Documento informativo sobre seguridad de Microsoft (899588)

Una vulnerabilidad de Plug and Play podría permitir la ejecución remota de código y la elevación de privilegios

Publicado: agosto 11, aaaa | Actualizado: agosto 15, aaaa

Microsoft está analizando de forma activa un gusano malintencionado identificado como “Worm:Win32/Zotob.A” y sus variantes, que circulan actualmente en Internet. También proporciona orientación al respecto. El gusano es un ataque malintencionado que aprovecha la vulnerabilidad de Plug and Play de Windows que se menciona en el boletín de seguridad de Microsoft MS05-039 del 9 de agosto.

Nuestras investigaciones originales han revelado que el gusano ataca de forma remota sistemas con Windows 2000. Para ver más información acerca de este gusano, determinar si su equipo está infectado y consultar las instrucciones para reparar su sistema en caso de infección, visite el sitio Web del incidente de seguridad de Zotob o de la enciclopedia antivirus de Microsoft (Worm:Win32/Zotob.A, Worm:Win32/Zotob.B).

Otras versiones de Windows, como Windows XP Service Pack 2 y Windows Server 2003, no se ven afectadas por “Worm:Win32/Zotob.A” y sus variantes, a menos que ya hayan sido atacadas por otro software malintencionado. Los clientes pueden protegerse de ataques que intenten aprovechar esta vulnerabilidad si instalan de inmediato las actualizaciones de seguridad que se proporcionan en el boletín de seguridad de Microsoft MS05-039. El boletín de seguridad MS05-039 está disponible en el siguiente sitio Web.

Las investigaciones de Microsoft acerca de este ataque malintencionado continúan para determinar la mejor forma de brindar asistencia a los clientes. Trabajamos en colaboración estrecha con nuestros asociados de antivirus y colaboramos con las autoridades en su investigación.

Microsoft está al tanto de que se han publicado en Internet varias versiones del código que aprovecha la vulnerabilidad mencionada en el boletín de seguridad de Microsoft MS05-039: Una vulnerabilidad de Plug and Play podría permitir la ejecución remota de código y la elevación de privilegios (899588). En la sección "Información general" encontrará referencias con información sobre este gusano de Internet.

Nuestras investigaciones sobre este código que aprovecha la vulnerabilidad indican que los clientes que han instalado las actualizaciones que se detallan en MS05-039 no se ven afectados. Microsoft continúa recomendando que los clientes apliquen las actualizaciones a los productos afectados mediante la activación de la función de actualizaciones automáticas en Windows.

Para Microsoft resulta decepcionante que algunos investigadores de seguridad no hayan seguido la práctica común aceptada en la industria de retener la información de la vulnerabilidad hasta que sé a conocer la actualización correspondiente. Con la publicación del código que aprovecha la vulnerabilidad, se puede provocar potencialmente daño a los usuarios. Seguimos pidiendo a los investigadores de seguridad que revelen de forma responsable la información de las vulnerabilidades y que den tiempo a los clientes de aplicar las actualizaciones para no coadyuvar a los intentos criminales de aprovechar las vulnerabilidades de software.

Factores atenuantes:

•	Los sistemas con Windows 2000 están más expuestos a esta vulnerabilidad. Los clientes con Windows 2000 que hayan instalado la actualización de seguridad MS05-039 no se ven afectados por esta vulnerabilidad. Si un administrador deshabilita las conexiones anónimas modificando el valor predeterminado de la clave del Registro RestrictAnonymous a un valor de 2, los sistemas con Windows 2000 dejan de ser vulnerables ante usuarios anónimos remotos. Sin embargo, debido a un alto riesgo de compatibilidad con las aplicaciones, no recomendamos que los clientes modifiquen este parámetro en entornos de producción sin antes realizar pruebas exhaustivas en un entorno controlado. Para obtener más información, busque RestrictAnonymous en el sitio Web de ayuda y soporte técnico de Microsoft.
•	Si bien no son el objeto de este código malintencionado, es importante hacer notar que en sistemas con Windows XP Service Pack 2 y Windows Server 2003, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para aprovechar esta vulnerabilidad. Los usuarios anónimos o aquellos que únicamente disponen de cuentas de usuario estándar no pueden aprovechar esta vulnerabilidad de forma remota en Windows XP Service Pack 2 o Windows Server 2003, dada la seguridad reforzada integrada directamente en el componente afectado. Aun cuando un administrador haya habilitado las conexiones anónimas modificando el valor predeterminado de la clave del Registro RestrictAnonymous, Windows XP Service Pack 2 y Windows Server 2003 no son vulnerables ante usuarios remotos anónimos o usuarios remotos con cuentas de usuario estándar. Sin embargo, el componente afectado queda a disposición remota de los usuarios con derechos administrativos.
•	Si bien no es el objeto de este código malintencionado, es importante hacer notar que en sistemas con Windows XP Service Pack 1, un atacante debe tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para intentar aprovechar esta vulnerabilidad. Los usuarios anónimos no pueden aprovechar esta vulnerabilidad de forma remota. Sin embargo, el componente afectado queda a disposición remota de los usuarios con cuentas de usuario estándar en Windows XP Service Pack 1. El código en su forma actual no está diseñado para proporcionar la autenticación que se requiere para aprovechar este problema en estos sistemas operativos. Aun cuando un administrador haya habilitado las conexiones anónimas modificando el valor predeterminado de la clave del Registro RestrictAnonymous, los sistemas con Windows XP Service Pack 1 no son vulnerables ante usuarios remotos anónimos.
•	Este problema no afecta a Windows 98, Windows 98 SE o Windows Millennium Edition.

Información general

Finalidad del documento: Notificación de ataques activos a clientes y de la disponibilidad de una actualización de seguridad como ayuda para la protección contra esta amenaza potencial.

Estado del documento informativo: Publicación del documento informativo. Puesto que esta cuestión forma parte del boletín de seguridad MS05-039, no se precisa de una actualización adicional.

Recomendación: Los clientes deben instalar la actualización de seguridad MS05-039 para reforzar la protección contra esta vulnerabilidad.

Referencias	Identificación
Referencias de la vulnerabilidad
Referencia CVE	CAN-2005-1983
Boletín de seguridad	MS05-039
Detalles sobre el gusano y cómo se aprovecha la vulnerabilidad
Incidente de seguridad de Zotob	Sitio Web
Enciclopedia antivirus de Microsoft	Worm:Win32/Zotob.A, Worm:Win32/Zotob.B
Symantec	W32.Zotob.A, W32.Zotob.B
F-Secure	Zotob.A, Zotob.B
McAfee	W32/Zotob.worm, W32/Zotob.worm.b

Nota Este documento informativo no se actualizará con las variantes futuras, a menos que haya una diferencia importante en relación con las versiones actuales.

Este documento informativo trata sobre el software que se indica a continuación.

Software relacionado
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Service Pack 1 de Microsoft Windows XP 64-Bit Edition Gold (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition Versión 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 para sistemas con Itanium
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Segunda edición (SE) y Microsoft Windows Millennium Edition (ME)

Top of section

Preguntas más frecuentes

¿Cuál es el alcance de este documento informativo?
Microsoft está al tanto de que se han publicado en Internet varias versiones del código que aprovecha la vulnerabilidad mencionada en el boletín de seguridad de Microsoft MS05-039: Una vulnerabilidad de Plug and Play podría permitir la ejecución remota de código y la elevación de privilegios (899588). Aparentemente, se han adaptado versiones de gusanos de Internet existentes para usarlas con este código. Microsoft sabe ahora que ha habido ataques activos a clientes en los que se intenta aprovechar este problema. Microsoft supervisa activamente esta situación para mantener informados a los clientes y brindarles orientación cuando así se requiera.

Nuestras investigaciones sobre este código que aprovecha la vulnerabilidad indican que los clientes que han instalado las actualizaciones que se detallan en MS05-039 no se ven afectados. Microsoft continúa recomendando que los clientes apliquen las actualizaciones a los productos afectados mediante la activación de la función de actualizaciones automáticas en Windows.

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad adicional por parte de Microsoft?
No. Los clientes que hayan instalado las actualizaciones de seguridad MS05-039 no se ven afectados por esta vulnerabilidad.

¿Qué provoca esta amenaza?
La existencia de un búfer sin comprobar en el servicio Plug and Play. Consulte el boletín de seguridad MS05-039 para obtener más detalles sobre la vulnerabilidad.

¿Para qué puede utilizar un atacante esta función?
Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

Top of section

Acciones recomendadas

•	Los clientes deben instalar las actualizaciones de seguridad MS05-039 para reforzar la protección contra esta vulnerabilidad. Los sistemas con Windows 2000 están más expuestos a esta vulnerabilidad. Los clientes que hayan instalado la actualización de seguridad MS05-039 no se ven afectados por esta vulnerabilidad.
•	Si cree que su sistema está infectado con este gusano o alguna de sus variantes, siga el procedimiento para limpiar su sistema. Para ver las instrucciones que le ayudarán a determinar si su equipo está infectado por este gusano o alguna de sus variantes y las instrucciones para reparar su sistema en caso de infección, visite el sitio Web del incidente de seguridad de Zotob o de la enciclopedia antivirus de Microsoft (Worm:Win32/Zotob.A, Worm:Win32/Zotob.B).
•	Los clientes que piensen que se han visto afectados pueden ponerse en contacto con la oficina local del FBI o enviar su queja a través del sitio Web Internet Fraud Complaint Center. Los clientes que no encuentren en Estados Unidos deben ponerse en contacto con las autoridades locales de su país.
•	Los clientes de EE.UU. y Canadá que piensen que pueden estar afectados por esta vulnerabilidad pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad o virus son gratuitas. Los clientes que vivan en otros países pueden recibir asistencia a través de cualquiera de los métodos que encontrarán en el sitio Web de ayuda y soporte técnico de seguridad para usuarios domésticos. Todos los clientes deben aplicar las actualizaciones de seguridad más recientes dadas a conocer por Microsoft para ayudar a garantizar que sus sistemas estén protegidos contra los intentos de ataques. Los clientes que han activado las actualizaciones automáticas recibirán de forma automática todas las actualizaciones de Windows. Para obtener información adicional acerca de las actualizaciones de seguridad, visite el sitio Web de seguridad de Microsoft.
•	Proteja su PC Seguimos recomendando a los clientes que sigan los consejos de la sección Proteja su PC, a saber: habilitar un servidor de seguridad, obtener actualizaciones de software e instalar software antivirus. La información completa al respecto puede consultarse en el sitio Web Proteja su PC.
•	Mantener actualizado Windows Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite el sitio Web de Windows Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.

Top of section

Recursos:

•	Puede hacernos llegar sus comentarios si rellena el formulario que se encuentra en el siguiente sitio Web.
•	Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información sobre las opciones de asistencia disponibles, visite el sitio Web de ayuda y soporte técnico en línea de Microsoft.
•	Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico internacional, visite el sitio Web de soporte técnico internacional de Microsoft.
•	El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	11 de agosto de 2005: Publicación del documento informativo
•	14 de agosto de 2005: El documento informativo se ha actualizado para informar a los clientes que Microsoft está analizando de forma activa un gusano malintencionado identificado como “Worm:Win32/Zotob.A”, y que también está proporcionando orientación al respecto.
•	15 de agosto de 2005: El documento informativo se ha actualizado para documentar variantes adicionales de Worm:Win32/Zotob.A y para incluir información sobre las consecuencias de modificar la clave del Registro RestrictAnonymous.

Principio de la página