Windows Server 2008 no tan seguro, afirma investigador
Enviado por admin el 26. Marzo 2008 - 18:36.
En su línea habitual, Microsoft afirma que Windows Server 2008 (que -por cierto- acaba de ser adoptado por MySpace) es el servidor Windows más seguro que nunca ha creado, pero -como también viene siendo habitual- no todo el mundo parece estar de acuerdo.
Así César Cerrudo, fundador y CEO de la empresa argentina Argeniss, afirma haber encontrado algunas debilidades que convertirían en inútiles las mejoras de seguridad de Windows Server 2008.
Para Cerrudo, se trata de problemas de diseño que no fueron identificados por los ingenieros de Microsoft durante el Security Development Lifecycle (SDL) y que permiten que cuentas utilizadas normalmente por servicios Windows puedan utilizarse para una escalada de privilegios que permita el control total del sistema operativo...
Microsoft ha manifestado estar al corriente de los trabajos de Cerrudo, pero no reconoce en ellos ninguna nueva vulnerabilidad, sino que afirma que sólo describen cuestiones de diseño, ya que las cuentas que señala Cerrudo (NetworkService y LocalService) deben ser consideradas al mismo nivel que la de Administrador, sin que Cerrudo describa cómo un atacante podría hacerse con el control de las mismas.
Al parecer Microsoft invitó a Cerrudo a demostrar sus afirmaciones en Blue Hat, pero el investigador (que planea explicar los detalles en HITBSecConf2008 el próximo 17 de Abril) alegó "problemas de agenda" para rechazar la invitación.
Referencias:
Hasta cuando?
Hasta cuando vamos a seguir recibiendo información de que los productos de Microsoft son inseguros?
Sinceramente creo que esta empresa se está cavando su propia tumba muy lentamente...
Saludos
YOGUI
Ni que linux (o mac)
Ni que linux (o mac) fuera lo mas seguro de la tierra
A esperar a la demostración
Pues eso, que sin una demostración no me creo nada. Veremos qué pasa el 17 de abril y qué dice Microsoft a continuación pero, hasta entonces, dudo de César Cerrudo.
Cubano
Con la tanta inseguridad y
Con la tanta inseguridad y una buena dosis de paranoia uno termina por creerse cualquier cosa que alimente la desconfianza.
Por otro lado, creo que Cerruto lazó la noticia sin demostración para poder decir que fue el primero... así no vale. Lo que si es seguro es que esto aliviará la necesidad diaria que muchos tienen de rajar de los productos de Microsoft :)
Yo también esperaré
Yo también esperaré pero entiendo que Cerruto quiera adelantarse. De todos modos el 18 de Abril ya podremos saber si se tiró un pegote y es un mero fantasma. Paciencia.
En cuanto a la necesidad de "rajar" yo no la siento, pero entiendo al que pueda sentirla. Se trata de productos de gran prevalencia, que muchas veces nos hemos visto obligados a adquirir o que el mismo estado adquiere en nombre nuestro y paga con nuestros impuestos.
Lo mínimo a que tenemos derecho es al pataleo.
Visto lo visto
Hoy mismo Microsoft ha reconocido que conocía una vulnerabilidad (Jet Database Engine) desde hace 3 años y no se ha molestado en arreglarla hasta que los malos han empezado a explotarla:
http://www.computerworld.com/action/article.do?command=viewA...
Así que casi mejor que alguien apremie a los de Redmond...
¿Los productos de Microsoft
¿Los productos de Microsoft inseguros? ¡Por Dios, Cerrudo! ¿Qué te estás metiéndo?....
Chiste facil...
Lo siento, ha sido imposible contenerme...
ahi va...
Windows Server 2008!!! por el culo te la entocho!!!
XDDDD
Que se calle el cerrudo
Esto ya se sabe desde hace tiempo, y ademas es una gilipollez.
http://www.hispasec.com/unaaldia/2660
Precisamente
Si la URL que das tuviera algo que ver con el asunto (que lo dudo) ya le valdría a Microsoft sacar ahora su servidor "más seguro" con el mismo fallo DOS AÑOS DESPUÉS.
Eso!
que se callen todos y solo hablen Haserfroch y sus lameculos.
defender, defender...
quien defiende.. que digo.. quien NO dice que Ms es una puta mierda, es un lameculos y esta bajo cuerda. el que NO dice que linux mola, no tiene ni puta idea. asi me gusta, tolerancia, coherencia y respeto.
si que tiene mucho que ver la url. si no sabes entenderlo, es por eso tu reaccion.
por que cerrudo no lo demuestra? este es el que dijo que iba a sacar el mes de los fallos en oracle y luego no lo hizo, porque se rajo.
Para variar
Siempre que Microsoft saca un nuevo servidor dice que es el mas seguro de todos, dijeron que con Winodws 2003 ya no habria pantallazos azules y hasta ahora siguen.
Como siempre ha de tocar esperar a que salga el SP1 de Windows 2008
Pantallazos azules
Hombre, no va a ser más inseguro que los anteriores.
El figura de los pantallazos azules trabajará con hardware comprado en el rastrillo de la esquina y así le va, ya ni recuerdo la última vez que uno de los 190 servidores que gestiona mi departamento sacó un pantallazo azul.
El Cerruto se rajará, tiempo al tiempo, decir que todo es una mierda es bastante fácil, demostrarlo ya es otra cosa.
Y de la seguridad Linuxera, permítanme una risita. La panda de frikis no sabe que la tecnología de Linux es obsoleta, que su kernel monolítico es una bazofia. Luego hablan de Windows sin conocer siquiera cosas como WFP...
Administré sistemas Unix durante 7 años. Ahora apenas lo hago, por el mismo motivo que apenas programo en ensamblador... es un dolor de cabeza que sólo merece la pena muy de vez en cuando.
Ja!
18 de abril de 2008: Cerrudo demostró y M$ lo confirmó.
Ahora que hablen los fanboys de Bill Gates.
No se oye nada
Parece que se les ha comido la lengua el gato. Espero que todos hayamos aprendido algo...
Menos hablar antes de tiempo!
Pruebas
si pudieras dar un link para ver las pruebas y todo lo que vos dices ya que yo tambien bien puedo hablar pura mierda y nada que demuestro...
Marchando!
http://www.microsoft.com/technet/security/advisory/951306.ms...
Ahora no digas que Microsoft habla también "pura mierda"
Bla Bla Bla
Saben que es lo mas curioso de todo los seguidores de Microsoft lo defienden a capa y espada, los detractores de Microsoft le echan tierra todos los días, pero hay un pequeño detalle por lo menos Microsoft reconoce sus errores y trata y se esfuerza por corregirlos, los detractores de Microsoft que no son mas que seguidores de Linux, parecieran creer que tienen el SO inventado y creado por Dios mismo, y que según ellos no tiene vulnerabilidad alguna, si se cayó el transbordador espacial que se supone que tiene todos los adelantos en tecnologia habidos y por haber, entonces no pretendan creer que ambos sistemas son los mas seguros jamás construídos, por lo menos lo mas humilde es reconocer los errores y corregirlos, no simplemente sacudirse la camisa comosi la cosa no lo alcanzara a uno.
Opinar