Sie sind auf Seite 1von 15

INFORMACIN DE PROYECTO

Proyecto: VULNERABILIDADES
EN INFRAESTRUCTURA.

Preparado por: Ing. Armando Velzquez Snchez Administrador de Infraestructura

Nombre del Archivo: Versin del Documento: Fecha de Elaboracin: Fecha de Liberacin:

0040 - Memoria Tecnica Server FM-SQLMEX.docx 1.0 Mayo de 2013 Mayo de 2013

Registro de Control de Cambios del Documento:


Versin
1.0

Fecha
13 de Mayo de 2013

Cambiado por
Ing. Armando Velzquez Snchez

Descripcin del Cambio


Creacin de documento

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 1 de 15

Contenido
Tema 1 2 3 Pgina INTRODUCCIN ........................................................................................................................................... 3 OBJETIVOS ................................................................................................................................................... 4 INFORMACIN GENERAL ........................................................................................................................... 5 3.1 4 RESUMEN DE LA VULNERABILIDAD (HOTFIXS).............................................................................................. 5

SERVIDOR FM-SQLMEX .............................................................................................................................. 6 4.1 RUTEO EN EL SERVIDOR FM-SQLMEX ...................................................................................................... 7

ACTUALIZACIONES DE SEGURIDAD NO INSTALADAS ......................................................................... 8 KB2789646 SECURITY UPDATE FOR MICROSOFT .NET FRAMEWORK 2.0 SP2 ON W INDOWS VISTA SP2 AND W INDOWS SERVER 2008 R2 FOR X64 - MS13-015. ....................................................................................... 8 5.1 5.1.1 5.1.2 5.1.3 Caractersticas de Boletn de Seguridad Microsoft para MS13-015 ............................................... 9 Resumen Ejecutivo .......................................................................................................................... 9 SOLUCIN AL SOFTWARE AFECTADO .................................................................................... 10

6 7

CONSULTAS ............................................................................................................................................... 12 GLOSARIO DE TRMINOS ........................................................................................................................ 12

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 2 de 15

1 INTRODUCCIN
En este documento existe informacin de servidores, estaciones de trabajo, cuentas de usuario y servicios, contraseas, grupos de seguridad, etc., existentes dentro de ACE Fianzas Monterrey, que permita contar con una fcil y mejor administracin as como aumentar la seguridad sobre el acceso de usuarios a recursos de red. La infraestructura existente en ACE Fianzas Monterrey para el proyecto de solucin de vulnerabilidades permitir incluir soluciones No-Microsoft que actualmente se encuentran en produccin y adecuar la coexistencia para que los usuarios no sientan un impacto significativo a la hora de realizar sus funciones diarias de trabajo.

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 3 de 15

2 OBJETIVOS
Proveer a ACE Fianzas Monterrey, informacin veraz y exacta, as como la documentacin respectiva para toda la infraestructura de servidores, directorio activo, seguridad, sistemas y aplicaciones, la cual apoya a todos los procesos de administracin de servicios de TI.

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 4 de 15

3 INFORMACIN GENERAL
Se muestra la informacin obtenida del sistema en el siguiente link:

http://fm-soptec/soporte/reportes/chartMBSAv3.aspx

3.1

Resumen de la Vulnerabilidad (Hotfixs)

Dentro del sistema de monitoreo de hotfixs se tiene lo siguiente:

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 5 de 15

4 SERVIDOR FM-SQLMEX
El servidor FM-SQLMEX, tiene instalado un sistema operativo Windows Server 2008 Standard x64 con SP2:

A continuacin se muestra la solucin a la vulnerabilidad dentro del sistema hotfixs: Las actualizaciones de seguridad instaladas son las marcadas con fecha de instalacin al 12 de mayo de 2013 (5/12/2013).

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 6 de 15

4.1

Ruteo en el servidor FM-SQLMEX

A continuacin se muestra la tabla de ruteo dentro del servidor FM-SQLMEX:

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 7 de 15

5 ACTUALIZACIONES DE SEGURIDAD NO INSTALADAS


Se indica que el hotfixs de seguridad siguiente fue desinstalado en el servidor FM-SQLMEX:

5.1

KB2789646 Security Update for Microsoft .NET Framework 2.0 SP2 on Windows Vista SP2 and Windows Server 2008 R2 for x64 - MS13-015.

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 8 de 15

5.1.1 Caractersticas de Boletn de Seguridad Microsoft para MS13-015


Identificador del boletn Ttulo de boletn y resumen ejecutivo Clasificacin mxima de gravedad y consecuencias de la vulnerabilidad Importante Elevacin de privilegios Requisito de reinicio Software afectado

MS13-015

Una vulnerabilidad en .NET Framework podra permitir la elevacin de privilegios (2800277) Esta actualizacin de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en .NET Framework. La vulnerabilidad podra permitir la elevacin de privilegios si un usuario visita una pgina web especialmente diseada mediante un explorador web que pueda ejecutar aplicaciones del explorador XAML (XBAP). La vulnerabilidad tambin la podran usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del cdigo (CAS). Un atacante que aprovechara la vulnerabilidad podra conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estn configuradas con menos derechos de usuario en el sistema correran un riesgo menor que los que cuenten con derechos de usuario administrativos.

Puede requerir reinicio

Microsoft Windows, Microsoft .NET Framework

5.1.2 Resumen Ejecutivo


Esta actualizacin de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en .NET Framework. La vulnerabilidad podra permitir la elevacin de privilegios si un usuario visita una pgina web especialmente diseada mediante un explorador web que pueda ejecutar aplicaciones del explorador XAML (XBAP). La vulnerabilidad tambin la podran usar aplicaciones Windows .NET para omitir las restricciones de seguridad de acceso del cdigo (CAS). Un atacante que aprovechara esta vulnerabilidad podra conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estn configuradas con menos derechos de usuario en el sistema correran un riesgo menor que los que cuenten con derechos de usuario administrativos. Esta actualizacin de seguridad se considera importante para Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 y Microsoft .NET Framework 4.5 en las ediciones afectadas de Microsoft Windows.

Recomendacin. La mayora de los clientes tiene habilitada la actualizacin automtica y no debe realizar ninguna accin porque esta actualizacin de seguridad se descargar e instalar automticamente. Los clientes que no han habilitado la actualizacin automtica deben buscar las actualizaciones e instalar esta actualizacin manualmente. Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualizacin de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualizacin a la primera oportunidad con el software de administracin de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.
Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks Pgina 9 de 15

5.1.3 SOLUCIN AL SOFTWARE AFECTADO


Sistema operativo Componente Repercusin de seguridad mxima Clasificacin de gravedad acumulada Actualizaciones reemplazadas

WINDOWS SERVER 2008


Windows Server 2008 para sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (KB2789646) Microsoft .NET Framework 4.0[ 1 ] (KB2789642) Microsoft .NET Framework 4.5 (KB2789648) Windows Server 2008 para sistemas x64 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (KB2789646) Microsoft .NET Framework 4.0[ 1 ] (KB2789642) Microsoft .NET Framework 4.5 (KB2789648) Windows Server 2008 para sistemas con Itanium Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (KB2789646) Microsoft .NET Framework 4.0[ 1 ] (KB2789642) Elevacin de privilegios Importante KB2686833 en MS12-038 se reemplaza por KB2789646 KB2686827 en MS12-038 se reemplaza por KB2789642 Elevacin de privilegios Importante KB2686833 en MS12-038 se reemplaza por KB2789646 KB2686827 en MS12-038 se reemplaza por KB2789642 Ninguna actualizacin reemplazada por KB2789648 Elevacin de privilegios Importante KB2686833 en MS12-038 se reemplaza por KB2789646 KB2686827 en MS12-038 se reemplaza por KB2789642 Ninguna actualizacin reemplazada por KB2789648

Windows Server 2008 R2


Windows Server 2008 R2 para sistemas x64 Microsoft .NET Framework 3.5.1 (KB2789644) Microsoft .NET Framework 4.0[ 1 ] (KB2789642) Elevacin de privilegios Importante KB2686830 en MS12-038 se reemplaza por KB2789644 KB2686827 en MS12-038 se reemplaza por KB2789642

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 10 de 15

Windows Server 2008 R2 para sistemas x64 Service Pack 1

Microsoft .NET Framework 3.5.1 (KB2789645) Microsoft .NET Framework 4.0[ 1 ] (KB2789642) Microsoft .NET Framework 4.5 (KB2789648)

Elevacin de privilegios

Importante

KB2686831 en MS12-038 se reemplaza por KB2789645 KB2686827 en MS12-038 se reemplaza por KB2789642 Ninguna actualizacin reemplazada por KB2789648

Windows Server 2008 R2 para sistemas con Itanium

Microsoft .NET Framework 3.5.1 (KB2789644) Microsoft .NET Framework 4.0[ 1 ] (KB2789642)

Elevacin de privilegios

Importante

KB2686830 en MS12-038 se reemplaza por KB2789644 KB2686827 en MS12-038 se reemplaza por KB2789642

Windows Server 2008 R2 para sistemas con Itanium Service Pack 1

Microsoft .NET Framework 3.5.1 (KB2789645) Microsoft .NET Framework 4.0[ 1 ] (KB2789642)

Elevacin de privilegios

Importante

KB2686831 en MS12-038 se reemplaza por KB2789645 KB2686827 en MS12-038 se reemplaza por KB2789642

De acuerdo al portal de Microsoft se debe que aplicar de manera manual:


Sistema operativo Componente Repercusin de seguridad mxima Clasificacin de gravedad acumulada Actualizaciones reemplazadas

Windows Server 2008


Windows Server 2008 para sistemas de 32 bits Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 (KB2686833) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Microsoft .NET Framework 2.0 Service Pack 2 (KB2686833) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Microsoft .NET Framework 2.0 Service Pack 2 (KB2686833) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Ejecucin remota de cdigo Crtica Ninguna

Windows Server 2008 para sistemas x64 Service Pack 2

Ejecucin remota de cdigo

Crtica

Ninguna

Windows Server 2008 para sistemas con Itanium Service Pack 2

Ejecucin remota de cdigo

Crtica

Ninguna

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 11 de 15

Windows Server 2008 R2


Windows Server 2008 R2 para sistemas x64 Microsoft .NET Framework 3.5.1 (KB2686830) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Windows Server 2008 R2 para sistemas x64 Service Pack 1 Microsoft .NET Framework 3.5.1 (KB2686831) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Windows Server 2008 R2 para sistemas con Itanium Microsoft .NET Framework 3.5.1 (KB2686830) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Windows Server 2008 R2 para sistemas con Itanium Service Pack 1 Microsoft .NET Framework 3.5.1 (KB2686831) Microsoft .NET Framework 4.0[ 1 ] (KB2686827) Ejecucin remota de cdigo Crtica Ninguna Ejecucin remota de cdigo Crtica Ninguna Ejecucin remota de cdigo Crtica Ninguna Ejecucin remota de cdigo Crtica Ninguna

6 CONSULTAS
http://technet.microsoft.com/es-mx/security/bulletin/ms13-feb http://technet.microsoft.com/es-mx/security/bulletin/MS13-015 http://support.microsoft.com/kb/2789646/es http://technet.microsoft.com/es-mx/security/bulletin/ms12-038

7 GLOSARIO DE TRMINOS
Trminos Activo Acuerdo de Niveles de Servicio (Service Level Agreement - SLA) Administracin de Niveles de Servicio (Service Level Management - SLM) Ambiente Significado o Descripcin Componente del proceso de negocios. Los activos pueden incluir, gente, edificios, sistemas computacionales, redes, registros en papel, faxes, etc. Acuerdo escrito entre el proveedor de servicios y el cliente sobre los niveles de servicio acordados entre ambas partes. El proceso de definir, acordar, documentar y manejar los niveles de servicio del cliente de TI, que son requeridos y justificados en costo. Coleccin de hardware, software, redes de comunicacin y procedimientos que trabajan de forma conjunta para proveer un cierto tipo de servicios computacionales. Puede haber uno o ms tipos de ambientes en plataformas fsicas, por ejemplo, pruebas, produccin o desarrollo.
Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks Pgina 12 de 15

Trminos Anlisis de Impacto

Significado o Descripcin La identificacin de los procesos crticos de negocio, dao potencial y prdida que pueden causarle al negocio, resultantes de una interrupcin en las operaciones de los procesos. El anlisis de impacto al negocio identifica:


Anlisis de Riesgo Calendario de Cambios Programados (Forward Scheduled Changes - FCS)

La forma de tomar la prdida o dao. Qu probabilidad de escalar se tiene, dentro del tiempo que le sigue al incidente. Staff mnimo, facilidades y servicios necesarios para permitirle a los procesos de negocio continuar con su operacin mnima aceptable. El tiempo dentro del cual los servicios deben ser recuperados. El tiempo dentro del cual la recuperacin total del negocio es alcanzada, si es identificada.

Identificar y evaluar el nivel de riesgo, tomando en cuenta los activos expuestos o amenazados. Calendario que muestra a detalle todos los cambios aprobados para su implementacin con sus respectivas fechas para ello. Deber realizarse un acuerdo entre el cliente y el negocio, Administracin de los Niveles de Servicio, Mesa de Servicio o Mesa de Ayuda y Manejo o Administracin de la Disponibilidad. Una vez realizado el acuerdo, la mesa de servicio deber comunicar a la comunidad usuaria cuando no se podr disponer de los servicios que estn relacionados con los cambios planeados, a travs de los medios ms efectivos dentro de la organizacin. Nivel de servicio contratado o acordado entre el proveedor de servicios y el cliente. Modificacin adicional aprobada sobre la lnea base de: hardware, red, software, aplicacin, ambiente, sistema, o documentacin asociada. Son aquellas solicitudes de cambio que son requeridas por las unidades de negocio o internamente por la organizacin de TI para mejorar un servicio. Este tipo de cambios se clasifican tambin como cambios planeados, ya que se tramitan en el proceso de administracin de cambios con todos sus pasos, entre otros el de anlisis y evaluacin de riesgos, impacto y recursos necesarios para realizar el cambio; puede incluso participar el Consejo de Control de Cambios (Change Advisory Board - CAB). Son solicitudes de cambio, que por su naturaleza pueden provenir de un incidente con un alto impacto o de un problema que afecte gravemente los niveles de servicio comprometido, y cuya nica solucin sea a travs de un cambio. Estatutos escritos de los servicios de TI, usuarios beneficiados, horarios de atencin, niveles de incumplimiento y opciones. Cuando un cliente est satisfecho por la resolucin del incidente que levant. Receptor de un servicio, normalmente servicio al cliente es responsable del costo del servicio, ya sea de manera directa a travs de la transferencia de costos o indirectamente en trminos de las necesidades del negocio. Grupo de personas que provee de consejos expertos en el Manejo de Cambios en la implementacin de ellos. Este consejo debe contar con un representante de cada una de las reas de TI y de las unidades de negocio. Al final del anlisis, el CAB autoriza o rechaza la SdC en curso.

Calidad del Servicio Cambio Cambios normales

Cambios urgentes

Catlogo de Servicios Cierre Cliente

Comit de Aprobacin de Cambios (CAB) (Change Advisory Board CAB)

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 13 de 15

Trminos Control de Cambio

Significado o Descripcin Procedimiento para asegurar que todos los cambios estn controlados, incluyendo el anlisis, toma de decisiones, sujecin, aprobacin, implementacin y post-implementacin del cambio. Proceso de planeacin y regulacin con el objetivo de ejecutar el proceso de una manera efectiva y eficiente. Capacidad de un componente o servicio para realizar su funcin requerida durante un periodo de tiempo. Usualmente es expresado por una relacin de disponibilidad, por ejemplo: La proporcin de tiempo que el servicio est disponible para uso del servicio por el usuario, dentro del horario de servicio acordado. Requerimiento de Cambio (SdC), forma de control, orden y registro del cambio. Es el repositorio central en el que se almacenan todos los objetos de una empresa y sus atributos respectivos. Se trata de una base de datos jerrquica capaz de almacenar millones de objetos. Componente de la infraestructura o elemento, tal como el requerimiento de cambio asociado a la infraestructura que es o estar bajo control de la Administracin de la Configuracin. Un CIs pueden variar mucho en complejidad, tamao y tipo, desde un sistema completo incluyendo todo el hardware, software y documentacin, hasta un solo mdulo o un pequeo componente de hardware. Un medidor del xito o madurez de un proyecto o proceso. Puede ser un estado, entregable o meta. Un ejemplo podra ser: La elaboracin de toda la estrategia de tecnologa Es un conjunto especializado de tareas de los servidores Controladores de Dominio (DC-Domain Controller), usado para transferir datos estndar y actualizar mtodos inadecuados. Cualquier evento que no forma parte usual o normal de la operacin diaria del proceso de negocio, que causa o puede causar una interrupcin o reduccin en la calidad del servicio. La suma de los activos de la organizacin de TI como; hardware, software, facilidades de telecomunicacin de datos, procedimientos y documentacin. Interaccin fsica o funcional en los lmites entre elementos de la configuracin. Conjunto de estndares internacionales aceptados, referentes a los sistemas de administracin de la calidad. La Librera de Infraestructura de TI de la Oficina Gubernamental de Comercio de Inglaterra (OGC ITIL), Es un conjunto de guas para la administracin y provisin de los servicios operativos de TI. Punto nico de contacto dentro de la organizacin de TI, para los usuarios. Elemento medible de un proceso o una funcin. Expresin de un aspecto del servicio, en trminos cuantificables y definitivos. Todas las actividades y medidas para habilitar y/o mantener el uso de la infraestructura de TI. Secuencia con la que un problema o incidente tiene que ser resuelto, basado en impacto y urgencia.
Informacin Confidencial Pgina 14 de 15

Control de Proceso Disponibilidad

Documentacin del Cambio Directorio Activo (Active Directory) Elementos de Configuracin (Configuration Item - CI)

Factores Crticos de xito (FCE) FSMO (Flexible Single Master Operation) Incidente

Infraestructura de TI Interfaz ISO9001 ITIL

Mesa de Servicios Mtrica Nivel de Servicio Operaciones Prioridad

Document1

Para uso exclusivo de ACE KIO Networks

Trminos Problema Proceso Proceso de Negocios

Significado o Descripcin Causa principal desconocida de uno o varios incidentes. Serie de acciones, actividades, cambios, etc. conectadas. Realizadas por agentes que tienen el propsito de satisfacer o lograr un objetivo. Grupo de actividades de negocio comprometidas por una organizacin, persiguiendo un fin u objetivo comn Los tpicos procesos de negocios incluyen recepcin de rdenes, servicios de mercadotecnia., venta de productos, servicios de entrega, distribucin de productos, facturacin por servicios, contabilizacin por dinero recibido. Un proceso de negocio normalmente depende del soporte de varias funciones de negocio, por ejemplo: personal de Tecnologa de Informacin, alojamiento, estos muy rara vez operan aislados, siempre hay interdependencia entre ellos. Organizacin encargada de proveer los servicios de TI. Ayudan a proveer los requerimientos de los clientes de TI. Los recursos son usualmente computadoras y equipo relacionado, software, facilidades (edificio, sites, etc.) y gente. Cada servicio que no sea una falla provista por la infraestructura de TI. Conjunto de facilidades de TI y de no TI, provedos por el servidor de dichos servicios, que satisface con una o varias necesidades de los clientes y que el cliente lo percibe como un todo. Compuesto integral que consiste de uno o ms procesos, hardware, software, facilidades y gente, que tiene la capacidad de satisfacer una necesidad u objetivo. Es un formato electrnico o en papel, que contiene un conjunto de campos para llenar cierta informacin, que ya en forma integral crea el perfil de un requerimiento de cambios, entre otros campos contiene tambin: Filtrado, Evaluacin, Anlisis de Riesgos e Impacto y Consejo de Control de Cambios, ste ltimo a nivel de autorizacin. Incidente o problema solucionado sin la necesidad de presencia fsica de un elemento del staff de soporte. Note: Esta modalidad minimiza el tiempo de falla, por lo que ayuda a minimizar el costo efectivo de falla. Periodo de tiempo que un servicio o dispositivo est fuera de servicio, dentro de los tiempos de servicio acordados. Segmento de una entidad de negocio por el cual los ingresos son recibidos y los egresos son controlados. Los egresos e ingresos son utilizados para evaluar el desempeo por segmento. Persona que utiliza los servicios diarios.

Proveedor Recursos

Requerimiento de Servicios Servicio de TI

Sistema

Solicitud de Cambios (SdC)

Solucin o Soporte Remoto

Tiempo de Cada Unidad de Negocio

Usuario

Informacin Confidencial Document1 Para uso exclusivo de ACE KIO Networks

Pgina 15 de 15

Das könnte Ihnen auch gefallen