Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-012
Un problema en los servicios Winsock Proxy e ISA Firewall puede provocar una denegación de servicio (331066)
  Expuesto originalmente: 09 de abril de 2003

Resumen

 

Quién debería leer este boletín: Los administradores de sistemas que utilicen Microsoft® Proxy Server 2.0 o Microsoft Internet Security and Acceleration (ISA) Server 2000.

 

Alcance de la vulnerabilidad: Denegación de servicio.

 

Gravedad máxima: Importante.

 

Recomendación: Los administradores de sistemas deberían instalar la revisión de seguridad lo antes posible.

 

Boletín para el usuario final: Existe una versión de este boletín para el usuario final en: www.microsoft.com/latam/seguridad/boletines/MS03-012/MS03-012_USER.asp

 

Software afectado:

  • Microsoft Proxy Server 2.0

  • Microsoft ISA Server

 
 
Detalles técnicos
 

 

 

Descripción técnica:

 

Hay un problema en el servicio Winsock Proxy de Proxy Server 2.0 y en el servicio Microsoft Firewall de ISA Server que permitiría que un atacante de la red interna enviara un paquete diseñado especialmente que provocaría una utilización de la CPU del servidor del 100%, con lo que éste dejaría de responder a las solicitudes internas y externas.
 
 Los servicios Winsock Proxy y Microsoft Firewall funcionan con FTP, telnet, mail, news, Internet Relay Chat (IRC) u otras aplicaciones cliente compatibles con Windows Sockets (Winsock). Estos servicios hacen que estas aplicaciones actúen como si estuvieran conectadas directamente a Internet. Dichos servicios redirigen las funciones de comunicaciones necesarias a un equipo Proxy Server 2.0 o ISA Server, con lo que establecen una forma de comunicación entre la aplicación interna e Internet a través del mismo.

 

Factores atenuantes:

  • La vulnerabilidad no permitiría a un atacante obtener privilegios sobre un equipo Proxy Server 2.0 o ISA Server afectado ni comprometería el contenido almacenado en la caché del equipo. Se trata exclusivamente de una denegación de servicio.

  • Los equipos ISA Server que se ejecutan en modo de caché no se ven afectados debido a que el servicio Microsoft Firewall se deshabilita de forma predeterminada.

Gravedad:  

 

Proxy Server 2.0

Importante

   Isa Server  Importante

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad: CAN-2003-xxxx  

 

Versiones probadas:
 

Microsoft ha realizado pruebas con Proxy Server 2.0 e ISA Server para determinar si este punto vulnerable podría afectar a estas versiones.

 

 
 
Preguntas más frecuentes
 

 

 

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de denegación de servicio. Un atacante que aprovechara con éxito esta vulnerabilidad podría ocasionar que un equipo Proxy Server 2.0 o ISA Server dejara de responder a las solicitudes. Al reiniciar el servicio Winsock Proxy de Proxy Server 2.0 o el servicio Microsoft Firewall de ISA Server, el equipo puede volver funcionar correctamente, aunque seguirá siendo vulnerable a otro ataque de denegación de servicio.
 

¿Cómo podría aprovechar un atacante esta vulnerabilidad?

Un atacante podría crear una solicitud con un formato especial y enviarla al equipo que ejecute Proxy Server 2.0 o ISA Server.
 

¿Podría un atacante que intentara aprovechar esta vulnerabilidad actuar desde Internet?

Se puede dar el caso de que un atacante actúe desde Internet en una configuración muy específica. Sólo existe la posibilidad de que se produzca un problema si se configura un filtro de paquetes de modo que permita el tráfico entrante en el puerto 1745 a la interfaz externa del equipo Proxy Server 2.0 o ISA Server. Ésta no es una configuración predeterminada y el servidor tendría que configurarse específicamente de esta manera, de manera que la probabilidad de sufrir un ataque desde Internet es baja.
 

¿Qué podría hacer un atacante?

Si aprovechara la vulnerabilidad, el atacante podría ocasionar que el equipo ISA Server dejara de responder a todas las solicitudes.
 

 

¿Podría un atacante aprovechar la vulnerabilidad para tomar el control de un equipo Proxy Server 2.0 o ISA Server?

No. Sólo se trata de un ataque de denegación de servicio. No hay ninguna posibilidad de usurpar privilegios administrativos en el equipo ISA Server.
 

¿Podría un atacante aprovechar la vulnerabilidad para infringir la seguridad de un servidor de seguridad?

No. No hay ninguna posibilidad de aprovechar este punto vulnerable para reducir la seguridad que proporciona el servidor de seguridad.
 

¿Qué es Proxy Server 2.0?

Proxy Server 2.0 actúa como puerta de enlace, o gateway, a Internet para los equipos cliente. En general, un servidor proxy actúa como intermediario entre una red privada e Internet. Proxy Server 2.0 también almacena en caché el contenido de Internet destinado a los usuarios internos con el fin de aumentar el rendimiento y reducir el ancho de banda de red para el tráfico saliente.
 

¿Qué es ISA Server?

ISA Server ofrece un servidor de seguridad empresarial y una caché Web de elevado rendimiento. El servidor de seguridad protege la red mediante el control de los recursos a los que se puede obtener acceso a través del mismo y de las condiciones de acceso. La caché Web contribuye a mejorar el rendimiento de la red al almacenar las copias locales del contenido Web que se solicita con más frecuencia. ISA Server se puede instalar en tres modos: modo de servidor de seguridad, modo de caché o modo integrado.
 
 En el modo de servidor de seguridad los administradores pueden proteger las comunicaciones de la red mediante la configuración de reglas que controlan dichas comunicaciones entre la red corporativa e Internet. El modo de caché mejora el rendimiento de la red gracias a que almacena en el propio servidor las páginas Web a las que se tiene acceso con más frecuencia. En el modo integrado están disponibles tanto las características del modo de caché como del modo de servidor de seguridad.

 

¿Qué es Winsock?

Winsock es la abreviatura de Windows Socket, una interfaz de programación de aplicaciones (API) que permite a los programas Windows comunicarse con otros equipos mediante el protocolo de red TCP/IP.
 

¿Qué son los servicios Winsock Proxy y Microsoft Firewall?

El servicio Winsock Proxy de Proxy Server 2.0 y el servicio Microsoft Firewall de ISA Server permiten a las aplicaciones de Internet actuar como si estuvieran conectadas directamente a Internet. Estos servicios redirigen las funciones de comunicaciones necesarias a un equipo Proxy Server 2.0 o ISA Server, con lo que establecen una forma de comunicación entre la aplicación interna e Internet a través del equipo servidor.
 
 De esta manera se evita tener que usar una puerta de enlace específica para cada protocolo, por ejemplo, para el Protocolo de transferencia de noticias a través de la red (NNTP), el Protocolo simple de transferencia de correo (SMTP), Telnet o el Protocolo de transferencia de archivos (FTP).
 

¿Se habilitan de forma predeterminada los servicios Winsock Proxy o Microsoft Firewall?

El servicio Winsock Proxy se habilita de forma predeterminada en Proxy Server 2.0. El servidor Microsoft Firewall se habilita de forma predeterminada en las instalaciones con el modo de servidor de seguridad o con el modo integrado de ISA Server. Se deshabilita en las instalaciones con el modo de caché de ISA Server.
 

¿Cómo puedo saber si hay algún servicio ejecutándose en mi servidor?

Con el fin de detectar si el servicio afectado se ejecuta en un servidor, siga estos pasos para la versión de software que tenga instalada:
 
 • Proxy Server 2.0:
 
 o Haga clic sucesivamente en Inicio, Programas, Microsoft Proxy Server y Microsoft Management Console.
 o Dentro de la ventana MMC, expanda Raíz de la consola, Internet Information Server, <nombre de equipo>.
 o Si aparece Winsock Proxy, se está ejecutando este servicio. Si aparece Winsock Proxy (Detenido), este servicio se ha detenido.
 
 • ISA Server:
 
 o Haga clic sucesivamente en Inicio, Configuración y Panel de control.
 o Haga doble clic en Herramientas administrativas.
 o Haga doble clic en Servicios. Si aparece Microsoft Firewall y su estado es Iniciado, se está ejecutando el servicio Microsoft Firewall.

 

¿Qué es lo que no funciona en los servicios Winsock Proxy de Proxy Server 2.0 y Microsoft Firewall de ISA Server?

Los servicios tratan incorrectamente una respuesta de los clientes remotos. Esto ocasiona que el servidor deje de responder a las solicitudes siguientes.
 

¿Qué importancia tiene la amenaza que representa esta vulnerabilidad?

El servicio Winsock Proxy se habilita de forma predeterminada en Proxy Server 2.0. En instalaciones con los modos de servidor de seguridad o integrado de ISA Server el servicio Microsoft Firewall se habilita de forma predeterminada. Esto significa que cualquier usuario interno podría aprovecharse de esta vulnerabilidad y provocar que un equipo Proxy Server 2.0 o ISA Server dejara de responder a las solicitudes. El servicio Microsoft Firewall se deshabilita de manera predeterminada en los equipos ISA Server que se ejecutan en el modo de caché.
 

¿Cómo funciona esta revisión de seguridad?

Esta revisión excluye la posibilidad de sufrir un ataque de denegación de servicio al garantizar que los servicios Winsock Proxy o Microsoft Firewall responden correctamente a las solicitudes.
 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:

Microsoft Proxy Server 2.0:

Esta revisión de seguridad se puede instalar en sistemas donde se ejecute Proxy Server 2.0 Service Pack 1.


Inclusión en futuros Service Packs:
No

Reinicio necesario:


¿Se puede desinstalar esta revisión de seguridad?

Revisiones de seguridad anuladas por ésta: Ninguna.

Microsoft ISA Server:
  
Esta revisión de seguridad se puede instalar en los sistemas que ejecuten ISA Server Service Pack 1 o ISA Server Feature Pack 1.

 

Inclusión en futuros Service Packs: La solución a este problema se incluirá en el siguiente Service Pack de ISA Server.


Reinicio necesario:
No

¿Se puede desinstalar esta revisión de seguridad?

Revisiones de seguridad anuladas por ésta: Ninguna.


Comprobación de la instalación de la revisión de seguridad:


Microsoft Proxy Server 2.0:
  
• Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\HotFix\Q331066
• Para comprobar los archivos individuales, utilice la información de fecha/hora y versión que figura en el artículo 331066 de Knowledge Base.
  
Microsoft ISA Server:
  
• Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\257
• O bien, puede llevar a cabo los siguientes pasos para comprobar la instalación de la revisión de seguridad:
     1. Haga clic sucesivamente en Inicio, Configuración y Panel de control.
     2. Haga doble clic en Agregar o quitar programas.
     3. Haga clic en Actualizaciones de Microsoft ISA Server 2000.
     4. Haga clic en Cambiar.
     5. Abra el menú desplegable. Si aparece la entrada ISA Hot Fix 257, la revisión de seguridad se ha instalado correctamente.
• Para comprobar los archivos individuales, utilice la información de fecha/hora y versión que figura en el artículo 331066 de Knowledge Base.

 

Advertencias: Ninguna.

 

Versiones traducidas:
La revisión de seguridad se puede instalar en todos los sistemas en los que se ejecute Microsoft Proxy Server 2.0 o ISA Server, independientemente del idioma de la versión.

 

Obtención de otras revisiones de seguridad:
Hay revisiones de seguridad para otros problemas en las ubicaciones siguientes:

·      Las revisiones de seguridad están disponibles en Microsoft Download Center  y se pueden encontrar con mayor facilidad si se realiza una búsqueda por la palabra clave "security_patch".

·      Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web  WindowsUpdate.

 

 

Otra información:

 

Soporte técnico:

·       El artículo 331066 de Microsoft Knowledge Base trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de Knowledge Base se encuentran en el sitio Web de soporte técnico en línea de Microsoft.

·        El soporte técnico está disponible en los servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad:
El sitio Web Microsoft TechNet Security proporciona información adicional acerca de la seguridad en los productos de Microsoft.

 

Renuncia:
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (19 de marzo de 2003): publicación del boletín.

 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft