E-Mails de Seguridad de Microsoft falsos y con Malware

 shield_green Hola a todos,

como muchos saben los segundos martes de cada mes anunciamos las actualizaciones de seguridad de nuestra plataforma para ese mes. Estas actualizaciones son comunicadas mensualmente en nuestro newsletter de seguridad y se publican en: www.microsoft.com/latam/seguridad/

Durante los últimos días hemos recibido preguntas de algunos clientes y socios que han estado recibiendo correos electrónicos que dicen ser de “Seguridad de Microsoft”. El correo en cuestión viene adicionalmente con un archivo adjunto que es un ejecutable que reclama ser la última actualización de seguridad y anima al lector del correo a ejecutarla dado que con ello estará seguro.

Si bien los correos falsos con falsas notificaciones no son novedad, ya que han sido un problema por años. Este en particular viene firmado por Steve Lipner, director de Seguridad de Microsoft, y viene con un segmento de firma que aparenta ser PGP y la dirección de envío es securityassurance@microsoft.com

Este correo es sin lugar a ninguna duda SPAM, que en un intento por aumentar la credibilidad incluye firmas de gente y simula esta firma PGP. Adicionalmente, al tradicional spam este incluye una forma de malware o software malicioso, que en específico es Backdoor:Win32/Haxdoor. Actualmente, nuestras soluciones de seguridad (Windows Defender, Microsoft Malicious Software Removal Tool (MSRT), Microsoft Forefront Security for Exchange Server, Microsoft Forefront Client Security, Windows Live OneCare, y Windows Live OneCare Safety) tienen vacunas para limpiar este tipo de infección. Más detalles se pueden encontrar en el Malware Protection Center y aprovecho de recordarles que todos pueden enviar muestras de malware o con sospechas de contaminación, aquí.

Dejando de un lado el mail falso en si, quiero recordarles cuales son nuestras prácticas de comunicación respecto de los boletines y las actualizaciones de seguridad.

Primero, NUNCA, pero NUNCA enviamos archivos adjuntos en la comunicación de las actualizaciones de seguridad. Además, por política interna de Microsoft nunca enviaremos un ejecutable como archivo adjunto. Las formas de obtener las actualizaciones son:

  • Sitios de seguridad de Microsoft (solo del dominio Microsoft.com)
  • Windows Updates
  • Instalación interna en oficinas del usuario a través de WSUS o System Center

Segundo, las notificaciones de boletines de seguridad se envían como texto plano, nunca HTML. Si le llega algo como HTML anunciando ser las actualizaciones del mes, bórrelo.

Tercero,  si bien nosotros usamos PGP para firmar las notificaciones, que venga un bloque de texto en el mail no siginifica que sea válido. Para verificar la autenticidad de un mail que dice ser firmado con PGP puede utilizar nuestras herramientas disponibles aquí.

Finalmente, si la duda lo asalta, pregunte. Si le llega un mail y no sabe si es legítimo vaya a los sitios de Microsoft y verifique. Dónde? Puede revisar en www.microsoft.com/latam/seguridad. Sino cualquier duda adicional, en este mismo blog.

Si tiene dudas adicionales, no deje de revisar el sitio de soporte de Microsoft: http://support.microsoft.com/contactus donde podrá encontrar los centros de soporte y ayuda.

Espero esto les sirva para prevenirse de ataques como este y les ayude a protegerse mejor.

Dudas o comentarios bienvenidos.

Saludos, Christian.-