Documento informativo sobre seguridad de Microsoft (945713)

Una vulnerabilidad en Descubrimiento automático de proxy web (WPAD) podría permitir la divulgación de información

Publicado: diciembre 03, 2007 | Actualizado: enero 09, 2008

Microsoft está investigando nuevos informes públicos sobre una vulnerabilidad en la forma en que Windows resuelve los nombres de host que no incluyen un nombre de dominio completo (FQDN). La tecnología a la que afecta esta vulnerabilidad es Descubrimiento automático de proxy web (WPAD). Microsoft no ha recibido información alguna que indicara que esta vulnerabilidad se hubiera usado públicamente para atacar a clientes y Microsoft no tiene constancia de que haya ningún cliente afectado en este momento. Microsoft está investigando de forma prioritaria los informes públicos. Los clientes cuyo nombre de dominio empieza en un dominio de tercer nivel o posterior, tal como "contoso.co.us", o a quienes no se apliquen los siguientes factores atenuantes, están expuestos a esta vulnerabilidad.

Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización independiente, según las necesidades del cliente.

Factores atenuantes:

Los clientes que no tienen un sufijo DNS principal configurado en su sistema no están afectados por esta vulnerabilidad. En la mayoría de los casos, los usuarios personales que no sean miembros de un dominio no tienen configurado un sufijo DNS principal. Algunos proveedores de servicios de Internet (ISP) pueden proporcionar sufijos DNS específicos de la conexión y este tipo de configuraciones no están afectadas por esta vulnerabilidad.

Los clientes cuyo nombre de dominio DNS está registrado como un dominio de segundo nivel (SLD) debajo de un dominio de nivel superior (TLD) no están afectados por esta vulnerabilidad. Los clientes cuyos sufijos DNS reflejan este registro no están afectados por esta vulnerabilidad. Un ejemplo de un cliente que no está afectado es contoso.com o fabrikam.gov, donde "contoso" y "fabrikam" son dominios de segundo nivel de cliente registrados bajo sus correspondientes dominios de nivel superior “.com” y “.gov ”.

Los clientes que han especificado un servidor proxy mediante la configuración de servidor DHCP o DNS no están afectados por esta vulnerabilidad.

Los clientes que tienen un servidor WPAD de confianza en su organización no están afectados por esta vulnerabilidad. (Consulte en la sección de las soluciones provisionales los pasos específicos para crear un archivo WPAD.DAT en un servidor WPAD).

Los clientes que han especificado manualmente un servidor proxy en Internet Explorer no están expuestos a esta vulnerabilidad al usar Internet Explorer.

Los clientes que han deshabilitado “Detectar la configuración automáticamente” en Internet Explorer no están expuestos a esta vulnerabilidad al usar Internet Explorer.

Información general

Descripción general

Finalidad del documento informativo: Ofrecer a los clientes una notificación inicial, factores atenuantes y soluciones provisionales de la vulnerabilidad divulgada públicamente. Consulte la sección “Acciones recomendadas” del documento informativo.

Estado del documento informativo: Investigación en curso

Recomendación: Revisar y configurar las acciones sugeridas según corresponda.

ReferenciasIdentificación

Referencia CVE

CVE-2007-5355

En el artículo de Microsoft Knowledge Base

945713

Este documento informativo trata sobre el software que se indica a continuación.

Software relacionado

Microsoft Windows 2000 Service Pack 4

Windows XP Service Pack 2

Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2

Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium

Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2

Windows Vista

Windows Vista x64 Edition

Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service Pack 4

Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4

Internet Explorer 6 para Windows XP Service Pack 2

Internet Explorer 6 para Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2

Internet Explorer 6 para Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium

Internet Explorer 6 para Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2

Internet Explorer 7 para Windows XP Service Pack 2

Internet Explorer 7 para Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2

Internet Explorer 7 para Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium

Internet Explorer 7 para Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2

Internet Explorer 7 para Windows Vista

Internet Explorer 7 para Windows Vista x64 Edition

Top of sectionTop of section

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?
Microsoft tiene constancia de un nuevo informe de vulnerabilidad que afecta a Descubrimiento automático de proxy web (WPAD), una característica de Microsoft Windows. La vulnerabilidad afecta al software enumerado en la sección “Descripción general”.

¿Cuál es el significado de los términos empleados en este documento informativo?
Para explicar mejor la naturaleza de la vulnerabilidad, a continuación se ofrecen definiciones breves de la terminología clave usada en este documento informativo:

Dominio de nivel superior (TLD): La última parte de un nombre de dominio de Internet. Son las letras que van después del punto final de cualquier nombre de dominio. Por ejemplo, en el nombre de dominio wpad.western.corp.contoso.co.us, el dominio de nivel superior es “.us”. Los dominios de nivel superior se pueden dividir principalmente en dos tipos: código de país y genéricos. Los dominios de nivel superior de código de país son abreviaturas de dos letras para cada país. En este ejemplo .us corresponde a Estados Unidos. Los dominios de nivel superior genéricos son las abreviaturas de tres (o más) letras reconocidas tradicionalmente, como .com, .net, .org, etc. Para obtener una lista completa de todos los dominios de nivel superior disponibles, consulte la siguiente lista en IANA.

Dominio de segundo nivel (SLD): Un dominio situado directamente “debajo" del dominio de nivel superior, o a su izquierda. En el ejemplo anterior, wpad.western.corp.contoso.co.us, el dominio de segundo nivel es “.co”. El registro más habitual de los dominios de segundo nivel es bajo el dominio de nivel superior. En Estados Unidos el dominio de segundo nivel se usa principalmente para el registro de los estados, como “.co.us” para el estado de Colorado, por ejemplo. Los dominios de segundo nivel que no son de EE.UU. reutilizan los nombres de dominio de nivel superior habituales como “.com.sg”.

¿Cómo funciona esta característica?
La característica Descubrimiento automático de proxy web (WPAD) permite a los clientes web detectar automáticamente la configuración de proxy sin intervención del usuario. La característica WPAD antepone el nombre de host "wpad" al nombre de dominio completo y progresivamente quita subdominios hasta que encuentra un servidor WPAD que responde al nombre de dominio. Por ejemplo, los clientes web del dominio western.corp.contoso.co.us consultarían wpad.western.corp.contoso.co.us, wpad.corp.contoso.co.us y, finalmente, wpad.contoso.co.us. Este proceso se denomina devolución. Para obtener información adicional acerca del servicio de cliente DNS y la devolución, consulte el siguiente artículo de MSDN en la sección acerca de la resolución de nombres para los nombres de dominio de una sola etiqueta e incompletos.

¿Qué provoca esta amenaza?
Un usuario malintencionado puede hospedar un servidor WPAD, posiblemente estableciéndolo como un servidor proxy, para realizar ataques de persona interpuesta contra los clientes cuyos dominios estén registrados como un subdominio de un dominio de segundo nivel (SLD). Para los clientes que tengan configurado un sufijo DNS principal, la resolución DNS en Windows intentará resolver un nombre de host “wpad” incompleto usando cada subdominio del sufijo DNS hasta que se llegue a un dominio de segundo nivel. Por ejemplo, si el sufijo DNS es corp.contoso.co.us y se intenta resolver un nombre de host no calificado de wpad, la resolución DNS intentará wpad.corp.contoso.co.us. Si no lo encuentra, intentará, a través de devolución DNS, resolver wpad.contoso.co.us. Si no lo encuentra, intentará resolver wpad.co.us, que está fuera del dominio contoso.co.us.

Top of sectionTop of section

Acciones recomendadas

Soluciones provisionales

Microsoft ha probado las siguientes soluciones provisionales. Aunque estas soluciones provisionales no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución provisional reduce la funcionalidad, se identifica en la siguiente sección.

Crear un archivo de configuración automática de proxy WPAD.DAT en un host denominado WPAD en la organización para dirigir a los exploradores web al proxy de la organización

Para crear un archivo de configuración automática de proxy WPAD.DAT, siga estos pasos:

1.

Cree un archivo WPAD.DAT que cumpla la especificación de configuración automática de proxy. Para obtener más información acerca de los archivos de configuración automática de proxy (PAC), incluido un archivo de ejemplo, consulte el siguiente artículo de MSDN.

2.

Coloque el archivo WPAD.DAT en el directorio raíz de un servidor web de su organización y asegúrese de que se pueda solicitar anónimamente.

3.

Cree el tipo MIME para el archivo WPAD.DAT en el servidor web de "application/x-ns-proxy-autoconfig".

4.

Cree las entradas adecuadas en el servidor DHCP o DNS de la organización para permitir el descubrimiento del servidor WPAD.

Consecuencias de la solución provisional: Ninguna

Top of sectionTop of section
Deshabilitar Detectar la configuración automáticamente en Internet Explorer

Para deshabilitar la configuración de Detección automática en Internet Explorer, siga estos pasos:

1.

Inicie Internet Explorer.

2.

En el menú Herramientas, seleccione Opciones de Internet.

3.

En la ficha Conexiones, haga clic en Configuración de LAN.

4.

Desactive Detectar la configuración automáticamente en la página Configuración de la red de área local (LAN).

Consecuencias de la solución provisional: Internet Explorer ya no detectará automáticamente la configuración de proxy.

Top of sectionTop of section
Deshabilitar la devolución DNS

Para deshabilitar la devolución DNS automática, guarde lo siguiente en un archivo con una extensión .REG y, a continuación, ejecute regedit.exe /s <nombre de archivo> en un símbolo del sistema administrativo o con derechos elevados:

Nota Consulte Utilizar devolución de nombre de dominio para obtener más información acerca del valor del Registro Utilizar devolución de nombre de dominio.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

Para que los cambios surtan efecto, se debe detener y reiniciar el cliente DNS. Esto se puede realizar en un símbolo del sistema administrativo o con derechos elevados con el siguiente comando:

net stop dnscache & net start dnscache

Consecuencias de la solución provisional: La resolución DNS no realizará la devolución, lo que posiblemente interrumpirá las aplicaciones o configuraciones que se basen en este comportamiento. Las aplicaciones que realicen su propia forma de devolución no se ven afectadas por esta configuración.

Top of sectionTop of section
Configurar una lista de búsqueda de sufijos de dominio

Para crear una lista de búsqueda de sufijos de dominio, guarde lo siguiente en un archivo con una extensión .REG y, a continuación, ejecute regedit.exe /s <nombre de archivo> en un símbolo del sistema administrativo o derechos elevados:

Windows Registry Editor Version 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<lista de búsqueda específica de dominio>

Nota Windows Server 2003 incluye la capacidad de distribuir la lista de búsqueda de sufijos de dominio mediante Directiva de grupo. Para obtener más información, consulte Microsoft Knowledge Base 294785 en la sección acerca de la lista de búsqueda de sufijos de dominio.

Consecuencias de la solución provisional: Cuando se configura una lista de búsqueda de sufijos de dominio en los sistemas cliente, sólo se usa dicha lista en las consultas DNS. No se usa el sufijo DNS principal ni ningún sufijo DNS específico de la conexión. La resolución DNS no realizará la devolución, lo que posiblemente interrumpirá las aplicaciones o configuraciones que se basen en este comportamiento.

Top of sectionTop of section
Top of sectionTop of section
Top of sectionTop of section

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Beau Butler por colaborar con nosotros y por informar de la vulnerabilidad en Descubrimiento automático de proxy web (WPAD).

Recursos:

Puede hacernos llegar sus comentarios si rellena el formulario que se encuentra en el siguiente sitio Web.

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información sobre las opciones de asistencia disponibles, visite el sitio Web de ayuda y soporte técnico en línea de Microsoft.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico internacional, visite el sitio Web de soporte técnico internacional de Microsoft.

El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones: 

3 de diciembre de 2007: Publicación del documento informativo.

9 de enero de 2008: Documento informativo actualizado: La clave del Registro para la solución provisional Configurar una lista de búsqueda de sufijos de dominio se ha corregido con la clave correcta de SearchList.


Principio de la páginaPrincipio de la página