Microsoft publicará en las próximas horas la vista previa de Windows 8.1. El fabricante, no obstante, ha decidido adelantar en un día Windows Server 2012 R2 Datacenter Preview (Build 9431), que ya se puede descargar.

La versión de escritorio y el servidor comparten algunos elementos a nivel de interfaz de usuario (si se instala este último con la opción GUI), y hemos querido comprobar algunas de estas características que veremos en Windows 8.1 de primera mano.

h2. Botón Inicio: más funciones

Dado que la interfaz gráfica de Windows Server 2012 R2 está algo recortada respecto de la versión de escritorio, sólo se pueden extraer algunas características, pero las que hemos visto son interesantes.

La primera, el nuevo botón Inicio, que sustituye al antiguo control “pantalla de inicio”. El aspecto ha cambiado, ya no es la representación de la pantalla-mosaico, sino el logotipo de Windows 8. En la barra de tareas está visible en todo momento, y en la pantalla de inicio ha de descubrirse buscando con el ratón o el dedo la esquina inferior derecha.

Otro detalle interesante es el menú contextual del propio botón Inicio, que cumple una función similar a la combinación de teclas [Windows]+[X], solo que ahora tiene una característica que nos va a facilitar algo más el trabajo: desde el botón Inicio de Windows 8.1 se puede apagar o reiniciar el equipo. En cuanto al botón Inicio en sí, permite alternar rápidamente entre el entorno Modern UI y el escritorio clásico.

h2. Organización de aplicaciones

Una vez dentro de la pantalla de inicio (el servidor arranca directamente en el escritorio clásico), ahora disponemos de un control para acceder a las aplicaciones (flecha enmarcada en un círculo apuntando al borde inferior de la pantalla).

Aquí hay más novedades, porque frente a la organización tradicional de los iconos de los programas instalados de Windows 8, ahora disponemos de cuatro clasificaciones posibles: por nombre, fecha de instalación, más usados y por categoría.

En cualquiera de estas vistas, los programas recién instalados que no hayamos lanzado nunca, tienen la leyenda “NUEVO”, en mayúsculas y destacado en otro color, bajo el nombre de la aplicación. Para buscar dentro de las aplicaciones ya no hay que recurrir a la Charms Bar, ya que dispone de una caja en la misma pantalla para este fin.

Para volver desde la pantalla "Aplicaciones" a la pantalla de inicio, el pequeño control de la flecha enmarcado en un círculo cambia de sentido, apuntando hacia la zona superior de la pantalla.

h2. Configuración de doble monitor

Otro aspecto que ha cambiado es el comportamiento de la interfaz de usuario en configuración de doble monitor. Al contrario que en Windows 8, se puede lanzar la interfaz Modern UI en cualquiera de las dos pantallas, sin que esto suponga la desaparición de la misma cada vez que activamos en una de ellas el escritorio clásico.

h2. Cambios en algunos controles

El botón derecho del ratón sobre un espacio en blanco de la pantalla-mosaico muestra ahora un icono nuevo: "Personalizar", habiendo desaparecido el anterior “Todas las aplicaciones”. Personalizar cumple el mismo cometido del pequeño control situado en la esquina inferior derecha (organización de grupos de tiles), que sigue presente y más difícil de utilizar (hay que hilar muy fino antes de que aparezca la Charms Bar), con funciones ligeramente diferentes, ya que actúa en función de los cuatro criterios de clasificación de aplicaciones comentados.

h2. Internet Explorer 11

En cuanto a Internet Explorer 11 no os puedo contar mucho, ya que en esta edición Servidor no tiene interfaz Modern UI, sólo la de escritorio clasico y no es la versión definitiva. Lo que sí os puedo decir, es que la modalidad de seguridad mejorada es muy restrictiva respecto del acceso a las páginas web. Hay que otrogar permiso para todo.

En una página como la de acceso a Gmail, he tenido que conceder, si no recuerdo mal, entre cuatro y cinco permisos hasta que he podido acceder al servicio. En un servidor puede tener su razón, para un usuario normal de Windows 8.1 esto es excesivo. Sin ver cómo se ha implementado el navegador en las versiones normales de escritorio, no deseo sacar más conclusiones en este momento.

h2. Interfaz gráfica, primeras impresiones

Los cambios que he podido comprobar, con carácter general, acortan el número de pasos que han de realizarse, con el ratón o el dedo, para acceder a las distintas pantallas, y son más intuitivos ahora. La organización de las aplicaciones, con sus cuatro posibilidades es más lógica y funcional.

¿Cuántas sorpresas más nos deparará Windows 8.1? En unas horas lo sabremos.

El único Service Pack para Windows 7 data de febrero de 2011 y aunque Microsoft nunca ha dicho de forma explícita que no haría ninguno más, se sabe de facto que no habrá Service Pack 2 para Windows 7, centrándose toda esperanza de gran actualización en la llegada de Windows Blue.

Sin embargo, la actualización del segundo martes de este mes trae un conjunto de mejoras que pueden considerarse un paquete de servicio en toda regla, aunque sea “light”. Se trata de un paquete acumulativo que contempla 90 revisiones publicadas tras el lanzamiento del SP1 para Windows 7 y Windows Server 2008 R2.

El paquete de actualizaciones mejora el rendimiento general y la fiabilidad de ambos sistemas operativos. Entre estas novedades vamos a encontrar una actualización de DFSN (Distributed File System Namespaces), así como mejoras en la redirección de carpetas, archivos y carpetas sin conexión, WMI (Windows Management Instrumentation), cliente SMB y directivas de grupo.

Tal vez estos añadidos no tengan tanto calado a nivel de actualización, ni de imagen ante los usuarios de ambos sistemas operativos como los Service Pack de antes, pero lo cierto es que no es una actualización cualquiera, aunque el fabricante no le haya otorgado tanta importancia.

Vía | ZDNet » Technet Blog

Tal y como mi compañero Yirá Albornoz nos dijo hace unos días, Microsoft ha hecho pública para todos los usuarios la primera gran actualización de Windows 7: el Service Pack 1 ya se puede descargar desde la web oficial o a través de Windows Update (la actualización se está propagando por estos momentos en los servidores).

La actualización se centra más hacia las versiones de Windows Server 2008, pero desde Microsoft promocionan esta actualización como recomendada para todos los usuarios de Windows 7 para poder recibir más actualizaciones. En cuanto a las mejoras, podemos contar entre ellas un mejor rendimiento del sistema cuando actúa como cliente de Windows Server 2008 R2.

La actualización tiene un tamaño que varía entre los 260 y 330 MB según el ordenador que tengamos, y aunque sea gratuita hay que pasar el proceso de validación de Microsoft para poder actualizarse obligando a tener una clave de producto genuina. Desde Genbeta recomendamos que os instaléis esta actualización, especialmente si lleváis una temporada sin actualizar vuestro Windows 7.

Más información | Blogging Windows
Descarga | Windows 7 Service Pack 1

Se han publicado unas cuantas diapositivas en las que el equipo de Windows Server da a conocer su “hoja de ruta” de futuros lanzamientos. En ella destaca la referencia a Windows Server 2012, la nueva versión de Windows Server, que según parece corresponderá a una actualización mayor respecto de Windows Server 2008 R2.

Dado que la nueva estrategia de Microsoft es que las nuevas versiones de sus SOs para servidores y clientes vayan “de la mano”, es evidente que el lanzamiento de Windows Server 2012 irá acompañado del sucesor de Windows 7, que en este caso, según las diapositivas publicadas, se llamará Windows 8, aunque nada garantiza que ese vaya a ser su nombre final al salir al mercado.

Al interior de Microsoft señalan que, dados los problemas que tuvieron por culpa del largo intervalo entre XP y Vista, a partir de ahora pondrán todos sus esfuerzos en que no pasen más de 3 años entre cada versión de Windows (algo similar a lo que hace Apple con Mac OS X).

Windows 8, al igual que Windows Server 2012, será un revisión mayor de su predecesor (major release), a diferencia de Windows 7, que consistió en un Windows Vista mejorado, perfeccionado, y con novedades importantes sólo en la interfaz de usuario. Pero justamente por esa razón, cabe la posibilidad de que Microsoft no tenga las cosas tan fáciles como las tuvo con Windows 7, y eventualmente, en un escenario pesimista, no logren cumplir su objetivo de tener sacar Windows 8 al mercado en 3 años más.

Vía | Ars Technica

En Microsoft han anunciado que se está preparando un Service Pack 2 para Windows Vista, que vendrá acompañado del SP2 de Windows Server 2008. Y según indican en ZDNet, ambas actualización estarían disponibles antes del lanzamiento de Windows 7, el que debería ocurrir en el segundo semestre del 2009.

¿Qué es lo que se quiere lograr con esto? Pues evitar que las ventas de Vista decaigan en el periodo cercano a la salida de Windows 7, y reducir la confusión que acerca de si es mejor seguir con Windows Vista/Server 2008 SP2 o hacer upgrade hacia Windows 7 (lo que de todas maneras ocurrirá, pero será en menor grado que si el SP2 se lanzara después o en la misma fecha que Windows 7).

En tanto, el SP2 de Windows Server 2008 saldrá al mismo tiempo que el de Vista, y ofrecerá mejoras como una mayor integración con el sistema de virtualización Hyper-V de Microsoft. Además, a los de Redmond les interesa lanzar ambos Service Packs en igual fecha para así asegurarse de que tanto el Windows cliente como el servidor sigan estando a la par en cuanto a su núcleo. Esta también es la razón de la extraña nomenclatura del Service Pack de WS 2008 (se lo llama "SP2", siendo que nunca existió un SP1 para esta versión de Windows Server).

También se sabe que Microsoft ya esta invitando a algunos beta-testers para prueban ambos Service Packs. Gracias a ello sabemos que el SP2 de Vista incluirá Windows Search 4, soporte para Bluetooth, compatibilidad con las CPU VIA de 64-bits, y otras mejoras parecidas.

Vía | All About Microsoft