Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-010
Un agujero de seguridad en el RPC Endpoint Mapper podría permitir ataques de Denegación de Servicio (331953)
 

Expuesto originalmente: 26 de marzo de 2003

Resumen:

 

Alcance de la vulnerabilidad: Denegación de servicio

 

Gravedad máxima: Moderada

 

Recomendación: texto

 

Boletín para el usuario final: texto en: 
www.microsoft.com/latam/seguridad/boletines/MS03-009/MS03-009_USER.asp

 

Software afectado:

  • Microsoft Windows 2000

  • Microsoft Windows XP

 
 
Detalles técnicos
 

 

 

Descripción técnica:

 

Llamada a procedimiento remoto (RPC) es un protocolo que se utiliza en el sistema operativo Windows. RPC proporciona un mecanismo de comunicación entre procesos que permite a un programa que se ejecuta en un equipo ejecutar código sin dificultades en un sistema remoto. Este protocolo se deriva del protocolo RPC de OSF (Open Software Foundation), pero con la incorporación de algunas extensiones específicas de Microsoft.

Existe un punto vulnerable en la parte de RPC que se encarga del intercambio de mensajes sobre TCP/IP. Los errores son el resultado de la gestión incorrecta de los mensajes mal formados. Este ataque en particular se dirige al proceso del asignador de extremos de RPC, que escucha en el puerto TCP/IP 135. El asignador de extremos de RPC permite a los clientes RPC determinar el número de puerto asignado a un determinado servicio RPC.

Para aprovechar esta vulnerabilidad, el atacante necesitaría establecer una conexión TCP/IP con el proceso de destino en un equipo remoto. Una vez establecida la conexión, el atacante comenzaría la negociación de la conexión RPC para después transmitir un mensaje mal formado. En este momento, se produciría un error en el proceso del equipo remoto. Este proceso es responsable de mantener la información de conexión de todos los procesos en dicho equipo mediante RPC. Puesto que el asignador de extremos se ejecuta en el propio servicio RPC, si se aprovechara esta vulnerabilidad, se causaría un error en el servicio RPC con la pérdida consiguiente de los servicios basados en RPC que ofrece el servidor, así como la posible pérdida de algunas funciones COM.

 

Factores atenuantes:

  • Para llevar a cabo este tipo de ataque, es necesario que el atacante pueda establecer una conexión con el asignador de extremos que se ejecuta en el equipo de destino. En los entornos de intranet, esto suele ser posible, pero en los equipos conectados a Internet, el puerto utilizado por el asignador de extremos suele estar bloqueado por los servidores de seguridad. En el caso de que no esté bloqueado o en el caso de una intranet, el atacante no necesita privilegios adicionales.

  • La práctica recomendada siempre ha sido bloquear todos los puertos TCP/IP que no se utilizan. En ese sentido, la mayoría de los equipos conectados a Internet deben tener bloqueado el puerto 135. RPC sobre TCP no está pensado para utilizarse a través de entornos hostiles como Internet. RPC proporciona protocolos más eficaces para estos tipos de entornos, como RPC sobre HTTP. Para obtener más información acerca de cómo proteger RPC en equipos cliente y servidor, consulte este artículo. Para obtener más información acerca de los puertos, consulte www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

  • Esta vulnerabilidad sólo permite un ataque de tipo denegación de servicio y no ofrece la posibilidad de modificar ni recuperar datos a voluntad en el equipo remoto.

  • Los servidores RPC internos protegidos por ISA no son vulnerables a este ataque. http://msdn.microsoft.com/library/en-us/rpc/rpc/microsoft_rpc_components.asp

Gravedad:  

 

Microsoft Windows 2000 Server

Moderada

   Microsoft Windows 2000 Professional  Moderada
   Microsoft Windows XP  Moderada

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad: CAN-2003-xxxx 

 

Versiones probadas:
 

Microsoft ha realizado pruebas con Windows NT, Windows 2000 y Windows XP para determinar si este punto vulnerable podría afectarlos. Las versiones anteriores ya no tienen soporte y pueden, o no, verse afectadas por este punto vulnerable.

 

 
 
Preguntas más frecuentes
 

 

 

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de tipo denegación de servicio. Un atacante que aprovechara con éxito este punto vulnerable podría causar errores en un equipo remoto. Sin embargo, el atacante no podría modificar ni recuperar datos en el equipo remoto.

Para llevar a cabo esta denegación de servicio, el atacante debe poder establecer una conexión TCP/IP con el asignador de extremos que se ejecuta en el equipo de destino. El atacante podría crear un sitio Web que recopilara las direcciones IP de los equipos de destino y, después, lanzar un ataque contra dichos equipos. Una vez establecida una conexión TCP, el atacante podría enviar un mensaje mal formado al servicio RPC y causar errores en el equipo de destino.

La mejor defensa contra los ataques RPC remotos de Internet consiste en configurar el servidor de seguridad para bloquear el puerto 135. RPC sobre TCP no está pensado para utilizarse a través de entornos hostiles como Internet. Además, el atacante no podría recuperar datos ni ejecutar código en el equipo de destino.
 

¿Cuál es la causa de esta vulnerabilidad?

La vulnerabilidad se produce como consecuencia de que el asignador de extremos de RPC de Microsoft no comprueba correctamente las entradas de mensajes después de que RPC establece una conexión, lo que causa errores en el proceso del equipo remoto. Este proceso es responsable de mantener la información de conexión de todos los procesos que utilizan RPC en dicho equipo. Puesto que el asignador de extremos se ejecuta en el propio servicio RPC, si se aprovechara esta vulnerabilidad, se causaría un error en el servicio RPC con la pérdida consiguiente de los servicios basados en RPC que ofrece el servidor, así como la posible pérdida de algunas funciones COM.

 

¿Qué es RPC (llamada a procedimiento remoto)?

Llamada a procedimiento remoto (RPC) es un protocolo que se puede utilizar en los programas para solicitar un servicio de un programa ubicado en otro equipo de una red. RPC contribuye a la interoperabilidad porque el programa que utiliza RPC no necesita entender los detalles de la red. El programa que realiza la solicitud es el cliente y el programa que proporciona el servicio es el servidor.

 

¿Qué es el asignador de extremos de RPC?

El asignador de extremos de RPC permite a los clientes RPC determinar el número de puerto asignado a un determinado servicio RPC. Un extremo es un puerto de hardware o una canalización con nombre en la que la aplicación de servidor escucha llamadas a procedimientos remotos. Las aplicaciones cliente-servidor pueden utilizar aplicaciones conocidas o dinámicas.

 

¿Qué problema tiene la implementación de Microsoft de RPC?

Existe un problema en la parte de RPC que se encarga del intercambio de mensajes sobre TCP/IP. Los errores son el resultado de la gestión incorrecta de los mensajes mal formados. Este ataque en particular se dirige al proceso del asignador de extremos de RPC, que escucha en el puerto TCP/IP 135. El asignador de extremos de RPC permite a los clientes RPC determinar el número de puerto asignado a un determinado servicio RPC. Mediante el envío de un mensaje RPC mal formado, un atacante podría causar errores en un equipo.

 

¿Qué podría hacer un atacante que aprovechase esta vulnerabilidad?

Esta vulnerabilidad podría permitir a un atacante lanzar un ataque de denegación de servicio a través de Internet o en un entorno de intranet. Aunque un atacante podría causar errores en los equipos, no tendría la posibilidad de recuperar datos ni ejecutar código.

 

¿Cómo podría aprovechar un atacante esta vulnerabilidad?

Un atacante podría intentar aprovechar este punto vulnerable de forma remota mediante la configuración de una página Web y la recopilación de las direcciones IP de los equipos para, después, lanzar un ataque contra ellos. Para poder llevar a cabo el ataque a través de Internet, el puerto 135 debe estar abierto y los servicios RPC activos en los equipos de destino.

 

¿Cómo funciona esta revisión de seguridad?

Esta revisión de seguridad elimina la vulnerabilidad al comprobar los mensajes afectados que se reciben de las conexiones TCP/IP. Básicamente, esto permite que RPC rechace los mensajes mal formados.

 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:

  • La revisión de seguridad de Windows 2000 puede instalarse en sistemas que ejecuten Windows 2000 Service Pack 2 o Service Pack 3.
     
  • La revisión de seguridad para Windows XP puede instalarse en sistemas que ejecuten Windows XP Gold o con Service Pack 1.

 

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en el Service Pack 4 de Windows 2000 y en el Service Pack 2 de Windows XP.

 

Reinicio necesario: [SÍ/NO]

 

¿Se puede desinstalar esta revisión de seguridad? [SÍ/NO]

 

Revisiones de seguridad anuladas por ésta: Ninguna.

 

Comprobación de la instalación de la revisión de seguridad:


Windows 2000:

  • Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que la siguiente clave del Registro se ha creado en el equipo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\XXXXXX.
  • Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\XXXXXX\Filelist.

Windows XP:

  • Si se ha instalado en Windows XP Gold:

    Para comprobar que la revisión de seguridad se ha instalado, compruebe que la siguiente clave del Registro se ha creado en el equipo: HKLM\Software\Microsoft\Updates\Windows XP\SP1\XXXXXX.

    Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKLM\Software\Microsoft\Updates\Windows XP\SP1\XXXXXX\Filelist.

     
  • Si se ha instalado en Windows XP con Service Pack 1:

    Para comprobar que la revisión de seguridad se ha instalado, compruebe que la siguiente clave del Registro se ha creado en el equipo: HKLM\Software\Microsoft\Updates\Windows XP\SP2\XXXXXX.

    Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKLM\Software\Microsoft\Updates\Windows XP\SP2\XXXXXX\Filelist.

Advertencias:
Microsoft ha realizado pruebas en Windows NT 4.0 y Windows NT 4.0 Terminal Server. Estas plataformas son vulnerables al ataque de denegación de servicio; sin embargo, debido a las limitaciones del compilador, se recomienda a los usuarios utilizar las siguientes directrices:

  • Bloquee el puerto 135 en el servidor de seguridad.
  • Examine las aplicaciones que utilizan RPC e implemente RPC seguro.
  • En las aplicaciones que utilicen RPC a través de Internet, implemente RPC sobre HTTP.
  • Los usuarios que utilicen Microsoft ISA Server deben proteger los servidores RPC con un servidor de seguridad ISA. Los usuarios pueden obtener más información en la dirección http://msdn.microsoft.com/library/en-us/rpc/rpc/best_rpc_programming_practices.asp

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

·        Las revisiones de seguridad están disponibles en Microsoft Download Center, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

·        Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.
 

 

Otra información:

 

Soporte técnico:

·        El artículo 331953 de Microsoft Knowledge Base trata este problema y estará disponible aproximadamente24 horas después de la publicación de este boletín. Los artículos de Knowledge Base se encuentran en el sitio Web de soporte técnico en línea de Microsoft.

·        El soporte técnico está disponible en los servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad en los productos de Microsoft.

 

Renuncia:
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (26 de marzo de 2003): Publicación del boletín.

 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft