João Saramago

Este apontamento é dirigido, sobretudo, aos profissionais que gerem sistemas empresariais. Sobretudo, mas não só. Seguem as bullets:

• O contexto: Estações com Windows XP e/ou servidores com Windows Server 2003;
• O problema: Uma vulnerabilidade grave, passível de ser usada para executar código remotamente, no serviço Help and Support Center (HSC);
• A nota oficial MS: 2219475;
• O patch: Ainda não existe, nem foi estimada uma data para o seu lançamento;
• Como contornar o problema: Há um conjunto de sugestões na nota oficial da Microsoft; e
• A minha sugestão: Para além das recomendações da Microsoft, se não usam o HSC, e é muito provável que não usem, desactivem o serviço. Mesmo. Não é uma sugestão MS — é minha.

Para os utilizadores de máquinas pessoais, aqueles que não perceberam nada do que aqui foi escrito, se usam algum destes sistemas, peçam a alguém que saiba e siga as instruções anteriores.

Finalmente, uma nota adicional para justificar este apontamento: apesar de optar, normalmente, por não escrever sobre estas vulnerabilidades (porque já fazem parte dos processos normais de gestão da segurança em muitas organizações, e escrever sobre elas não acrescenta grande coisa), parece-me que esta é muito atractiva para quem faz programas maliciosos. E, como ainda não foi publicada uma correcção, parece-me importante prevenir desde já, mesmo cortando um bocado a direito, antes que seja explorada sem ter sido corrigida. Em relação à minha recomendação, no final, quando for publicada uma correcção, se o HSC for um serviço mesmo relevante, podem sempre activá-lo novamente.

Link to the original site

With Windows XP SP2 support ending in three weeks, a new report highlights the security risks that come with running an unsupported service pack.

Link to the original site

Speaking at Microsoft’s Worldwide Partner Conference in Washington, Corporate Vice President of Windows & Windows Live – Tami Reller announced the public beta. Microsoft revealed its plans for Windows 7 SP1 and Windows Server 2008 R2 SP1 last month at its annual Tech-Ed conference. Windows 7 SP1 will include the usual hotfix patches and new virtualization tools in SP1 will help Windows Server 2008 R2 users prepare for cloud computing. SP1 will include RemoteFX which provides rich 3-D graphical experience for remote users. The service pack also will include a series of incremental updates, previously released on Windows Update for both Windows 7 SP1 and Windows Server 2008 R2 SP1.

Link to the original site

nk497 writes “Microsoft has said that nearly half of machines running Windows 7 are using the 64-bit version, up from just 11% of PCs running Vista. The 32-bit version is limited to 4GB RAM, while the 64-bit version allows 192GB, as well as added security and virtualization capabilities. While Microsoft is pushing 64-bit as a way to gain performance in the OS, it earlier this year advised users to install the 32-bit version of Office 2010, ‘because currently many common add-ins for Office will not function in the 64-bit edition.’”

Read more of this story at Slashdot.

Link to the original site

Vectormatic writes “As can be seen on the product page for Windows XP, support for SP2 ends tomorrow, while the majority of Windows XP users still haven’t upgraded to SP3. This could open up millions of users/businesses to exploitation, since security updates for SP2 will stop coming in while security fixes to SP3 may clue hackers in to vulnerabilities.”

Read more of this story at Slashdot.

Link to the original site

cuppa+tea writes “More than a year after Microsoft issue a patch to cover privilege escalation issues that could lead to complete system takeover, a security researcher plans to use the Black Hat conference spotlight to expose new design mistakes and security issues that can be exploited to elevate privileges on all Windows versions including the brand new Windows 2008 R2 and Windows 7.”

Read more of this story at Slashdot.

Link to the original site

An insecurity expert has has discovered a vulnerability in older versions of Windows which pesky attackers could exploit to take over control of your PC. Somewhat ironically, the vulnerability afflicts the Help and Support Center for Windows XP and Server 2003, which users may still – just about – be able to use to get online technical support.

Link to the original site

And the award for Most Boring And Non-descriptive Press Release Title 2010 goes to Microsoft for “Microsoft Outlines Business Opportunities for Hardware Makers Across Windows Platform”. The press release itself appears to be about as interesting as watching paint dry, until you reach that small part where it says Microsoft has released the first community technology preview of Windows Embedded Compact 7 (1).

Link to the original site

Marc Maiffret, numa entrevista para o Otago Daily Times:

Quando olhamos hoje para a Microsoft, [vemos que] fazem mais pela segurança do seu software do que quaisquer outros. Não são perfeitos; há espaço para melhorias. Mas eles têm feito mais, definitivamente, do que todos os outros nesta indústria.

in Former hacker praises Windows security.

É impossível não concordar. Não seria sério. A minha maior crítica vai para o facto de, apesar de terem vários controlos de segurança adicionais, controlos que podem marcar mesmo a diferença, não os encontramos activos logo após a instalação. Exemplos? Dou-vos três: O AppLocker activo e configurado para permitir a execução exclusiva de aplicações instaladas, a inibição incondicional de macros no office e a inibição da instalação de ActiveX. É evidente que os parâmetros poderiam ser revertidos, se os utilizadores o quisessem, desde que o fizessem num modo administrativo. Mas se a configuração base fosse esta, já nos dava uma grande ajuda.

Digam o que disserem, sejam quais forem os argumentos – melhores ou piores –, no limite, o que falta mesmo é a coragem, não é?

No SAPO, para quem ainda não leu:

Os funcionários da Google estão a deixar de utilizar o Windows. Em causa está a política de segurança adoptada após os ataques identificados em meados de Dezembro – e atribuídos à China –, levando a gigante da Internet a incentivar os trabalhadores a optarem por outro sistema operativo que não o da Microsoft, avança o Finantial Times. Recorde-se que, segundo concluiu a investigação interna da Google, os ataques foram possíveis graças às falhas no Internet Explorer 6 e no sistema operativo Windows.

in Funcionários da Google incentivados a deixar Windows.

Bem, como lá diz o ditado, Para lá do Marão mandam os que lá estão : ) … embora, na minha opinião, o problema da (in)segurança dos sistemas, e das aplicações, não se resuma apenas à troca de uns pelos outros. Pode ajudar, pela diversidade e pela mudança do contexto (porque o mundo é mais hostil para uns do que para outros) mas não é uma panaceia: A gestão dos controlos de segurança, das actualizações, dos processos IT (onde se incluem as instalações, gestão de alterações, gestão de acessos, etc) não ficam resolvidos pela mudança do sistema — continuam a ser necessários.

É uma decisão arrojada, embora o contexto da Google seja muito específico: É uma empresa de tecnologia, tem desenvolvido sistemas e aplicações próprias, e o nível de conhecimento técnico, da generalidade dos colaboradores, é elevado. Vamos ver como evolui, e se não surgem novidades de ataques bem sucedidos. Se a informação for baldada cá para fora, claro : )

Link to the original site