*
Microsoft TechNet*
resultados de Bing
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-013
Una saturación de búfer en el control de mensajes del núcleo de Windows puede dar lugar a privilegios elevados (811493)
 

Expuesto originalmente: 16 de abril de 2003

Resumen

 

Quién debería leer este boletín: Administradores de sistemas Microsoft® Windows NT® 4.0, Windows® 2000 y Windows XP.

 

Alcance de la vulnerabilidad: Elevación local de privilegios

 

Gravedad máxima: Importante

 

Recomendación: Los usuarios deberían instalar la revisión de seguridad lo antes posible.

 

Boletín para el usuario final: texto en:  www.microsoft.com/latam/seguridad/boletines/MS03-013/MS03-013_USER.asp

 

Software afectado:

     • Microsoft Windows NT 4.0
     • Microsoft Windows NT 4.0 Server y Terminal Server
     • Microsoft Windows 2000
     • Microsoft Windows XP
 

 
 
Detalles técnicos
 

 

 

Descripción técnica:

 

El núcleo de Windows es el centro del sistema operativo. Proporciona servicios de nivel del sistema (como administración de dispositivos y memoria), asigna tiempo de procesador a los procesos y administra el control de errores.

Existe un problema en la forma en que el núcleo pasa los mensajes de error a un depurador. La vulnerabilidad se produce porque un atacante podría escribir un programa para aprovechar este problema y ejecutar el código que desee. El atacante podría aprovechar esta vulnerabilidad para llevar a cabo cualquier acción en el sistema, como eliminar datos, agregar cuentas con acceso administrativo o cambiar la configuración del sistema.

Para que un ataque tenga éxito, el atacante necesitaría poder iniciar sesión de forma interactiva en el sistema, ya sea en la consola o mediante una sesión de terminal. Además, para que el ataque tuviera éxito, sería necesaria la introducción de código que aprovechara esta vulnerabilidad. Puesto que en los procedimientos recomendados se aconseja restringir la posibilidad de iniciar sesión de forma interactiva en los servidores, este problema afecta más directamente a los sistemas cliente y a los servidores de terminal.

 

Factores atenuantes:

  • Para que un ataque tenga éxito es necesario poder iniciar sesión de forma interactiva en el equipo de destino, ya sea directamente en la consola o mediante una sesión de terminal.

  • El riesgo en los servidores correctamente protegidos es mínimo en relación con esta vulnerabilidad. En los procedimientos recomendados estándar se aconseja permitir únicamente a los administradores de confianza iniciar sesión de forma interactiva en dichos sistemas; sin esos privilegios, el atacante no podría aprovechar la vulnerabilidad.

Gravedad:  

 

Windows NT 4.0

Importante

   Windows 2000  Importante
   Windows XP  Importante

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad: CAN-2003-xxxx  

 

Versiones probadas:
 

Microsoft ha realizado pruebas con Windows NT4, Windows 2000 y Windows XP para determinar si este punto vulnerable podría afectarlos. Las versiones anteriores ya no tienen soporte y pueden, o no, verse afectadas por este punto vulnerable.

 

 
 
Preguntas más frecuentes
 

 


¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que tenga la posibilidad de iniciar sesión de forma interactiva en un sistema y ejecutar el código que desee podría intentar aprovechar este punto vulnerable y ejecutar el código que desee con privilegios de mayor nivel. El atacante podría llevar a cabo cualquier acción en el sistema, como crear cuentas de administrador y modificar o eliminar datos.

Puesto que para poder llevar a cabo un ataque, sería necesaria la posibilidad de iniciar sesión de forma interactiva y ejecutar un programa, es más probable que esta vulnerabilidad afecte a sistemas cliente y servidores de terminal, en los que se suele permitir el acceso de los usuarios finales al sistema directamente. Los sistemas como los servidores de correo, de base de datos, de aplicaciones y de archivos suelen estar configurados para restringir la posibilidad de que los usuarios inicien sesión de forma interactiva y, por tanto, la probabilidad de verse afectados por esta vulnerabilidad es menor.


¿Cuál es la causa de esta vulnerabilidad?

La vulnerabilidad es consecuencia de un búfer no comprobado que el núcleo de Windows utiliza para pasar los mensajes de error a un depurador.


¿Qué es el núcleo de Windows?

El núcleo es el centro del sistema operativo Windows. Proporciona servicios básicos, como administración de memoria y dispositivos, de los que dependen el resto de las aplicaciones.


¿Qué es un depurador?

Un depurador es un programa que proporciona una forma de que los administradores de sistemas y los desarrolladores solucionen problemas de programas que se ejecutan en Windows, mediante la interrogación directa del código que se ejecuta en el sistema.

El depurador funciona “conectándose” a un proceso determinado y escuchando los mensajes de error de dicho proceso. Al detectar un mensaje de error, el depurador muestra el mensaje para permitir su análisis. El núcleo administra el paso de los mensajes hacia un depurador y viceversa. Windows NT, Windows 2000 y Windows XP incluyen un depurador.


¿Qué problema hay con la forma en que el núcleo controla los mensajes de depuración en Windows?

Existe un problema en el núcleo de Windows como consecuencia de una diferencia en el tamaño permitido de un mensaje de error saliente y el tamaño del búfer que puede recibir el mensaje de error. Esto significa que, si se pasa un mensaje demasiado grande entre el núcleo y el depurador, el búfer se puede desbordar.

El problema reside en el núcleo de Windows y la forma en que se pasan los mensajes al depurador, no en el propio depurador.


¿Qué podría hacer un atacante que aprovechase esta vulnerabilidad?

Un atacante con derechos suficientes para iniciar sesión de forma interactiva podría utilizar esta vulnerabilidad para ejecutar el código que desee. Por ejemplo, el atacante podría ejecutar código que permitiera agregar cuentas con privilegios de administrador, eliminar archivos críticos del sistema o cambiar la configuración de seguridad.

Es importante destacar que el atacante necesitaría poder iniciar sesión de forma interactiva en el sistema. Esta vulnerabilidad no podría ser aprovechada por un usuario remoto o anónimo.


¿Cómo podría aprovechar un atacante esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, el atacante podría escribir un programa que enviara un número de mensajes de depurador especialmente mal formados a y desde el núcleo de Windows de forma que se desbordara el búfer afectado. Esto permitiría al atacante ejecutar el código que desee, que se podría utilizar para elevar los privilegios.

Para poder llevar a cabo un ataque, el atacante necesitaría poder iniciar sesión de forma interactiva e introducir código malicioso en el sistema. En los procedimientos recomendados, se aconseja limitar la posibilidad de que los usuarios inicien sesión y carguen programas según la regla de privilegios mínimos, lo cual reduciría las probabilidades de que se pudiera llevar a cabo un ataque.


¿Cómo funciona esta revisión de seguridad?

Esta revisión de seguridad soluciona la vulnerabilidad al controlar correctamente la información enviada desde el núcleo de Windows al depurador.
 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:
     • La revisión de seguridad de Windows NT4 puede instalarse en sistemas que

       ejecuten Windows NT4 con Service Pack 6a.
     • La revisión de seguridad de Windows NT 4.0 Terminal Server puede instalarse en

       sistemas que ejecuten Windows NT 4.0 Terminal Server con Service Pack 6.
     • La revisión de seguridad de Windows 2000 puede instalarse en sistemas que

       ejecuten Windows 2000 con Service Pack 2 o Service Pack 3.
     • La revisión de seguridad para Windows XP puede instalarse en sistemas que

       ejecuten Windows XP Gold o con Service Pack 1.

 

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en el Service Pack 4 de Windows 2000 y el Service Pack 2 de Windows XP.

 

Reinicio necesario:

 

¿Se puede desinstalar esta revisión de seguridad?

 

Revisiones de seguridad anuladas por ésta: Ninguna.

 

Comprobación de la instalación de la revisión de seguridad:

  • Windows NT 4.0:
     

    Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que todos los archivos que figuran en la información sobre archivos del artículo 811493 de Knowledge Base están presentes en el sistema.

     

  • Windows NT 4.0 Terminal Server:


    Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que todos los archivos que figuran en la información sobre archivos del artículo 811493 de Knowledge Base están presentes en el sistema.

     

  • Windows 2000:

    Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que la siguiente clave del Registro se ha creado en el equipo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811493. Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q811493\Filelist.

     

  • Windows XP:

    - Si se ha instalado en Windows XP Gold:

    Para comprobar que la revisión de seguridad se ha instalado, compruebe que la siguiente clave del Registro se ha creado en el equipo: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q811493. Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q811493\Filelist.

    - Si se ha instalado en Windows XP con Service Pack 1:

    Para comprobar que la revisión de seguridad se ha instalado, compruebe que la siguiente clave del Registro se ha creado en el equipo: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q811493. Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q811493\Filelist.

Advertencias: Ninguna.

 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

·        Las revisiones de seguridad están disponibles en Microsoft Download Center, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

·        Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

 

Otra información:

 

Soporte técnico:

·        El artículo 811493  de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: El sitio Web Microsoft TechNet Security proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (16 de abril de 2003): Publicación del boletín.

 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft