Documento informativo sobre seguridad de Microsoft (921923)

Publicación de código demostrativo que afecta al servicio Administrador de conexión de acceso remoto

Publicado: 23/06/2006

Microsoft tiene constancia de que se ha publicado en Internet código detallado que permitiría aprovechar la vulnerabilidad tratada en el boletín de seguridad de Microsoft MS06-025. Microsoft no tiene actualmente constancia de que se estén produciendo ataques en los que se utilice este código para aprovechar la vulnerabilidad ni de que haya tenido incidencia entre los clientes. No obstante, Microsoft supervisa activamente esta situación para mantener informados a los clientes y brindarles orientación cuando así se requiera.

Nuestras investigaciones sobre este código que aprovecha la vulnerabilidad indican que los clientes que han instalado las actualizaciones que se detallan en MS06-025 no se ven afectados. Microsoft sigue recomendando que los clientes apliquen las actualizaciones a los productos afectados y que para ello habiliten la característica Actualizaciones automáticas de Windows.

Microsoft considera lamentable que algunos investigadores de seguridad hayan incumplido la práctica, comúnmente aceptada en el sector, de no revelar datos sobre vulnerabilidades ante la inmediatez de una actualización, y que hayan publicado código que permitiría aprovechar esas vulnerabilidades, con el consiguiente riesgo de que se vean perjudicados usuarios de equipos informáticos. Seguimos pidiendo a los investigadores de seguridad que revelen de forma responsable la información sobre vulnerabilidades y que den tiempo a los clientes de aplicar las actualizaciones para no coadyuvar a los intentos criminales de aprovechar las vulnerabilidades de software.

Factores atenuantes:

•	Los clientes que hayan instalado la actualización de seguridad MS06-025 no se ven afectados por esta vulnerabilidad.
•	Los sistemas con Windows 2000 están más expuestos a esta vulnerabilidad. Los clientes que ejecuten Windows 2000 deben implementar MS06-025 cuanto antes o deshabilitar el servicio RASMAN.
•	En el caso de Windows XP Service Pack 2, Windows Server 2003 y Windows Server 2003 Service Pack 1, el atacante precisaría credenciales de inicio de sesión válidas para poder aprovechar la vulnerabilidad.
•	Este problema no afecta a Windows 98, Windows 98 SE o Windows Millennium Edition.

Información general

Descripción general

Finalidad del documento informativo: Notificación de la disponibilidad de una actualización de seguridad como ayuda para la protección contra esta amenaza potencial.

Estado del documento informativo: Puesto que esta cuestión ya se trata en el boletín de seguridad MS06-025, no se precisa ninguna actualización adicional.

Recomendación: Instale la actualización de seguridad MS06-025 como medida de protección ante esta vulnerabilidad.

Referencias	Identificación
Referencia CVE	CVE-2006-2370
	CVE-2006-2371
Boletín de seguridad	MS06-025

Este documento informativo trata sobre el software que se indica a continuación.


Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas con Itanium y Microsoft Windows Server 2003 con SP1 para sistemas con Itanium
Microsoft Windows Server 2003 x64 Edition

Top of section

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?
Microsoft tiene constancia de la publicación de código que permitiría aprovechar vulnerabilidades identificadas en la actualización de seguridad de Microsoft MS06-025 y que afectan al software enumerado en la sección “Descripción general”

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
No. Los clientes que hayan instalado la actualización de seguridad MS06-025 no se ven afectados por esta vulnerabilidad. No se precisa de una actualización adicional.

¿Qué provoca esta amenaza?
La existencia de un búfer sin comprobar en las tecnologías de acceso remoto y enrutamiento que afecta específicamente al servicio Administrador de conexión de acceso remoto (RASMAN).

¿Cómo funciona esta característica?
El Administrador de conexión de acceso remoto es un servicio que se encarga de los detalles del establecimiento de la conexión con el servidor remoto. Este servicio también ofrece al cliente información de estado durante la operación de conexión. El Administrador de conexión de acceso remoto se inicia automáticamente cuando una aplicación carga RASAPI32.DLL

¿Para qué puede utilizar un atacante esta función?
Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado.

¿Existen problemas conocidos al instalar la actualización de seguridad de Microsoft MS06-025 que protege frente a esta amenaza?
En el artículo 911280 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Los problemas descritos en el artículo de Knowledge Base sólo afectan a los clientes con conexiones de acceso telefónico a redes que usan secuencias de comandos para la configuración de paridad, bits de parada o bits de datos del dispositivo; a los que utilizan una ventana de terminal tras la conexión, o bien a los que emplean secuencias de comandos para el acceso telefónico a redes. Si los clientes no establecen ninguno de los tipos de conexión de acceso telefónico a redes descritos, es recomendable que instalen la actualización inmediatamente.

Top of section

Acciones recomendadas

Si ha instalado la actualización publicada con el Boletín de seguridad MS06-025, su sistema ya está protegido del ataque identificado en el código demostrativo publicado. Si no ha instalado la actualización o se encuentra en alguna de las situaciones descritas en el artículo 911280 de Microsoft Knowledge Base, es recomendable que deshabilite el servicio Administrador de conexión de acceso remoto.

•

Deshabilitar el servicio Administrador de conexión de acceso remoto

La deshabilitación del servicio Administrador de conexión de acceso remoto le ayudará a proteger el sistema afectado de los intentos de aprovechar esta vulnerabilidad. Para deshabilitar el servicio Administrador de conexión de acceso remoto (RASMAN), siga estos pasos:

1.	Haga clic en Inicio y, a continuación, en Panel de control .También puede, seleccionar Configuración y, a continuación, hacer clic en Panel de control.
2.	Haga doble clic en Herramientas administrativas.
3.	Haga doble clic en Servicios.
4.	Haga doble clic en Administrador de conexión de acceso remoto
5.	En la lista Tipo de inicio, haga clic en Deshabilitado.
6.	Haga clic en Detener y, a continuación, en Aceptar.

También puede detener y deshabilitar el servicio Administrador de conexión de acceso remoto (RASMAN) usando el siguiente comando en el símbolo del sistema:

sc stop rasman & sc config rasman start= disabled

Consecuencias de la solución provisional: Si deshabilita el servicio Administrador de conexión de acceso remoto, no podrá ofrecer servicios de enrutamiento a otros hosts en entornos de red de área ancha y local. Por lo tanto, recomendamos la aplicación de esta solución únicamente en sistemas que no requieren el uso de RASMAN para acceso remoto y enrutamiento.

•

Bloquee lo siguiente en el servidor de seguridad:

•	Puertos UDP 135, 137, 138 y 445; y puertos TCP 135, 139, 445 y 593
•	Todo el tráfico entrante no solicitado en puertos mayores que 1024
•	Cualquier otro puerto RPC configurado específicamente

Estos puertos se utilizan para iniciar una conexión con RPC. Al bloquearlos en el servidor de seguridad, protegerá a los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Asegúrese también de que bloquea cualquier otro puerto RPC configurado específicamente en el sistema remoto. Le recomendamos bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos. Para obtener más información acerca de los puertos que utiliza RPC, visite el siguiente sitio Web.

•

Para protegerse de los intentos basados en red que aprovechen esta vulnerabilidad, utilice un servidor de seguridad personal, como Servidor de seguridad de conexión a Internet, que se incluye en Windows XP y en Windows Server 2003.

De forma predeterminada, la característica Servidor de seguridad de conexión a Internet en Windows XP y en Windows Server 2003 ayuda a proteger su conexión a Internet al bloquear el tráfico entrante no solicitado. Le recomendamos que bloquee toda la comunicación entrante no solicitada que proceda de Internet. En Windows XP Service Pack 2, esta función la desempeña el servidor de seguridad de Windows.

Para habilitar la función del Servidor de seguridad de conexión a Internet mediante el Asistente para configuración de red siga estos pasos:

1.	Haga clic en Inicio y, a continuación, en Panel de control.
2.	En la Vista por categorías predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Configurar o cambiar su red doméstica o de oficina pequeña. El Servidor de seguridad de conexión a Internet está habilitado cuando se elige una configuración del asistente que indica que el sistema está conectado directamente a Internet.

Para configurar manualmente el Servidor de seguridad de conexión a Internet para una conexión, siga estos pasos:

1.	Haga clic en Inicio y, a continuación, en Panel de control.
2.	En la Vista por categorías predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Conexiones de red.
3.	Haga clic con el botón secundario en la conexión en la que desea habilitar el Servidor de seguridad de conexión a Internet y, a continuación, haga clic en Propiedades.
4.	Haga clic en la ficha Avanzadas.
5.	Haga clic para activar la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet y, a continuación, haga clic en Aceptar.

Nota Si desea permitir la comunicación de algunos programas y servicios a través del servidor de seguridad, haga clic en Configuración, dentro de la ficha Avanzadas y, a continuación, seleccione los programas, los protocolos y los servicios que requiera.

•	Los clientes que piensen que se han visto afectados pueden ponerse en contacto con la oficina local del FBI o enviar su queja a través del sitio web Internet Fraud Complaint Center. Los clientes que no encuentren en Estados Unidos deben ponerse en contacto con las autoridades locales de su país.
•	Los clientes de EE.UU. y Canadá que piensen que pueden estar afectados por esta posible vulnerabilidad pueden recurrir al soporte técnico de los Servicios de soporte técnico de Microsoft, llamando al 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad o virus son gratuitas. Los clientes que vivan en otros países pueden recibir asistencia a través de cualquiera de los métodos que encontrarán en el sitio Web de ayuda y soporte técnico de seguridad para usuarios domésticos. Todos los clientes deben aplicar las actualizaciones de seguridad más recientes dadas a conocer por Microsoft para ayudar a garantizar que sus sistemas estén protegidos contra los intentos de ataques. Los clientes que han activado las actualizaciones automáticas recibirán de forma automática todas las actualizaciones de Windows. Para obtener información adicional acerca de las actualizaciones de seguridad, visite el sitio Web de seguridad de Microsoft.
•	Para obtener más información acerca de la seguridad en Internet, los clientes pueden visitar el sitio Web de seguridad de Microsoft.
•	Mantener actualizado Windows Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite el sitio Web de Windows Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.

Top of section

Recursos:

•	Puede hacernos llegar sus comentarios si rellena el formulario que se encuentra en el siguiente sitio Web.
•	Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información sobre las opciones de asistencia disponibles, visite el sitio Web de ayuda y soporte técnico en línea de Microsoft.
•	Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico internacional, visite el sitio Web de soporte técnico internacional de Microsoft.
•	El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	23 de junio, 2006 Publicación del documento informativo

Principio de la página