Documento informativo sobre seguridad de Microsoft (951306)

Una vulnerabilidad en Windows podría permitir la elevación de privilegios

Publicado: Abril 17, 2008 | Actualizado: Abril 23, 2008

Microsoft está investigando nuevos informes públicos de una vulnerabilidad que podría permitir la elevación de privilegios de usuario autenticado a LocalSystem, que afecta a Windows XP Professional Service Pack 2 y a todas las versiones y ediciones compatibles de Windows Server 2003, Windows Vista, y Windows Server 2008. Los clientes que permitan la ejecución de código proporcionado por el usuario en un contexto autenticado, como sucede en Internet Information Services (IIS) y SQL Server, deben consultar este documento informativo. Los proveedores de hospedaje pueden estar más expuestos a esta vulnerabilidad de elevación de privilegios.

Actualmente, Microsoft no tiene constancia de ningún ataque que intente aprovechar la vulnerabilidad potencial. Una vez terminada la investigación, Microsoft adoptará las medidas adecuadas para proteger a los clientes, que podrían incluir una solución mediante un Service Pack, nuestro proceso mensuales de publicación de actualizaciones de seguridad o una actualización de seguridad independiente, según las necesidades de los clientes.

Información general

Descripción general

Finalidad del documento informativo: Ofrecer a los clientes la notificación inicial y proporcionar información adicional con respecto a las repercusiones en las cuentas de servicio de Windows. Para obtener más información, consulte las secciones Soluciones provisionales y Acciones recomendadas del documento informativo sobre seguridad.

Estado del documento informativo: Publicación del documento informativo.

Recomendación: Revisar y configurar las acciones sugeridas según corresponda.

Referencias	Identificación
Artículo de Microsoft Knowledge Base	951306
Referencia CVE	CVE-2008-1436

Este documento informativo trata sobre el software que se indica a continuación.

Software relacionado
Windows XP Professional Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para sistemas con Itanium y Windows Server 2003 con SP2 para sistemas con Itanium
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para sistemas de 32 bits
Windows Server 2008 para sistemas x64
Windows Server 2008 para sistemas con Itanium

Top of section

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?
Este documento informativo explica los informes públicos de una vulnerabilidad potencial que podría permitir la elevación de privilegios de usuario autenticado a LocalSystem que afecta a Windows XP Professional Service Pack 2, Windows Server 2003, Windows Vista y Windows Server 2008. El software afecta al software enumerado en la sección “Información general”.

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
Una vez terminada la investigación, Microsoft tomará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestro proceso de publicación de actualizaciones de seguridad.

¿Qué provoca esta amenaza?
La ejecución de código especialmente diseñado en el contexto de las cuentas NetworkService o LocalService puede obtener acceso a los recursos de los procesos que también se ejecutan como NetworkService o LocalService. Algunos de estos procesos pueden tener la capacidad de elevar sus privilegios a LocalSystem, lo que permite que cualquier proceso de NetworkService o LocalService eleve también sus privilegios a LocalSystem.

¿Cómo afecta a IIS?
El código proporcionado por el usuario que se ejecuta en IIS, por ejemplo filtros y extensiones ISAPI, y el código ASP.NET que se ejecuta con plena confianza puede estar afectado por esta vulnerabilidad. IIS no está afectado en los siguientes escenarios:

•	Instalaciones predeterminadas de IIS 5.1, IIS 6.0 e IIS 7.0
•	ASP.NET configurado para ejecutar con un nivel de confianza inferior a plena confianza.
•	Código ASP clásico

¿Cómo afecta a SQL Server?
SQL Server está afectado si a un usuario se le conceden privilegios para cargar y ejecutar código. Un usuario con privilegios administrativos podría ejecutar código especialmente diseñado que pudiera aprovechar el ataque. Sin embargo, este privilegio no se concede de forma predeterminada.

¿Hay otras situaciones que podría aprovechar un atacante?
Sí. En Windows Server 2003, un atacante puede aprovechar el servicio Coordinador de transacciones distribuidas de Microsoft (MSDTC) que se ejecuta como NetworkService para adquirir un símbolo (token) de NetworkService en un proceso que se ejecuta como una identidad distinta de una identidad de servicio. Un atacante puede usar este símbolo (token) de NetworkService para elevarse a System si esta identidad de proceso procesara SeImpersonatePrivilege. Esta situación no existe en Windows Server 2008 o Windows Vista.

¿Qué aplicaciones adicionales pueden estar afectadas?
Cualquier proceso con SeImpersonatePrivilege, tal como se describe en el artículo 821546 de Microsoft Knowledge Base, que carga y ejecuta código proporcionado por el usuario que puede ser susceptible de un ataque de elevación de privilegios, tal como se describe en este documento informativo.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Windows XP Professional Service Pack 2 y todas las versiones y ediciones compatibles de Windows Server 2003, Windows Vista y Windows Server 2008 pueden estar expuestas si IIS está habilitado o si SQL Server se instala y configura o implementa en estado vulnerable, tal como se describe en este documento informativo. Los sistemas IIS que permiten a los usuarios cargar código están más expuestos. Los sistemas SQL Server están expuestos si a los usuarios que no sean de confianza se les concede acceso a una cuenta con privilegios. Esto puede incluir a proveedores de hospedaje Web o entornos similares.

Top of section

Acciones recomendadas

Soluciones provisionales

IIS 6.0: Configurar una identidad de proceso de trabajo (WPI) para un grupo de aplicaciones en IIS para que use una cuenta creada en Administrador de IIS y deshabilite MSDTC

Realice los pasos siguientes:

1.	En Administrador de IIS, expanda el equipo local, expanda Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y seleccione Propiedades.
2.	Haga clic en la ficha Identidad y en Configurable. En los cuadros Nombre de usuario y Contraseña, escriba el nombre de usuario y la contraseña de la cuenta en la que desea que funcione el proceso de trabajo.
3.	Agregue la cuenta de usuario elegida al grupo IIS_WPG.

La deshabilitación del Coordinador de transacciones distribuidas ayudará a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para deshabilitar el Coordinador de transacciones distribuidas, realice estos pasos:

1.	Haga clic en Inicio y, a continuación, en Panel de control. También puede, seleccionar Configuración y, a continuación, hacer clic en Panel de control.
2.	Haga doble clic en Herramientas administrativas. También puede hacer clic en Cambiar a vista clásica y, a continuación, hacer doble clic en Herramientas administrativas.
3.	Haga doble clic en Servicios.
4.	Haga doble clic en Coordinador de transacciones distribuidas.
5.	En la lista Tipo de inicio, haga clic en Deshabilitado.
6.	Haga clic en Detener (si se ha iniciado) y, a continuación, en Aceptar.

También puede detener y deshabilitar el servicio MSDTC con el siguiente comando en el símbolo del sistema:

sc stop MSDTC & sc config MSDTC start= disabled

Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones. Como ejemplo de autenticación de Windows, vea el artículo 871179 de Microsoft Knowledge Base. La deshabilitación de MSDTC impedirá que las aplicaciones usen las transacciones distribuidas. La deshabilitación de MSDTC impedirá que IIS 5.1 se ejecute en Windows XP Professional Service Pack 2 y que IIS 6.0 se ejecute en modo de compatibilidad con IIS 5.0. La deshabilitación de MSDTC impedirá la configuración y la ejecución de las aplicaciones COM+.

Top of section

IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS

1.	En Administrador de IIS, expanda el nodo de servidor, haga clic en Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y, a continuación, haga clic en Configuración avanzada…
2.	. Busque la entrada Identidad y haga clic en el botón … para abrir el cuadro de diálogo Identidad del grupo de aplicaciones.
3.	Seleccione la opción Cuenta personalizada y haga clic en Establecer para abrir el cuadro de diálogo Establecer credenciales. Escriba el nombre de cuenta y la contraseña seleccionados en los cuadros de texto de nombre de usuario y contraseña. Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña y, a continuación, haga clic en Aceptar.

Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS7 y no es necesario agregarlas manualmente.

Top of section

IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS con la utilidad de la línea de comandos APPCMD.exe

En el símbolo del sistema, cambie al directorio %systemroot%\system32\inetsrv.

Ejecute el comando APPCMD.exe con la siguiente sintaxis: string es el nombre del grupo de aplicaciones; Username string es el nombre de usuario de la cuenta asignada al grupo de aplicaciones; Password string es la contraseña de la cuenta.

appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string

Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS 7.0 y no es necesario agregarlas manualmente.

Top of section

Recursos:

•	Puede proporcionar comentarios si rellena el formulario en Ayuda y soporte técnico de Microsoft: Póngase en contacto con nosotros.
•	Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte técnico de Microsoft. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.
•	Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
•	Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia:

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones:

•	17 de abril de 2008: Documento informativo publicado
•	23 de abril de 2008: Se ha agregado una explicación de las consecuencias de la solución provisional para IIS 6.0

Principio de la página