{"id":2768,"date":"2021-03-19T13:48:20","date_gmt":"2021-03-19T18:48:20","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2768"},"modified":"2021-03-19T14:21:42","modified_gmt":"2021-03-19T19:21:42","slug":"microsoft-pide-maxima-prioridad-a-la-instalacion-de-los-parches-de-seguridad","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/recursos\/microsoft-pide-maxima-prioridad-a-la-instalacion-de-los-parches-de-seguridad\/","title":{"rendered":"Microsoft pide m\u00e1xima prioridad a la instalaci\u00f3n de los parches de seguridad"},"content":{"rendered":"\n<p>De acuerdo a los ataques que est\u00e1n sufriendo&nbsp;servidores de empresas de todo el mundo que utilizan Exchange,&nbsp;cuando el pasado mi\u00e9rcoles Microsoft avis\u00f3 de que un grupo de hackers de China, <strong>Hafnium<\/strong>, estaba atacando servidores, tanto en Estados Unidos como en otros pa\u00edses del mundo como la EBA (Autoridad Bancaria Europea).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-3.png\"><img data-opt-id=1118658151  fetchpriority=\"high\" decoding=\"async\" width=\"758\" height=\"656\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-3.png\" alt=\"\" class=\"wp-image-2769\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:758\/h:656\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-3.png 758w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:260\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-3.png 300w\" sizes=\"(max-width: 650px) 100vw, 650px\" \/><\/a><\/figure>\n\n\n\n<p><strong>Microsoft<\/strong>&nbsp;est\u00e1&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\">pidiendo a los equipos de TI<\/a>&nbsp;de todo el mundo&nbsp;que den la&nbsp;<strong>m\u00e1xima prioridad a la instalaci\u00f3n de los parches&nbsp;de seguridad para Microsoft Exchange<\/strong>&nbsp;que la compa\u00f1\u00eda lanz\u00f3 el 2 de marzo.<\/p>\n\n\n\n<p>Adem\u00e1s, las entidades que ya hayan protegido sus servidores tienen que&nbsp;<strong>buscar rastros que indiquen que ya han sido atacados<\/strong>, puesto que los hackers podr\u00edan seguir accediendo a sus sistemas a trav\u00e9s de ellos y utilizar los sistemas como parte de un ataque en cadena que secuestre el servidor y permita ejecutar en \u00e9l ejecutar comandos de manera remota.<\/p>\n\n\n\n<p><strong>Mitigaciones provisionales si no se pueden aplicar parches a Exchange Server 2013, 2016 y 2019:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Implementar una regla de reescritura de IIS para filtrar solicitudes https maliciosas<\/li><li>Deshabilitar la mensajer\u00eda unificada (UM)<\/li><li>Deshabilitar Exchange Control Panel (ECP) VDir<\/li><li>Deshabilitar VDir de la libreta de direcciones sin conexi\u00f3n (OAB)<\/li><\/ul>\n\n\n\n<p>Estas mitigaciones se pueden aplicar o revertir mediante el script <a rel=\"noreferrer noopener\" href=\"https:\/\/github.com\/microsoft\/CSS-Exchange\/blob\/main\/Security\/\" target=\"_blank\">ExchangeMitigations.ps1 que se<\/a>\u00a0describe a continuaci\u00f3n y tienen alg\u00fan impacto conocido en la funcionalidad de Exchange Server.\u00a0Las mitigaciones son efectivas contra los ataques que hemos visto hasta ahora en la naturaleza, pero no se garantiza que sean mitigaciones completas para toda la posible explotaci\u00f3n de estas vulnerabilidades.\u00a0Esto no desalojar\u00e1 a un adversario que ya haya comprometido un servidor.\u00a0<strong><em>Esto solo debe usarse como una mitigaci\u00f3n temporal hasta que los servidores de Exchange se puedan parchear por completo, y recomendamos aplicar todas las mitigaciones a la vez.<\/em><\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">ExchangeMitigations.ps1<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Visi\u00f3n general<\/h4>\n\n\n\n<p>Este script contiene mitigaciones para ayudar a abordar las siguientes vulnerabilidades:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\">CVE-2021-26855<\/a><\/li><li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2021-26857<\/a><\/li><li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2021-27065<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\">CVE-2021-26858<\/a><\/li><\/ul>\n\n\n\n<p>Este script debe ejecutarse a trav\u00e9s de una sesi\u00f3n de Exchange PowerShell elevada o un Shell de administraci\u00f3n de Exchange elevado.&nbsp;Los detalles de las mitigaciones se encuentran a continuaci\u00f3n y la informaci\u00f3n adicional se encuentra en el&nbsp;<a href=\"https:\/\/github.com\/microsoft\/CSS-Exchange\/blob\/main\/Security\/\">GitHub<\/a>&nbsp;mencionado anteriormente&nbsp;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Recomendaciones de seguridad Microsoft<\/h2>\n\n\n\n<p>Adem\u00e1s de estos parches, veamos que recomienda Microsoft sobre otras actualizaciones de seguridad que deben tenerse en cuenta para minimizar el riesgo de un ciberataque a los equipos y servidores con el sistema operativo Windows:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Varias actualizaciones de seguridad que afectan a TCP \/ IP: CVE-2021-24074, CVE-2021-24094 y CVE-2021-24086<\/h3>\n\n\n\n<p><strong>En febrero de 2021<\/strong> Microsoft lanz\u00f3 un conjunto de correcciones que afectan la implementaci\u00f3n de TCP \/ IP de Windows que incluyen dos vulnerabilidades de ejecuci\u00f3n remota de c\u00f3digo cr\u00edtico (RCE) (\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-24074\" target=\"_blank\">CVE-2021-24074<\/a>\u00a0,\u202f\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-24094\" target=\"_blank\">CVE-2021-24094<\/a>\u00a0) y una vulnerabilidad de denegaci\u00f3n de servicio importante (DoS) (\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-24086\" target=\"_blank\">CVE- 2021-24086<\/a>\u00a0).\u00a0Las dos vulnerabilidades de RCE son complejas, lo que dificulta la creaci\u00f3n de exploits funcionales, por lo que es poco probable que ocurran a corto plazo.\u00a0Creemos que los atacantes podr\u00e1n crear exploits DoS mucho m\u00e1s r\u00e1pidamente y esperamos que los tres problemas puedan ser aprovechados con un ataque DoS poco despu\u00e9s del lanzamiento.\u00a0Por lo tanto, recomendamos a los clientes que se muevan r\u00e1pidamente para aplicar las actualizaciones de seguridad de Windows este mes.\u00a0<\/p>\n\n\n\n<p>Los exploits DoS para estos CVE permitir\u00edan que un atacante remoto provocara un error de detenci\u00f3n.&nbsp;Los clientes pueden recibir una pantalla azul en cualquier sistema Windows que est\u00e9 directamente expuesto a Internet con un tr\u00e1fico de red m\u00ednimo.&nbsp;&nbsp;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">El modo de aplicaci\u00f3n del controlador de dominio de Netlogon est\u00e1 habilitado de forma predeterminada a partir de la actualizaci\u00f3n de seguridad del 9 de febrero de 2021, relacionada con CVE-2020-1472<\/h3>\n\n\n\n<p>En enero Microsoft abord\u00f3 una vulnerabilidad cr\u00edtica de RCE que afectaba al protocolo <strong>Netlogon <\/strong>(\u00a0<a rel=\"noreferrer noopener\" href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1472\" target=\"_blank\">CVE-2020-1472<\/a>\u00a0) el 11 de agosto de 2020, esta vulnerabilidad tambi\u00e9n conocida como <strong>Zerologon<\/strong>, permite a los atacantes secuestrar controladores de dominio, la cual se catalog\u00f3 con un nivel de gravedad \u201ccr\u00edtico\u201d (su puntuaci\u00f3n CVSS alcanz\u00f3 la m\u00e1xima, de 10.0).<\/p>\n\n\n\n<figure class=\"wp-block-pullquote\"><blockquote><p>En resumen, la CVE-2020-1472 es el resultado de un error en la estrategia de autentificaci\u00f3n criptogr\u00e1fica del protocolo remoto de Netlogon. Este protocolo autentifica a los usuarios y los equipos en redes basadas en dominios y tambi\u00e9n se utiliza para actualizar las contrase\u00f1as del ordenador en remoto. Mediante la vulnerabilidad, un atacante puede hacerse pasar por un ordenador cliente y sustituir la contrase\u00f1a de un controlador de dominio (un servidor que controla una red al completo y ejecuta los servicios del Directorio Activo), que le permite al atacante hacerse con los derechos de administrador del dominio.<\/p><\/blockquote><\/figure>\n\n\n\n<p>Este ataque puede afectar a cualquier versi\u00f3n de Windows Server 2019 o de Windows Server 2016, as\u00ed como cualquier edici\u00f3n de Windows Server versi\u00f3n 1909, Windows Server versi\u00f3n 1903, Windows Server versi\u00f3n 1809 (ediciones Datacenter y Standard), Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2 Service Pack 1.<\/p>\n\n\n\n<p>Microsoft informo que a partir de la versi\u00f3n de actualizaci\u00f3n de seguridad del 9 de febrero de 2021 habilitaran el modo de aplicaci\u00f3n del controlador de dominio de forma predeterminada.&nbsp;Esto bloquear\u00e1 las conexiones vulnerables de los dispositivos no compatibles.&nbsp;El modo de cumplimiento de DC requiere que todos los dispositivos Windows y que no sean Windows utilicen RPC seguro con el canal seguro de Netlogon, a menos que los clientes hayan permitido expl\u00edcitamente que la cuenta sea vulnerable al agregar una excepci\u00f3n para el dispositivo no compatible.\u202f&nbsp;<\/p>\n\n\n\n<p>Los clientes deben revisar la&nbsp;&nbsp;gu\u00eda de&nbsp;<a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4557222\/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc#FAQ\" target=\"_blank\" rel=\"noreferrer noopener\">preguntas frecuentes<\/a>&nbsp;actualizada&nbsp;&nbsp;de agosto para proporcionar m\u00e1s claridad sobre este pr\u00f3ximo cambio.&nbsp;&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/support.microsoft.com\/help\/4557222\/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc\" target=\"_blank\">ACTUALICE<\/a>&nbsp;&nbsp;sus controladores de dominio con una actualizaci\u00f3n publicada el 11 de agosto de 2020 o posterior.&nbsp;<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/support.microsoft.com\/help\/4557222#DetectingNon-compliant\" target=\"_blank\">ENCUENTRE<\/a>&nbsp;&nbsp;qu\u00e9 dispositivos est\u00e1n haciendo conexiones vulnerables mediante la supervisi\u00f3n de los registros de eventos.&nbsp;<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/support.microsoft.com\/help\/4557222#AddressingEventIDs\" target=\"_blank\">DIRIGIR<\/a>&nbsp;&nbsp;dispositivos no compatibles que hacen conexiones vulnerables.&nbsp;<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/support.microsoft.com\/help\/4557222#EnablingEnforcementMode\" target=\"_blank\">ACTIVAR<\/a>&nbsp;&nbsp;el modo de aplicaci\u00f3n de controlador de dominio a direcciones&nbsp;&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1472\" target=\"_blank\">CVE-2020-1472<\/a>&nbsp;&nbsp;en su entorno.&nbsp;<\/li><\/ul>\n\n\n\n<p>En el siguiente listado se relacionan las ultimas vulnerabilidades reportadas por el C<a rel=\"noreferrer noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\" target=\"_blank\">entro de respuesta de seguridad de Microsoft<\/a> con respecto a los productos de Windows server y contiene el registro de las publicadas en el ultimo a\u00f1o que en total suman <strong>967<\/strong>: <\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png\"><img data-opt-id=1993674163  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:590\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png\" alt=\"\" class=\"wp-image-2770\" width=\"640\" height=\"368\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:590\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png 1024w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:173\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:443\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:479\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png 830w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1221\/h:704\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/image-4.png 1221w\" sizes=\"(max-width: 640px) 100vw, 640px\" \/><\/a><\/figure>\n\n\n\n<p>Para descargar el listado completo, Clic <a rel=\"noreferrer noopener\" href=\"http:\/\/bit.ly\/ListSecurityWindows\" target=\"_blank\">Aqu\u00ed <\/a><\/p>\n\n\n\n<div class=\"wp-block-file\"><a href=\"https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/Security-Updates-2021-03-19-012329pm.xlsx\">Security-Updates-2021-03-19-012329pm<\/a><a href=\"https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/03\/Security-Updates-2021-03-19-012329pm.xlsx\" class=\"wp-block-file__button\" download>Descarga<\/a><\/div>\n\n\n\n<h4 class=\"wp-block-heading\">Para estar al d\u00eda con las ultimas noticias de ciberseguridad y protecci\u00f3n de datos, reg\u00edstrese en nuestro Bolet\u00edn de noticias:<\/h4>\n\n\n\n<p><\/p>\n\n\n\n<iframe src=\"https:\/\/emailmarketing.secureserver.net\/signups\/317083\/iframe\" scrolling=\"no\" frameborder=\"0\" height=\"810\" style=\"max-width: 600px; width: 100%;\"><\/iframe>\n\n\n\n<p><strong>Nota<\/strong>: Al registrarse recibir\u00e1 un correo de confirmaci\u00f3n. Revise su bandeja de correo no deseado o bandeja de entrada.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>De acuerdo a los ataques que est\u00e1n sufriendo&nbsp;servidores de empresas de todo el mundo que utilizan Exchange,&nbsp;cuando el pasado mi\u00e9rcoles Microsoft avis\u00f3 de que un grupo de hackers de China, Hafnium, estaba atacando servidores, tanto en Estados Unidos como en otros pa\u00edses del mundo como la EBA (Autoridad Bancaria Europea). Microsoft&nbsp;est\u00e1&nbsp;pidiendo a los equipos de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":2772,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[199,268,33,249,329],"class_list":["post-2768","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-recursos","tag-microsoft","tag-parches","tag-seguridad-informatica","tag-vulnerabilidades","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2768"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2768\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2772"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}