*
Microsoft TechNet*
resultados de Bing
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-009
Un problema en el filtro de detección de intrusiones DNS de ISA Server podría provocar una denegación de servicio (331065)
 

Expuesto originalmente: 19 de marzo de 2003

Resumen

 

Quién debería leer este boletín: Los administradores de sistemas que ejecuten Microsoft® Internet Security and Acceleration (ISA) Server 2000

 

Alcance de la vulnerabilidad: Denegación de servicio

 

Gravedad máxima: Moderada

 

Recomendación: Los administradores de sistemas deben considerar la instalación de la revisión de seguridad.

 

Boletín para el usuario final: Existe una versión de este boletín para el usuario final en: www.microsoft.com/latam/seguridad/boletines/MS03-009/MS03-009_USER.asp

 

Software afectado:

  • Microsoft ISA Server

 
 
Detalles técnicos
 

 

 

Descripción técnica:

 

Microsoft Internet Security and Acceleration (ISA) Server 2000 tiene la capacidad de aplicar filtros de aplicación al tráfico entrante. Los filtros de aplicación permiten a ISA Server analizar una secuencia de datos dirigida a una aplicación concreta y llevan a cabo procesos específicos de la aplicación, como la inspección, el filtrado o el bloqueo, la redirección o la modificación de los datos a medida que pasan por el servidor de seguridad. Este mecanismo se utiliza como protección contra direcciones URL no válidas o ataques contra servidores internos del Servicio de nombres de dominio (DNS).

 

Existe un problema en el filtro de aplicación de detección de intrusiones DNS de ISA Server, ya que el filtro no gestiona correctamente un tipo concreto de solicitud cuando explora las solicitudes DNS entrantes.

 

Un atacante podría aprovechar este punto vulnerable para enviar una solicitud especialmente diseñada a un equipo ISA Server que publique un servidor DNS, lo que podría provocar una denegación de servicio al servidor DNS publicado. Las solicitudes DNS que llegasen a ISA Server serían bloqueadas por el servidor de seguridad y no pasarían al servidor DNS interno. El resto de funciones de ISA Server no se verían afectadas.

 

Factores atenuantes:

  • De forma predeterminada, no se publica ningún servidor DNS. La publicación de servidores DNS se debe habilitar manualmente.

  • La vulnerabilidad no permitiría a un atacante obtener privilegios sobre un servidor afectado ni comprometería el contenido almacenado en la caché del servidor. Se trata exclusivamente de una vulnerabilidad de denegación de servicio.

Gravedad:  

 

ISA Server 2000

Moderada

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad: CAN-2003-0011  

 

Versiones probadas:
 

Microsoft ha realizado pruebas con Proxy Server 2.0 e ISA Server para determinar si este punto vulnerable podría afectar a estas versiones.

 

 
 
Preguntas más frecuentes
 

 

 

¿Cuál es el alcance de esta vulnerabilidad?

Se trata exclusivamente de una vulnerabilidad de denegación de servicio. Un atacante que aproveche este punto vulnerable puede hacer que un sistema ISA Server deje de enviar solicitudes entrantes del Servicio de nombres de dominio (DNS) a un servidor DNS publicado. El reinicio del servicio ISA Server permitiría que la publicación de servidores DNS y la detección de intrusiones DNS funcionaran de nuevo correctamente, aunque el servidor seguiría siendo vulnerable a otro ataque de denegación de servicio.

 

¿Podría un atacante aprovechar la vulnerabilidad para tomar el control de un equipo ISA Server?

No. Sólo se trata de un ataque de denegación de servicio. No hay ninguna posibilidad de usurpación de privilegios administrativos.

 

¿Podría un atacante aprovechar la vulnerabilidad para infringir la seguridad de un servidor de seguridad?

No. No hay ninguna posibilidad de aprovechar este punto vulnerable para reducir la seguridad que proporciona el servidor de seguridad. Sólo se puede utilizar para evitar que ISA Server pase nuevas solicitudes DNS al servidor DNS publicado.

 

¿Podría un atacante que intentara aprovechar esta vulnerabilidad actuar desde Internet?

Sí, la solicitud especialmente diseñada podría enviarse desde Internet a un equipo que ejecute ISA Server.

 

¿Qué es ISA Server?

ISA Server ofrece un servidor de seguridad empresarial y una caché Web de elevado rendimiento. El servidor de seguridad protege la red mediante el control de los recursos a los que se puede acceder a través del servidor y de las condiciones de acceso. La caché Web ayuda a mejorar el rendimiento de la red mediante el almacenamiento de copias locales del contenido Web que se solicita con más frecuencia.

 

¿Qué es el Servicio de nombres de dominio (DNS)?

El Servicio de nombres de dominio (DNS) es un servicio que resuelve los nombres de dominio en direcciones IP. Por ejemplo, un equipo cliente que desee visitar el sitio Web http://www.microsoft.com debe resolver en primer lugar el nombre de dominio "microsoft.com" en su correspondiente dirección IP de Internet. Para ello, se pone en contacto con un servidor DNS.

 

¿Qué es la publicación de servidores DNS?

La publicación de servidores DNS permite a los administradores configurar un sistema ISA Server para enviar solicitudes de resolución de nombres DNS desde una red externa al servidor DNS interno de una organización.

 

¿Qué es el filtro de detección de intrusiones DNS?

Cuando se configura para la publicación de servidores DNS, el filtro de detección de intrusiones DNS explora las solicitudes DNS entrantes antes de que pasen al servidor DNS interno para ser procesadas. El filtro explora las solicitudes entrantes como medida de protección contra determinadas formas de ataque remoto.

 

¿Qué problema tiene el filtro de detección de intrusiones DNS de ISA Server?

El filtro de detección de intrusiones DNS no gestiona correctamente un tipo concreto de solicitud DNS en una circunstancia específica. Si se recibiera este tipo de solicitud, podría bloquear la respuesta de la función de publicación de servidores DNS. La detección normal de intrusiones del resto de las solicitudes, así como el resto de las operaciones de ISA Server, no se verían afectadas.

 

¿Qué importancia tiene la amenaza que representa esta vulnerabilidad?

Depende de si la función de publicación de servidores DNS está habilitada. De manera predeterminada, no lo está. No obstante, si lo estuviera, cualquier usuario de Internet podría aprovechar este punto vulnerable para bloquear la respuesta de la función de publicación de servidores DNS. Las solicitudes DNS recibidas después de un ataque con éxito quedarían bloqueadas en el servidor de seguridad y no pasarían a la red. ¿Cómo funciona esta revisión de seguridad?

La revisión de seguridad elimina el problema permitiendo que el filtro de detección de intrusiones DNS procese correctamente las solicitudes DNS.

 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:
Esta revisión de seguridad se puede instalar en los sistemas que ejecuten ISA Server Service Pack
1 e ISA Server Feature Pack 1.

 

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en ISA Server Service Pack 2.

 

Reinicio necesario: No

 

¿Se puede desinstalar esta revisión de seguridad?

 

Revisiones de seguridad anuladas por ésta: Ninguna.

 

Comprobación de la instalación de la revisión de seguridad:

Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que la siguiente clave del Registro se ha creado en el equipo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\256.

Alternativamente, puede llevar a cabo los siguientes pasos para comprobar la instalación de la revisión de seguridad:

1. Haga clic en Inicio, Configuración, Panel de control
2. Haga doble clic en Agregar o quitar programas
3. Haga clic en Microsoft ISA Server 2000 Updates
4. Haga clic en Cambiar.
5. Abra el menú desplegable.

Si aparece la entrada ISA Hot Fix 256, la revisión de seguridad se ha instalado correctamente.

Para comprobar los archivos individuales, utilice la información de fecha/hora y versión que figura en el artículo 331065 de la Knowledge Base.

 

Advertencias: Ninguna

 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

·        Las revisiones de seguridad están disponibles en Microsoft Download Center, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

·        Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

 

Otra información:

 

Agradecimientos

 

Microsoft agradece a Mike Fratto la comunicación de este problema y su cooperación para proteger a los clientes.

 

Soporte técnico:

·        El artículo 331065 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: El sitio Web Microsoft TechNet Security proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (19 de marzo de 2003): Creación del boletín.

 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft