jueves, 12 de septiembre de 2019

Cómo solventar el error 400 "bad name request" en Outlook Web Access

Trabajando con Exchange 2010 -2013 puede ocurrir que cuando se accede al mail via owa y accedes a las opciones del correo (arriba a la derecha), al pulsar “ver todas las opciones” para, por ejemplo, activar el automatic reply, sale la pantalla de selección de zona horaria y lenguaje:


Tras pulsar ok, da un mensaje de error 400, bad request.

Esto es debido a que el usuario no tiene definido un valor de zona horaria en el buzón de Exchange server 2010

Desde el servidor de Exchange, abrimos la consola, y podemos ver el valor configurado para la cuenta de usuario con Get-MailboxRegionalConfiguration -Identity “username” , sin comillas


En este caso, no se marca el campo lenguaje, lo que está ocasionando los problemas. Aplicamos la time zone y el lenguaje con el siguiente comando:

Set-MailboxRegionalConfiguration -Identity “nombredelbuzon” -Language "es-ES" -TimeZone "Romance Standard Time"


Una vez cambiado, volver a introducir el comando inicial, Get-MailboxRegionalConfiguration -Identity “username”, para verificar que se muestran los datos sin errores.

Si todavía tenias el buzon de owa abierto, haz logoff, logon de nuevo, y deberá estar funcionando sin problemas las opciones avanzadas.

miércoles, 11 de septiembre de 2019

Unable to reload module from vSphere: Solución

A partir de la version 6 de vCenter y, hasta donde llega mi conocimiento, la version 6.5 y sus distintas updates, puedes seguir accediendo al vCenter via plugin flash, con el enlace "https://<vcenter>/vsphere-client/?csp"

Y es posible que te encuentres con este mensaje:


Este mensaje aparece cuando se presenta una incompatibilidad de un modulo del vCenter con el idioma utilizado, en este caso, y  como se ve en la captura, el español.

La solución más lógica es dejar de utilizar el acceso web con plugin y empezar a utilizar la versión html5, aunque a veces sea complicado, no estando del todo fina hasta el update de vCenter a 6.7, o bien porque ya son muchos años los que hemos estado con la misma interfaz web con flash, y cuesta el cambio. Pero merece la pena probarlo, es solo un tema de estética, y hay que empezar a manejar la nueva interfaz. Para ello, entramos al vCenter con "https://<vcenter>/vsphere-client/ui"

Otro modo de entrar y operar sin el error consiste en deshabilitar el módulo problemático.
Entramos en el vCenter con la cuenta administrator@vsphere.local, vamos a los client plugins, y deshabilitamos le plugin del fallo.

La última manera de eliminar el fallo es cambiar el idioma por defecto del navegador, y acceder al vcenter indicando el idioma que queremos utilizar para evitar el error de carga de plugin en español. la dirección de acceso es https://<vcenter>/vsphere-client/?locale=en_US" . Con esto, le indicamos que queremos entrar con la configuración en inglés. Si quieres forzar la configuracion en español, cambias el "en_US" por "es_ES"

domingo, 25 de agosto de 2019

Solventar los problemas de la Security Update de Julio de 2019

Es posible que tras la actualización de Julio de 2019 (Monthly rollup) sobre equipos Windows 7 o Server 2008 R2 sp1 arrancando con UEFI, nos encontremos con que los equipos no arrancan mostrando un fallo del tipo "Info: An error has occurred while attempting to read the boot configuration data.", o bien "Windows cannot verify the digital signature for this file" provocando que el equipo no arranque y solo permita llegar a la pantalla de reparación.


Esto es debido a un error en los parches desplegados por Microsoft. Lo gracioso es que la actualización KB4512506 que causa el problema se lanzó el 13 de Agosto de 2019, y la solución está en la KB4512514, preview para la siguiente actualización, lanzada el 17 de Agosto. De manera que en vez de modificarse la monthly rollup, te puedes encontrar con que tus maquinas actualizadas a partir de las actualizaciones de seguridad mensuales, no arranquen, así que cuidadito con las updates del verano.

Si el problema que se muestra es que efectivamente tu equipo, con arranque UEFI arranca automáticamente a la ventana de recuperación del equipo, la solución consiste en reemplazar los ficheros winload.efi, winload.exe, winresume.efi y winresume.exe. Vamos a ello:
  • Desde la consola de recuperacion, vamos a la ruta donde tengas tu instalacion de Windows. Si es C:\, la ruta es c:\windows\winsxs\C:\windows\winsxs\
  • Entramos en la carpeta "amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.24499_none_b984965a9ca0bb23" sin comillas, todo seguido, sin espacios. Dentro de esta carpeta, veremos 4 archivos.
  • Escribimos "md c:\w" Cambiar la C por la unidad en la que se encuentre tu instalacion. Este comando creará un directorio con el nombre "w" en la raiz de c.
  • Escribimos copy . c:\w . Deberia mostrar "4 archivos copiados"
  • Seguidamente vamos a system32 con cd \windows\system32
  • Escribimos copy c:\w\*.* . Esto reemplazará los anteriores archivos. Puedes hacer previamente una copia de ellos
  • Salimos de la consola, y reiniciamos. 

Solo hay que seguir los pasos de la imagen superior. El equipo debería arrancar sin problemas.

Ah, un pequeño detalle: La carpeta donde se encuentran los 4 archivos corresponde a la copia de los mismos de Junio. Por tanto, se crearan en esa ruta distintos "backups" con lso que podemos afinar la restauracion a lo largo del tiempo, o en caso de no encontrar exactamente la ruta indicada más arriba.

miércoles, 21 de agosto de 2019

Tipo de disco no admitido o no válido para 'scsi0:0'. Asegúrese de que se haya importado el disco.

Para ponernos en situacion sobre la causa y resolucion del aviso "Tipo de disco no admitido o no válido para 'scsi0:0'. Asegúrese de que se haya importado el disco", os comento este ejemplo desde el inicio.


Vamos a instalar un Appliance cualquiera, en este caso, Zabbix, donde indican la descarga en un formato aparentemente válido, VMDK.


Me salto los pasos de descargar el archivo, descomprimir, crear la carpeta de la VM, subir los archivos al datastore y registrar la VM. Hasta aqui, todo perfecto. Es cuando arrancas la Vm cuando te encuentras con el error antes mencionado.

Basicamente, este error viene provocado por una incompatibilidad del archivo VMDK, no tanto por el formato, si es thin, thick, lazy zero, o cualquier otro formato, sino por la compatibilidad del VMDK con el producto de VMware que lo soporta. Me explico: muchas veces, estos archivos se generan pensando en las versiones más simples del producto, y por ello su formato es VMware Fusion, Player o Workstation. El producto ESXi es otra historia, y en este caso, es donde lo hemos subido, y donde la máquina falla a la hora de inicializarse.

Siempre que tratemos con appliances en este formato, la forma más simple de solventar este problema es realizar una conversion de formato a la vez que subimos el appliance a nuestro datastore. Para ello, utilizaremos VMware Converter.

Abrimos la aplicacion y pulsamos sobre Convert Machine.


Tenemos solo los archivos del appliance, no necesitamos poner la maquina en funcionamiento. Solo indicamos en las opciones, "Powered off", y marcamos el archivo de nuestro appliance.


Este paso es importante: indicamos que el destination type es VMware Infrastructure virtual Machine, no un vmware workstation o similar. Ponemos los datos para la conexión con nuestro vCenter (importante, el vCenter, no el ESXi).


Indicamos el nombre de la VM, y la ubicacion que debe tener, y next. Iniciará el despliegue de la VM. Tras esto, podreis arrancarla sin los problemas anteriores.

Después de todo esto, que en el fondo es un "workaround" en caso de encontrarte con este fallo, la moraleja es: si puedes, descarga el appliance en formato OVF (Open Virtualization Format), que no te dará tanta guerra y es fácilmente importable desde la consola de vCenter.

miércoles, 31 de julio de 2019

Habilitar copy-paste para la consola de VMware

Usualmente me conecto a las VM´s via Escritorio Remoto de Windows, pero hay que reconocer que la consola de VMware es cómoda para trabajar, sobre todo en primeras configuraciones, cuando todavia no está bien habilitada la red, por poner un ejemplo. Aunque se echa en falta la simple posibilidad de utilizar el portapapeles. El poder, en tu equipo, copiar por ejemplo un password complicado que debes introducir en la nueva maquina para lo que sea, o peor aún, debes ejecutar un script de cientos de lineas, y no tienes forma de pasarlo, con lo facil que sería con un coypaste.


Copypaste es una opción que originalmente existia en VMware, pero en la version 4.1 se deshabilitó, por problemas de seguridad. Por suerte, es facil habilitarlo, sólo tenemos que seguir los siguientes pasos:
  • Verificar que tenemos las VMware Tools instaladas. Si no es asi, ¡tienes un problema serio! ¡Son vitales! Instalalas sin falta.
  • Apagamos la VM, y vamos a la pestaña "summary". Ahí pulsamos sobre Edit settings.


  • Seguidamente, vamos a la pestaña "VM Options", en las opciones de la izquierda expandimos "Advanced", y pulsamos sobre "Edit Configuration"

  • Nos aparecerán los parámetros de configuración de la VM.Abajo, veremos la opción "add row". Tenemos que añadir los siguientes parámetros:


"isolation.tools.copy.disable", sin las comillas, y en valor, "FALSE", y otra linea mas con "isolation.tools.paste.disable" con valor "FALSE" igualmente, tal y como se ve en la imagen superior.
  • Pulsamos Ok, vamos cerrando los cuadros de dialogo, y ya está. SOlo queda arrancar de nuevo la VM.
Esta opción sólo modifica la VM sobre la que lo has hecho, pero puede ser que quieras activar estas opciones para toda tu granja de servidores. En ese caso, tendrás que modificar las opciones en el host ESX. Para ello, nos conectamos al ESXi como root, hacemos backup del fichero /etc/vmware/config antes de modificarlo, y seguidamente, lo editamos, añadiendo estas entradas al archivo:
vmx.fullpath = "/bin/vmx"
isolation.tools.copy.disable="FALSE"
isolation.tools.paste.disable="FALSE"
Tras esto, guardamos y cerramos el archivo.
Por cierto, la activación no es inmediata, se habilitarán cuando las VM´s se reinicien (o apagando y encendiendo, claro). Ten en cuenta también que si actualizas el host, habrá que volver a realizar los cambios.

miércoles, 12 de junio de 2019

Convertir una version de evaluacion de Windows en una Full Version

Como sabréis, podéis descargaros de la web de Microsoft la versión de evaluación de sus distintos productos, con un periodo de evaluación de 180 días (aunque luego explicaré como prolongar este estado de vida útil, y de manera totalmente legal). La versión de evaluación de Windows Server 2012, por ejemplo, la podeis descargar desde AQUI, así como los nuevos productos que están de camino, como la versión Server 2016.

Lo primero de todo: tu versión de Windows tendrá un aviso como este:


Siendo este el caso, lo primero que haremos será determinar con exactitud la versión de Windows que estamos utilizando. Para ello, abrimos una ventana de comando con privilegios de administrador, y ejecutamos el siguiente comando: DISM /Online /Get-CurrentEdition


Esto nos dirá la edicion que tenemos. Lo siguiente, será saber a qué ediciones podemos optar. Para ello, ponemos el comando DISM /online /Get-TargetEditions:


En este caso, y al ser un Datacenter Evaluation, solo nos da la opcion de actualizar a Datacenter. Pero si la version hubiera sido una Standar Evaluation, nos habria dado opcion de actualizar a una version Standar y a una Datacenter.

Bueno, ya tenemos nuestra version, y el nombre de la version a la que podemos actualizar. Ahora viene el paso en el que cambiamos la version, y el serial number que tengamos para la nueva version. El comando es DISM /online /Set-Edition: <el ID de la edicion, por ejemploServerDatacenter, sin los corchetes> /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula
Obviamente, ¡no pongas las X, sino tu serial number!


Este proceso requerirá dos reinicios. Aunque a veces, la máquina se queda frita por la tarjeta de red, y aunque cambia bien la versión del producto y el serial, no activa. Verifica que tienes conectividad, y dale otro reinicio, en caso de que no. A partir de ahí, es paciencia, o ir a activación, y decirle que active en el momento.

¡No tiene mas! Simple, rápido, y sin andar reinstalando Windows, como pide la versión de Evaluación cuando intentas ponerle una licencia Full Version

miércoles, 5 de junio de 2019

Flipboard ha sido hackeada

Según un comunicado que están recibiendo los usuarios de Flipboard, éstos han tenido accesos no autorizados a sus BBDD, aunque por los sistemas de seguridad que implementan, el riesgo de exposición de las contraseñas es nulo. Aun así, han reseteado todos los pass de acceso, de manera que en nuevos dispotitivos, cuando accedas a tu cuenta de Flipboard, te encontraras con un aviso para el cambio de contraseña. En cambio, en dispositivos donde ya estuvieras logueado, podras seguir accediendo sin problemas.


Adjunto el comunicado al completo:



Con todo esto, aun así, recomiendo el uso de esta herramienta para estar informado en todos los ámbitos que quieras, y perfectamente integrada para su uso en móviles y tablets.

Forzar vaciado de carpeta "Deleted Items" en Office365

Un pequeño problema observado con el trabajo en cuentas de Office365 consiste en el límite que éstas tienen en las carpetas creadas por defecto, como por ejemplo, deleted items. En este caso, el problema es causado por una limpieza del buzón de correo enviando más de 30 Gb a la papelera, y tras eso, forzar el borrado.

Aunque la carpeta nos da el mensaje de que no hay items contenidos en ella, se podían ver miles de mails contenidos. Esto es debido a la política de retención por defecto en la cuenta, que realiza el borrado definitivo e irrecuperable en un periodo de tiempo de 14 días.


Para solventar este problemilla, lo que podemos hacer es forzar la eliminación de los elementos. Aun así, la solución puede llevar 24 horas en aplicarse correctamente. Veamos los pasos a dar:

Abrimos Powershell como administrador local

Ejecutamos esto:
Set-ExecutionPolicy RemoteSigned

Seguidamente,
$UserCredential = Get-Credential

Las credenciales que ponemos son las de usuario administrador en office365, el login de acceso, que será un mail

Si tenemos un proxy, ejecutamos esto:
$ProxyOptions = New-PSSessionOption -ProxyAccessType <Value>

Donde Value será la configuración que necesites, en este caso,
$ProxyOptions = New-PSSessionOption -ProxyAccessType IEConfig

Las opciones posibles son IEConfig, WinHttpConfig o AutoDetect

A continuación, escribimos el siguiente comando:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri 
https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic –AllowRedirection

Si has utilizado proxy, agregas al final -SessionOption $ProxyOptions. O sea, quedaría asi:
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic –AllowRedirection -SessionOption $ProxyOptions
Si da error del este tipo,


Ejecutar el siguiente comando: Import-PSSession $Session –DisableNameChecking

Cargará el cmdlet, y probamos si funciona, con un get-mailbox “tubuzondecorreo”, asi, entrecomillado

Si aparecen los datos del buzon, introducimos el siguiente comando:

Set-mailbox “tubuzondecorreo” -RetainDeletedItemsFor 0

Seguidamente,

Start-ManagedFolderAssistant “tubuzondecorreo”

El proceso de vaciado de los deleted items puede llevar horas. Una vez finalizado, recordar cambiarlo de nuevo a 14 días, con:

Set-Mailbox “tubuzondecorreo” –retainDeletedItemsFor 14

En caso de querer examinar el progreso, puedes utilizar el siguiente comando:

Get-MailboxFolderStatistics usuario@dominio.com  | FT name,foldersize,ItemsInFolderAndSubfolders

para comprobar si el tamaño de "purges" va disminuyendo. Ademas, obtienes el listado detallado de ocupacion de las distintas carpetas. Si lo quieres en un documento de texto, al final del comando, agregamos un pipe (|) con el siguiente contenido:
Out-File -FilePath C:\larutaquequieras\nombredeldoc.txt

Si diera un problema de conexión, utilizar previamente este comando:

Start-ManagedFolderAssistant usuario@dominio.com
Si no, repetir todo el proceso para reconectar.

¡Y esto es todo!

jueves, 23 de mayo de 2019

Obtener un listado de números de serie y modelos de tus equipos

He aquí un pequeño script de Powershell para obtener, a partir de un listado previo de equipos en formato .txt, otro listado igual pero agregando a la lista el número de serie y modelo del equipo.


Ni que decir tiene que las máquinas, ya sean servidores o equipos, deben estar encendidas y accesibles desde tu red. Aquí va el script:

$file= "C:\listado.txt"
$inf = get-content $file
Out-File -FilePath C:\listadocompleto.txt -Append -InputObject "servidor;serial;modelo"
Foreach($server in $inf)

 {
$serial = gwmi win32_bios -computername $server |Select-Object -ExpandProperty SerialNumber
$model = Get-CimInstance -ClassName Win32_ComputerSystem -computername $server | Select-Object -ExpandProperty model


Out-File -FilePath C:\listadocompleto.txt -Append -InputObject "$server;$serial;$model"
}

Como ves, realmente el script ejecuta sobre cada una de las lineas del documento "listado.txt" los comandos gwmi win32_bios -computername, que te va los valores de versión de BIOS, fabricante, nombre de versión, Numero de Serie, y versión (que no es exactamente el modelo).


luego, al comando gwmi win32_bios -computername se le hace un "|" para indicarle que el único dato que queremos extraer es el SerialNumber. En la imagen superior puede ver los dos ejemplos, el comando ejecutado al completo, o sin la selección de SerialNumber.

Con la siguiente linea sucede lo mismo: tenemos Get-CimInstance -ClassName Win32_ComputerSystem -computername, que nos da una serie de valores como el nombre del equipo, propietario, dominio, memoria fisica, modelo (que es lo que nos interesa), y fabricante.


Igual que con el anterior comando, la primera parte nos da bastantes datos, y con el "|" agregamos el "Select-Object -ExpandProperty model" para obtener únicamente el modelo del equipo.

Finalmente, la ultima parte del script mete en un nuevo documento los equipos del listado inicial, y agrega el resto de campos solicitados.

jueves, 16 de mayo de 2019

Vulnerabilidad crítica en Servicio RDP de Windows

Microsoft acaba de publicar una vulnerabilidad 0-Day de carácter crítico, junto con el parche de aplicación.

Esta vulnerabilidad permite a un atacante no autenticado en el sistema realizar una peticion especial de servicio RDP que permitiría la ejecución de código arbitrario en el equipo, y por tanto, podria desde instalar programas, a crear nuevas cuenta de usuario con permisos de administrador.


Además, esta vulnerabilidad es preautenticación (como decía anteriormente basta con realizar una petición especial de servicio), y no requiere interacción por parte de los usuarios.

El boletín de seguridad de Microsoft con los parches a aplicar para distintos sistemas operativos puede encontrarse aquí:

Windows 7, Windows Server 2008, and Windows Server 2008 R2

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


Windows XP, Windows Server 2003
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708


El parche es tan grave que, igual que pasó con el ransomware Wannacry, han publicado parches incluso para Windows Server 2003 y Windows XP

La buena noticia es que solo afecta a los sistemas operativos indicados, Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 y 2008 R2, todos ellos obsoletos, con lo que aunque el riesgo para estos sistemas es alto, no deberían estar funcionando ni en tu casa ni en tu empresa.

No se ven afectados por esta vulnerabilidad Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, ni Windows Server 2012.

Los parches específicos para equipos Windows 7 son el kb4499175-x64.msu y el kb4499175-x86.msu, asi como el kb4500331 para Windows XP, pero si dispones de la posibilidad de implementar el de los links superiores, donde se agregan a una monthly update, mejor que mejor.


Microsoft no ha liberado las PoC (Pruebas de concepto) para esta vulnerabilidad, con el objetivo de dar algo más de margen a los fabricantes de antivirus y antimalware a poner a punto sus soluciones.


Puedes obtener más informacion en el blog de Microsoft, AQUI,

lunes, 6 de mayo de 2019

La VM no arranca con "This virtual machine appears to be in use"

Recientemente me he encontrado con el problema de VM´s funcionando en los equipos locales de algunos usuarios, que reportaban un fallo a la hora de encender la VM. Concretamente, el fallo era "This virtual machine appears to be in use"


Las opciones son, cancelar, para evitar daños, o tomar la propiedad del objeto, el archivo .vmx.
Si seleccionar "tomar la propiedad del objeto", inmediatamente saldrá otro mensaje indicando que la acción ha fallado, imposibilitando la ejecución de la VM. Incluso si revisas los permisos del archivo, verás que probablemente el objeto tenga los permisos adecuados. Entonces, ¿cómo se solventa esto?

La solución es fácil: Si tomases el archivo .vmdk y montases una nueva VM, el problema se solventaría, pero hay una solución más elegante. En los archivos de la VM con el fallo, debemos buscar los archivos .lck o .lock, y eliminarlos. Para eliminarlos, debemos tener cerrado VMware Workstation, o bien hacer retirado la VM de VMware Workstation, aunque luego tendremos que volver a agregarla. Lo que prefieras.
Puedes ser que .lck sea una carpeta, en cuyo caso, la eliminamos igualmente, con todos sus archivos.
Tras esto, ya podrás abrir VMware, o bien agregar de nuevo la VM e iniciarla.

Tras investigar la causa por la que este archivo se queda bloqueado, resultó que el usuario que suele tener este error, en vez de apagar la VM con el "shut down guest file system", solía apagarla con el botón de power off, en algunos casos, seguido del apagado del equipo que ejecuta VMware, sin esperar al cierre de procesos.

domingo, 5 de mayo de 2019

Solventar el problema del "Client integration plugin upgrade" de vSphere Web Client

Aunque VMware en su última version de vCenter Server elimina la necesidad del plugin Shockwave Flash a favor de html5, todavia hay muchas instalaciones que funcionan con sistemas ESXi 5.0, 5.5 e incluso 6.0.

Todas estas instalaciones venian experimentando problemas cada vez que el navegador web se actualizaba, y es que el client integration plugin se ponia "tontorrón", obligando muchas veces a reinstalarlo para funcionar nuevamente en condiciones. Esto es especialmente una faena en versiones de vCenter 5.5 y 6.0, ya que VMware, en su carrera por acabar con el vSphere Client instalable, iba agregando nuevas funciones sólo accesibles desde la consola web.


Ultimamente, con las últimas actualizaciones, se hacia imposible hacer funcionar correctamente este plugin, en la lucha de los navegadores principales (firefox, chrome, explorer) por acabar con Flash y sus múltiples vulnerabilidades. De hecho, te recomiendo que no pierdas tiempo con soluciones como trastear el about:config en los navegadores para forzar la activacion de Flash, porque aunque aparentemente lo vuelva a aceptar, nuestro querido plugin de VMware seguirá dando problemas.

Entonces, ¿cual es la solucion?¿Sigo utilizando el vSphere Client instalado en local, o actualizo el servidor? Pues si tienes dinero y recursos disponibles de hardware, actualiza a la nueva versión de vSphere. Recuerda que la nueva versión consume más RAM que la version antigua de vCenter y ESXi, asi que si vas apurado de recursos, ni siquiera actualizar sea una opción válida.

De forma que la unica opcion para por... volver a una versión antigua de navegador. Más o menos es la misma sugerencia que hace VMware en su knowledge base, como podeis comprobar en ESTE enlace.

En mi caso ,utilizo Chrome, por su consumo, para navegar, pero utilizo firefox para acceder a la consola de VMware. Puedes acceder a una versión válida de Firefox AQUI. Es la version 38.8, última versión funcional antes del comienzo de los problemas con el plugin. No es necesario desinstalar la versión que tengas instalada, sobreescribe los archivos y mantiene favoritos y opciones, incluso los plugins instalados (plugins, no complementos).


Ten en cuenta que es probable que tengas que darle al menos un reinicio a la maquina para que detecte bien el plugin, y eliminar la caché del navegador, que muchas veces, aunque muestra el plugin funcionando correctamente, se empeña en seguir mostrando el mensaje de error

jueves, 18 de abril de 2019

Solucion al ransomware Planetary

Desde el año pasado se vive un aumento notable de ataques de ransomware en prácticamente todo el mundo, produciéndose ya no por delincuentes en solitario, sino por el trabajo de bandas organizadas de ciberdelincuentes. Y como el ransomware con sus pagos en bitcoin para dificultar la trazabilidad del pago, no hay nada mejor para sus fines.

Pero estamos de enhorabuena para el caso del ransomware Planetary, ya que se ha publicado un decryptor para los archivos infectados. Reconoceremos este ransomware porque las extensiones modificadas de los archivos tienen nombres de planetas: neptune, pluto, mira (este es de un videojuego), o bien .planetary, que fue el nombre original de la extensión. En cada nueva iteración van modificando el nombre de la extensión.

Como pasa con todos los ransomware, si tu equipo ha sido infectado, en la carpeta de los archivos infectados encontraras un fichero readme, donde se indica como contactar con los delincuentes para efectuar el pago.


Lo primero que debemos hacer es descargar el desencriptador desde ESTE ENLACE. Cuando lo ejecutemos ,veremos que nos pide lo habitual en este tipo de programas: un archivo infectado, el mismo archivo sin infectar (algo que te copiases en un pendrive vale, por ejemplo, mientras fuera el mismo archivo), y el archivo readme, que contiene un código que los delincuentes utilizan para generar el código de desencriptado, igual que este programa.


Con estos datos, le llevará un poco de tiempo dar con el código de desencriptado. Una vez lo descubre, la pantalla del programa cambia a una de ruta de archivos infectados, para que indiques dónde debe actuar.

IMPORTANTE: este programa desencripta tus archivos, pero no elimina el ransomware. ¡Tenlo en cuenta! Lo segundo a tener en cuenta es que a veces se generan varios archivos readme, con lo que es posible que debas generar varias claves de desencriptado para distintas carpetas o unidades de disco.

domingo, 14 de abril de 2019

El libro de VMware por vExperts

Hace unos meses, un grupo de los más destacados divulgadores de VMware y reconocidos blogueros tanto de España como de America latina, coincidiendo en uno de los eventos del VMworld, empezaron a desarrollar la idea de crear un "libro definitivo" sobre VMware, un Vademecum sobre las distintas herramientas que ofrece esta empresa. Ademas, este libro se basaría en dos premisas. Por una parte, ayudar a la comunidad informática, y por otra, más importante, ofrecer los beneficios que este libro pueda generar, a dos ONG: la primera es CEAFA (confederación no gubernamental de ayuda a personas y familiares con Alzheimer) y la segunda elegida es  El Proyecto Banani (que su principal objetivo es ayudar a construir la casa de maternidad / hospital Banani en el País Dogon, en Mali).



 Sinceramente, cuando me enteré del proyecto, pensé que las intenciones eran buenas, pero el libro seria una mezcla de diferentes artículos introductorios a distintas tecnologías de VMware, en cierto modo potenciaba esta idea al saber que iba a ser creado por 14 blogueros distintos. Que sí, todos ellos publicando unos artículos excelentes en sus respectivas webs, pero suponiendo que lo que se publicaría serian sus artículos básicos sobre ,por ejemplo, como instalar un ESXi, y cosas asi.

Craso error, por mi parte. Después de dedicarle un par de horas iniciales a la lectura del libro, todavía quiero leer mas, necesito leer capítulos de partes de VMware que todavía no he tocado en mi vida profesional, y quiero repasar conocimientos de lo que toco prácticamente todos los dias en mi entorno de trabajo. Es mas, me atrevería a decir que este libro debería ser una biblia de VMware, el manual de referencia básico para esta tecnología.

Cada autor (mejor dicho, co-autor) del libro ha realizado un excelente trabajo con cada uno de sus capítulos, pudiéndose notar la diferencia de estilos de cada uno. Si bien un capítulo parece que hayan esquematizado la lección, como si te presentaran unos apuntes, eso si, perfectamente explicados y concisos, en otro nos podemos encontrar un estilo mas "paso a paso" del montaje de algo. No queda para nada mal, y si ya eras lector habitual de las webs de los autores, detectarás de quien es cada artículo fácilmente.

 Descarga vmware por vExperts

Si pulsas sobre la imagen superior accederás a la web del libro, donde podrás descargarlo, sin coste alguno, en formato .pdf y .epub. También te encontrarás una encuesta donde podrás valorar si te interesa la salida en papel de este libro.

Ten en cuenta que tras este libro hay un trabajo colosal de horas, y nadie gana nada con ello, puesto que es un trabajo solidario, de manera que os animo a realizar una donación benéfica en el link de Paypal que ponen en su web, que es ESTA URL. Veréis que es una enlace de donación de Amafestival, un festival organizado para financiar la primera fase de ayuda en Mali.

Venga, rascaos un poco el bolsillo, aunque sea por el importe de un café, puesto que tanto el libro como el uso que se le dará a ese dinero merecerá la pena.

martes, 2 de abril de 2019

Multiples vulnerabilidades en productos de VMware

El Instituto Nacional de Ciberseguridad (INCIBE) ha anunciado una serie de vulnerabilidades que afectan a una variada gama de productos de VMware, incluyendo los más actuales.

El anuncio de estas vulnerabilidades se ha producido el 29 de Marzo, y como se ve en la imagen, se ha marcado como de importancia crítica. Este es el anuncio del INCIBE, con los enlaces de los distintos parches de seguridad a aplicar:

Recursos afectados:

VMware vCloud Director for Service Providers (vCD), versión 9.5.x;
VMware vSphere ESXi (ESXi), versiones 6.0, 6.5 y 6.7 en cualquier plataforma;
VMware Workstation Pro / Player (Workstation), versiones 14.x y 15.x en cualquier plataforma;
VMware Fusion Pro / Fusion (Fusion), versiones 10.x y 11.x en OSX.

A continuación se encuentran las distintas soluciones publicadas:


VMware vCloud Director para proveedores de servicios (vCD), actualizar a la versión 9.5.0.3;
VMware vSphere ESXi (ESXi):
para la versión 6.0, aplicar el parche ESXi600-201903001
para la versión 6.5, aplicar el parche ESXi650-201903001
para la versión 6.7, aplicar el parche ESXi670-201903001
VMware Workstation Pro (Workstation):para las versiones 14.x, actualizar a 14.1.7
para las versiones 15.x, actualizar a 15.0.4
VMware Workstation Player (Workstation):para las versiones 14.x, actualizar a 14.1.7
para las versiones 15.x, actualizar a 15.0.4
VMware Fusion Pro / Fusion (Fusion):para las versiones 10.x, actualizar a la versión 10.1.6
para las versiones 11.x, actualizar a la versión 11.0.3


VMware vCloud Director para proveedores de servicio contiene una vulnerabilidad de secuestro de sesión remota en los portales Tenant y Provider. La explotación de esta vulnerabilidad podría permitir a un atacante malicioso acceder a dichos portales, haciéndose pasar por un usuario con la sesión iniciada en ese momento. Se ha reservado el identificador CVE-2019-5523 para esta vulnerabilidad.
Un atacante con acceso a una máquina virtual en VMware ESXi, Workstation o Fusion que disponga de un controlador USB 1.1 virtual, podría explotar una vulnerabilidad de lectura/escritura fuera de límites o una de Time-of-check Time-of-use (TOCTOU), que le permitiría ejecutar código en el host. Se han reservado los identificadores CVE-2019-5518 y CVE-2019-5519 para estas vulnerabilidades.
VMware Workstation y Fusion tienen una vulnerabilidad de escritura fuera de límites en el adaptador de red virtual e1000, que podría permitir a un atacante ejecutar código en el host. Se ha reservado el identificador CVE-2019-5524 para esta vulnerabilidad.

VMware Workstation y Fusion tienen una vulnerabilidad de escritura fuera de límites en los adaptadores de red virtuales e1000 y e1000e, que podría permitir a un atacante ejecutar código en el host, aunque es más probable que resulte en una condición de denegación de servicio (DoS). Se ha reservado el identificador CVE-2019-5515 para esta vulnerabilidad.

VMware Fusion tiene una vulnerabilidad de falta de autenticación en las API a las que se puede acceder a través de un web socket. Un atacante podría explotar esta vulnerabilidad engañando al usuario del host para que ejecute un JavaScript con el fin de realizar funciones no autorizadas en el equipo invitado en el que está instalado VMware Tools. Se ha reservado el identificador CVE-2019-5514 para esta vulnerabilidad.

Enlace original del Incibe

lunes, 1 de abril de 2019

Un pequeño resumen de eventos de Windows

Puntualmente toca hacer una pequeña visita al Visor de Eventos de los servidores para buscar diversas cosas, desde accesos puntuales a carpetas auditadas, pasando por eventos de logon y logoffs, conexiones remotas exitosas y fallidas, etc... Y siempre, con el mismo procedimiento, que consiste en buscar de donde se pueda algún índice de eventos de Windows que nos ayude a filtrar los Ids. de los eventos.


Aquí vamos con un pequeño resumen de eventos para simplificar la búsqueda. Básicamente, lo más común:



Para finalizar, recomiendo una visita a la web de ultimatewindowssecurity, donde tendréis un buscador de eventos bastante bueno para hacer búsquedas más precisas. Tambien en esta web teneis una miniguia de eventos en PDF descargable despues de facilitar tu mail. Como eso de ir dando el mail no tiene gracia, AQUI dejo el enlace directo al documento.

¡Que lo auditeis bien!

miércoles, 27 de marzo de 2019

Guia rápida de VMware Cloud en AWS

Con el fin de ofrecer una forma rápida y sencilla de ayudar a los clientes a empezar a trabajar con VMware Cloud en AWS, VMware ha publicado un póster con el nombre de VMware Cloud en AWS Quick Reference. 

Click para agrandar
Este póster está dividido en cinco secciones, cada una de ellas con títulos hipervinculados, que proporcionan información adicional, con la excepcion de la sección de Reglas del Firewall donde se puede hacer clic en cada uno de los subtítulos en lugar del encabezado principal. El póster es también una buena representación visual de los diferentes tipos de conectividad dentro de VMware Cloud en AWS.

Este es un pequeño resumen de lo que vas a encontrar en cada una de las 5 secciones:

  • Descripción general de la infraestructura: Un diagrama de alto nivel que muestra las relaciones entre el centro de datos local, VMware Cloud en AWS SDDC y los servicios nativos de AWS.
  • Red Empresarial HCX: Un diagrama detallado que cubre los componentes HCX, conectividad, flujos y puertos utilizados entre el centro de datos local y VMware Cloud en AWS.
  • Topología de Direct Connect: Esta sección muestra los componentes y la topología general de la utilización de AWS Direct Connect (DX) para la conectividad entre el centro de datos local y VMware Cloud en AWS.
  • NSX-T AWS Connected VPC: Este diagrama presenta una visión general de cómo se produce la comunicación entre VMware Cloud en AWS VPC y el VPC de un cliente si utiliza servicios nativos AWS.
  • Reglas del firewall: La sección final incluye una lista de las reglas más comunes del firewall utilizadas entre el centro de datos local y VMware Cloud en AWS para Management Gateway, HCX y Site Recovery.
El enlace a este poster para su descarga en PDF lo puedes encontrar AQUI.

Pero si te gustan este tipo de resúmenes en formato poster, AQUI podras encontrar unos cuantos más (el poster de referencia de VMware PowerCLI es impresionante).

lunes, 25 de marzo de 2019

Ya llega el AWS Summit 2019 en Madrid

Como todos los años, ya tenemos encima el AWS Summit 2019 en Madrid. De nuevo será en el Ifema, y la fecha elegida, el 7 de Mayo. Este año será especialmente interesante puesto que del anterior Summit a este se han introducido muchas herramientas para IA y Machine Learning, ademas de mejorar apartados clásicos como por ejemplo EC2 y S3, por mencionar un par.


La agenda de este año es la siguiente:

09:00 - 10:00 Registro y Expo
10:00 - 10:30 Bienvenida e introducción - Miguel Álava, Director AWS
10:30 - 12:30 Keynote - Mai-Lan Tomsen Bukovec, Vice President and General Manager,  Amazon S3, AWS
12:30 - 13:00 Coffee Break
13:00 - 13:45 Sesiones
13:45 - 15:00 Lunch Break y Expo
15:00 - 19:00 Sesiones

El plato fuerte del evento suelen ser las sesiones en diversas salas. Este año, tendremos estas para elegir:

13:00 - 13:45: Cómo escoger el tipo de Base de Datos correcto para tus aplicaciones
15:00 - 15:45: Patrones de diseño para NoSQL
16:00 - 16:45: Bases de datos relacionales escalables con Amazon Aurora  
17:15 - 18:00: Plataformas de Datos Modernas en AWS
18:15 - 19:00: Analítica sin Servidores con Amazon S3, Amazon Athena and Amazon Quicksight

Y aquí tenemos el video de presentación de este año:


Como todos los años, habrá una zona para hablar con los expertos de AWS donde resolverán tus dudas, o bien podras visitar los stands de los más importantes partners de AWS que podrán aconsejarte tanto de sus propios productos, como de lo que se puede hacer con ellos en conjunción con AWS.

Por cierto, el link para registrarse, AQUI. Si estás interesado en los servicios de AWS, este evento es un MUST en tu agenda.

¡Nos vemos en el AWS Summit 2019!

domingo, 24 de marzo de 2019

Compartir disco RDM para cluster en VMware

A la hora de configurar un cluster con VMs en VMware una de las prácticas habituales ha sido hacerlo "a la antigua", con tu conector iSCSI, y la publicación de un volumen por este medio a los distintos nodos. Pero hay una forma más fácil de presentar el disco para quorum, y más eficaz: vamos a presentarle directamente un disco RDM.


Partimos de que ya tenemos creado nuestro disco RDM en el datastore que estemos utilizando. Supongamos que queremos presentar el disco a un cluster de sólo 2 nodos.

Lo primero que debemos hacer es agregarle a nuestra VM una nueva controladora SCSI. Editamos la configuracion de la VM, y en la parte inferior de la ventana, expandimos el menú de "nuevo dispositivo" y seleccionamos "controladora SCSI". Pulsamos agregar.

Expandimos el menú de la nueva controladora SCSI:


Debemos cambiar el primer valor, poniendo el uso compartido de bus SCSI en "físico". El tipo de bus se puede dejar como está, pero yo lo suelo cambiar a VMware Paravirtual.  Son prácticamente iguales, pero este último está más optimizado para un número alto de IOPs. Una vez modificado el tipo y el uso de la controladora, aceptamos.

Una vez agregada la controladora, agregaremos el disco RDM. Como antes, editamos la configuracion de la VM, y en el cuadro de nuevo dispositivo, lo expandimos y seleccionamos "Disco RDM"


Seleccionamos el disco que queremos agregar, en este caso un pequeño disco de 10 GB de prueba, y damos a aceptar.

Ok, la parte que viene ahora es importante: expandimos la ventana del nuevo disco, de manera que todavia no salimos de la ventana de configuracion de la VM. La ultima opcion del disco que se muestra es "nodo de dispositivo virtual", y por defecto apunta a la controladora SCSI 0 que viene con la VM por defecto. Bien, pues cambiamos este valor a la controladora SCSI 1 que agregamos anteriormente


Ahora si, pulsamos aceptar, y dejamos configurado el disco RDM en la nueva controladora SCSI 1. Ya hemos terminado con el primer nodo.

Para el segundo nodo, prácticamente repetimos los pasos, con una pequeña variante. Los pasos serian estos:
Agregamos la controladora SCSI, como hicimos con el primer nodo, y modificamos los valores exactamente de la misma manera: uso compartido físico, y tipo VMware Paravirtual. Aceptamos.
Volvemos a editar la configuración del segundo nodo, para agregar un nuevo dispositivo, pero esta vez seleccionamos "disco duro existente". El disco que agregaremos será el VMDK que se habrá presentado al anterior nodo. Si no sabes la ubicación exacta, cancela la ventana, editas la configuración del primer nodo para ver dónde se encuentra el disco RDM, y vuelves a editar el segundo nodo ,para agregar ese disco. IMPORTANTE: editar este nuevo disco duro existente para que también funcione con la controladora SCSI 1 que agregamos anteriormente.

Con esto, ya tenemos presentado el disco RDM a los dos nodos. Por cierto, esto funciona tanto para VMs con SO Linux como Windows

lunes, 11 de marzo de 2019

Como calcular la sobresuscripcion de CPU

La principal ventaja que podemos encontrar a la visualización de nuestras máquinas reside en la posibilidad de aprovechar mejor los recursos de nuestro hardware, normalmente infrautilizados con un único servicio por servidor. O lo que es lo mismo, donde antes teníamos un servidor cuya única función podía ser, por ejemplo, un Domain Controller que normalmente nunca en su vida vería su CPU llegando ni al 10% de uso, ahora en esa misma máquina física podemos montar un ESXi que soporte, un número x de máquinas virtuales que nos permita exprimir esos recursos. Esto es posible mendiante la sobresuscripcion de recursos.



Dejando fuera el espacio en disco, que normalmente estará alojado en un datastore, los recursos que vamos a exprimir normalmente son CPU y RAM. En este post, nos centraremos en la CPU.

Primero, vamos a diferenciar entre el procesador físico y el virtual. Por una parte tenemos los pCPU, los procesadores que trae el host que soportará el funcionamiento de las máquinas virtuales. Vamos a tomar como ejemplo, el siguiente caso:


Aquí vemos un servidor con un solo socket instalado. Ese socket contiene 6 cores, o pCPUs, que con hyperthreading activado, funcionan como si hubiera 12 pCPUs. Por eso vemos que indica que tiene 6 cores, pero 12 procesadores lógicos.

Por otra parte tenemos los vCPUs, los procesadores virtuales asociados a este equipo. Supongamos que este servidor aloja 6 VM´s con 4 vCPUs cada una. Esto haría un total de 24 vCPUs corriendo solo tan solo 12 pCPUs. Esto es posible porque las vCPUs son, eso, virtuales. Realmente lo que asignas son una serie de recursos físicos máximos a esa máquina virtual. O dicho de otra manera, un porcentaje máximo de tiempo de procesador del que puede hacer uso del pool de recursos del host físico que la soporta. Y como normalmente las máquinas no hacen un uso intensivo del procesador, esto significa que puedes asignar más recursos virtuales que recursos físicos tiene la máquina.

¿Y cuantos vCPUs puedes asignar por pCPU? 

Pues según las tablas de máximos asignables en vSphere 6.7, nos encontramos con 32 vCPUs por núcleo. En la imagen de arriba vemos que tenemos un vSphere 5 licenciado para un unico socket, con lo que no da para jugar con muchas máquinas, pero si fuera un vSphere 6.7 significa que podríamos tener hasta 12x32 CPUs = 384 vCPUs corriendo en ese host. Menuda salvajada, ¿verdad?

Esto no quiere decir que aunque podamos asignar tantos procesadores a las VMs, debamos hacerlo. Existe un ratio recomendado de sobresuscripcion de procesadores, que varia según distintas fuentes de información. Un ratio clásico seria un 4:1, o sea, 4 vCPUs por pCPU, pero otros recomiendan hasta un ratio 8:1.

Ahora bien, lo suyo es realmente hacer el cálculo de uso en función del consumo de tus VM´s. Como decía, no es lo mismo una VM con una función de File Server que una VM con un Oracle BI, por ejemplo.

Cómo realizar un cálculo de vCPUs

El valor más valioso con el que vamos a contar para realizar el cálculo de las vCPUs que necesitamos en nuestra VM es el valor "CPU Ready" en el host. Este valor nos informa del tiempo que la VM está esperando a que el host asigne recursos de pCPU a nuestros vCPUs

Se recomienda que el CPU Ready esté por debajo del 5%. Para ello, recurriremos a la gráfica del vCenter. Los cálculos se realizan mediante la siguiente fórmula: 

(x ms / 20.000 ms) * 100 = %rdy

Pero es más fácil utilizar una tabla de cálculo rápido, por ejemplo, esta:

1% = 200ms
5% = 1000ms
10% = 2000ms
100% = 20000ms

Estos cálculos son por vCPU, de forma que mirando las máquinas que estamos tomando como ejemplo, con 4 vCPUs, las cifras se cuadruplicarán. O sea, una máquina con un Average de 4.000 ms pero con 4 vCPUs tendra un equivalente a 1.000 ms/vCPU, y por tanto un 5% de tiempo de espera de planificacion de procesador, algo aceptable.

Click en la imagen para agrandar

En este caso, he puesto en la gráfica los siguientes valores:


Esto ayuda a leer la gráfica sin entrar en los cálculos de antes. Si os fijáis en la imagen grande anterior, obtenemos para la VM del ejemplo un tiempo de planificación ligeramente superior al 5%, lo que es aceptable, en los límites. Habría que ver cómo se comporta la VM con una carga de trabajo intensa.

Espero que no haya resultado muy confuso. Al final, una vez pones los valores de Usage Average Percentual en la gráfica, la cosa se simplifica mucho.

A modo de curiosidad, os dejo este LINK a los valores máximos de configuración de vSphere 6.5, para que veais a dónde se puede llegar con esta herramienta