Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-016
Revisión acumulativa para BizTalk Server 815206
 

Expuesto originalmente: 30 de abril de 2003

Resumen

 

Quién debería leer este boletín: Los administradores de sistemas que utilicen Microsoft BizTalk 2000 Server y BizTalk 2002 Server

 

Alcance de la vulnerabilidad: Existen dos puntos vulnerables; el más grave de ellos podría permitir a un atacante ejecutar su propio código.

 

Gravedad máxima: Importante

 

Recomendación: Los administradores de sistemas que utilicen Microsoft BizTalk deberían considerar la aplicación de esta revisión.

 

Boletín para el usuario final: texto en:  www.microsoft.com/latam/technet/seguridad/boletines/MS03-016/MS03-016-USER.asp

 

Software afectado:

  • Microsoft BizTalk Server 2000

  • Microsoft BizTalk Server 2002

 
 
Detalles técnicos
 

 

 

Descripción técnica:

 

Microsoft BizTalk Server es un producto de integración empresarial que permite a las organizaciones integrar sus aplicaciones, socios comerciales y procesos de negocios. BizTalk se utiliza en entornos de intranet a fin de transferir documentos corporativos entre distintos sistemas de servidor, así como en entornos de extranet para intercambiar mensajes estructurados con socios comerciales. Esta revisión soluciona dos puntos vulnerables recientemente detectados en BizTalk Server.

El primero de ellos afecta sólo a Microsoft BizTalk Server 2002. BizTalk Server 2002 ofrece la posibilidad de intercambiar documentos mediante el formato HTTP. Existe una saturación del búfer en el componente utilizado para recibir documentos HTTP (denominado receptor HTTP) y esto podría permitir a un atacante ejecutar su propio código en el servidor BizTalk.

El segundo punto vulnerable afecta tanto a Microsoft BizTalk Server 2000 como a BizTalk Server 2002. BizTalk Server proporciona a los administradores una función para administrar documentos a través de una interfaz Web DTA (Document Tracking and Administration, Administración y seguimiento de documentos). Existe una vulnerabilidad de inserción SQL en algunas de las páginas utilizadas por DTA, que podría permitir a un atacante enviar una cadena de consulta URL especialmente diseñada a un usuario legítimo de DTA. Si dicho usuario navegase a la dirección URL enviada por el atacante, podría ejecutar una instrucción SQL de carácter malintencionado incrustada en la cadena de consulta.

 

Factores atenuantes:

  • Saturación del búfer en el receptor HTTP

  • El receptor HTTP sólo está presente en Microsoft BizTalk Server 2002. Por tanto, esta vulnerabilidad no afecta a BizTalk Server 2000.

  • El receptor HTTP no está activado de forma predeterminada. Debe activarse de forma explícita como transporte de recepción durante la configuración de un sitio BizTalk.

  • Si el punto vulnerable se aprovechase para ejecutar código arbitrario, dicho código se ejecutaría en el contexto de seguridad del servidor IIS. Si el servidor IIS se está ejecutando bajo una cuenta de usuario, los privilegios del atacante se limitarán a los de dicha cuenta de usuario.

  • Inserción SQL DTA

  • De forma predeterminada, los usuarios de DTA no disponen de muchos privilegios, al contrario que los propietarios de bases de datos, ya que sólo necesitan ser miembros del grupo de seguridad de usuarios inscritos de BizTalk Server a fin de poder utilizar la interfaz Web DTA. En este caso, los privilegios en el servidor SQL de un atacante que logre aprovechar esta vulnerabilidad serán limitados.

Gravedad:  

 

Microsoft BizTalk Server 2000

Moderada

 

Microsoft BizTalk Server 2002

Importante

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad:

 

Versiones probadas:
 

Microsoft ha probado Microsoft BizTalk Server 2000 y Microsoft BizTalk Server 2002 para comprobar si les afectaba esta vulnerabilidad.

 

 
 
Preguntas más frecuentes
 

 

  • Saturación del búfer en el receptor HTTP:

¿Cuál es el alcance de esta vulnerabilidad?
El motivo de esta vulnerabilidad es una saturación del búfer saturación del búfer. Un atacante que aprovechase al máximo esta vulnerabilidad podría provocar un fallo en el sistema o podría ejecutar el código que quisiese con privilegios del sistema. La ejecución de código con privilegios del sistema podría permitir al atacante realizar cualquier tarea que desease en el equipo, por ejemplo, agregar, eliminar o modificar datos del sistema y crear o eliminar cuentas de usuario.

¿Cuál es la causa de esta vulnerabilidad?
La causa es un búfer sin comprobar en la función del receptor HTTP de BizTalk Server 2002.

¿Qué es el receptor HTTP de BizTalk Server 2002?
Una de las funciones básicas de  BizTalk Server es transferir documentos de negocios entre sistemas empresariales de servidor. Existen varias funciones de recepción de documentos receive functionsincluyendo la transferencia de archivos, SMTP y MSMQ. BizTalk Server 2002 introdujo la posibilidad de utilizar HTTP como protocolo de transferencia de documentos. Esto se consigue mediante la función del receptor HTTP, que se implementa como un filtro ISAPI.

El receptor HTTP no está activado de forma predeterminada y debe seleccionarse explícitamente como una opción durante la configuración inicial de un sitio BizTalk.
 

¿Qué es una extensión ISAPI?
ISAPI (Internet Services Application Programming Interface, Interfaz de programación de aplicaciones para servicios de Internet) es una tecnología que permite a los programadores ampliar la funcionalidad suministrada por un servidor IIS. Una extensión ISAPI es una biblioteca de vínculos dinámicos dynamic link library (.dll) que utiliza ISAPI para proporcionar un conjunto de funciones Web mucho más extensas y avanzadas que las que suministra IIS.

Cuando un usuario necesita utilizar una de las funciones incluidas en una extensión ISAPI, tiene que enviar una solicitud al servidor. En algunos casos, es posible llamar a una extensión ISAPI directamente, pero es más habitual que los usuarios soliciten archivos en el servidor que contengan comandos para procesar. Cuando un usuario solicita uno de estos archivos, IIS determina qué extensión ISAPI debería utilizarse para analizar el archivo consultando una tabla de asignaciones de secuencias de comandos que enumera las extensiones de archivo asociadas a cada extensión ISAPI en el servidor.

¿Qué problema tiene el servidor BizTalk?
Hay un defecto en el filtro ISAPI de BizTalk Server que se utiliza para recibir documentos HTTP (denominado receptor HTTP). Como consecuencia, existe la posibilidad de provocar un problema de saturación del búfer enviando una solicitud específicamente diseñada al receptor HTTP.

¿Qué podría hacer un atacante por la  vulnerabilidad?
Sacando provecho de la vulnerabilidad de SQL un asaltante podría modificar la base de datos que es enviada a BizTalk. Esto reportaría al asaltante la habilidad intercalar órdenes maliciosas de SQL incrustadas en una URL y que pasarían a la base de datos.

¿Cómo podría aprovechar un atacante esta vulnerabilidad?
Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud específicamente diseñada al receptor HTTP. Esta solicitud podría provocar un problema de saturación del búfer que permitiría al atacante ejecutar su propio código en el servidor.

¿Cómo funciona esta revisión de seguridad?
Esta revisión elimina la vulnerabilidad garantizando que el receptor HTTP realiza las comprobaciones de validación de entrada correctas.

  • Inserción SQL DTA:

¿Cuál es el alcance de esta vulnerabilidad?
Esta es una vulnerabilidad de inserción SQL que podría permitir a un atacante llevar a cabo tareas en la base de datos SQL de BizTalk, así como, en teoría, permitirle ejecutar comandos del sistema operativo en el equipo, dependiendo de los privilegios del usuario de DTA que ejecutase la instrucción SQL insertada. Aunque esta vulnerabilidad permitiría al atacante controlar la base de datos, sólo le concedería privilegios limitados en lo referente al sistema operativo.

Esta vulnerabilidad afecta tanto a BizTalk Server 2000 como a BizTalk Server 2002.

¿Cuál es la causa de esta vulnerabilidad?
La causa es la validación incompleta de un parámetro de entrada de las páginas Web utilizadas en el sitio Web DTA (Administración y seguimiento de documentos).

¿Qué es el sitio Web DTA (Administración y seguimiento de documentos)?
El sitio Web DTA permite a los administradores realizar un seguimiento y administrar los documentos track & administer documents que BizTalk Server está procesando. Permite a los administradores de BizTalk construir consultas que se ejecutarán en la base de datos de seguimiento de BizTalk a través de una herramienta basada en Web.

De forma predeterminada, el sitio Web DTA está restringido a los miembros del grupo de seguridad de usuarios inscritos de BizTalk Server. A fin de poder ejecutar consultas en la base de datos, un usuario debe tener asignado el rol “dta_ui_role” en la base de datos SQL de BizTalk.

¿Qué es la inserción SQL?
La manera más fácil de explicar la inserción SQL es mediante un caso hipotético. Imagínese que un sitio Web aloja una aplicación que permite a los visitantes del sitio realizar búsquedas de palabras concretas en una base de datos en línea. Si dicha aplicación funcionase simplemente aceptando cualquier dato que introdujese el usuario, insertándolo en una consulta de base de datos y ejecutando la consulta, un atacante podría introducir instrucciones SQL en lugar de texto. El resultado sería que cuando la aplicación Web ejecutase la consulta, los comandos del atacante se ejecutarían como parte de dicha consulta. Este tipo de vulnerabilidad se conoce como “inserción SQL”.

¿Qué problema tiene el sitio Web DTA?
Varias de las páginas Web que forman parte del sitio Web DTA no realizan correctamente la validación de los datos de entrada. Como estas páginas recuperan información de la cadena de consulta URL y la utilizan para efectuar la consulta en la base de datos, un atacante podría enviar una cadena de consulta URL especialmente diseñada a un usuario de DTA legítimo. Si el usuario posteriormente utilizase esta cadena de consulta URL, podría ejecutar en la base de datos una instrucción SQL malintencionada incrustada en dicha cadena de consulta.

¿Qué podría hacer un atacante que aprovechase esta vulnerabilidad?
Aprovechando la vulnerabilidad de inserción SQL, un atacante podría modificar la consulta a la base de datos que se envía a la base de datos de seguimiento de BizTalk. Esto ofrecería al atacante la posibilidad de insertar comandos SQL malintencionados incrustados en una dirección URL que serían transferidos a la base de datos.

¿Qué comandos podrían transferirse al sistema operativo?
El nivel de los comandos que podrían transferirse al sistema operativo estaría en proporción al nivel de privilegios que el usuario de DTA tuviera en el servidor host de la base de datos SQL. Los usuarios de DTA no disponen habitualmente de muchos privilegios, ya que sólo necesitan ser miembros del grupo de seguridad de usuarios inscritos de BizTalk Server a fin de poder utilizar la interfaz Web DTA. Por tanto, lo más probable es que los usuarios dispongan de privilegios muy limitados para el acceso al servidor SQL.

No obstante, si el usuario fuera un administrador del sistema para la base de datos SQL, entonces, el atacante tendría el mismo nivel de privilegios que el usuario. Esto podría permitir a un atacante ejecutar comandos en el sistema operativo.

¿Quién podría aprovechar esta vulnerabilidad?
Cualquiera puede intentar crear una cadena de consulta URL que contenga instrucciones SQL malintencionadas para el sitio Web DTA, pero esta cadena de consulta debe ejecutarla un usuario de DTA para que el ataque surta efecto.

¿Cómo podría aprovechar un atacante esta vulnerabilidad?
Un atacante podría aprovechar este punto vulnerable diseñando una dirección URL especial y, a continuación, enviándola a un usuario o exponiéndola en un sitio Web. Si, posteriormente, el usuario navegase a dicha dirección URL, los comandos SQL contenidos en la dirección URL podrían insertarse en las páginas afectadas del sitio Web DTA.

¿Podría un atacante simplemente copiar la página Web de cualquier servidor BizTalk y ejecutarla en la base de datos de seguimiento de BizTalk?
No, esto no funcionaría ya que el atacante tiene que conocer la información de seguridad utilizada para conectar el servidor Web IIS que está ejecutando el sitio Web DTA con la base de datos SQL de seguimiento de BizTalk. Un atacante no podría conseguir esta información a no ser que se le hubiera concedido permiso para el servidor IIS Server como, por ejemplo, si se le hubiera otorgado permiso anteriormente para la base de datos SQL.

¿Qué podría hacer un atacante ejecutando comandos del sistema operativo a través del servidor SQL?
El nivel de acceso a la base de datos DTA por parte del atacante dependerá de los privilegios del usuario. Los usuarios de DTA no disponen habitualmente de muchos privilegios, ya que sólo necesitan ser miembros del grupo de seguridad de usuarios inscritos de BizTalk Server a fin de poder utilizar la interfaz Web DTA. Por tanto, los privilegios predeterminados para ejecutar comandos del sistema operativo en el servidor SQL son muy limitados.

¿Cómo funciona esta revisión de seguridad?
La revisión garantiza que la página Web afectada en el sitio Web DTA realiza las comprobaciones de validación de entrada correctas.
 

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:
Esta revisión de seguridad se puede instalar en los sistemas que ejecuten BizTalk Server 2002 Gold y BizTalk Server 2000 Service Pack 2.

 

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en el Service Pack 1 para BizTalk Server 2002 y en el Service Pack 3 para BizTalk 2000

 

Reinicio necesario:
• BizTalk Server 2000: No
• BizTalk Server 2002: No. Sin embargo, si un archivo que esté siendo sustituido se encuentra abierto, el programa de instalación le solicitará que reinicie el sistema para que el archivo pueda actualizarse con seguridad.

 

¿Se puede desinstalar esta revisión de seguridad?

 

Revisiones de seguridad anuladas por ésta: Ninguna

 

Comprobación de la instalación de la revisión de seguridad:

  • BizTalk Server 2000: Para asegurarse de que tiene esta solución instalada correctamente, verifique los archivos individuales consultando la fecha/hora de los archivos listados en la información sobre archivos del artículo de Microsoft Knowledge Base ubicado en http://support.microsoft.com/support/misc/kblookup.asp?id= 815207

  • BizTalk Server 2002: Para comprobar los archivos individuales, utilice la información de fecha, hora y versión de la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\…\Q815208\Filelist

 

Advertencias:

 
BizTalk 2002:

  • El archivo Biztalkhttpreceive.dll, que es el filtro ISAPI para la función de Receptor HTTP de BizTalk, puede copiarse en una ubicación distinta de la predeterminada, como por ejemplo, un directorio virtual adicional. Este tema se trata más a fondo en el artículo de MSDN siguiente: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/bts_2002/htm/lat_admin_server_check_hfos.asp

    Si su sistema ha sido configurado de este modo, debe copiar la nueva versión de Biztalkhttpreceive.dll en estas ubicaciones adicionales, como se indica en el artículo 815208 de Microsoft Knowledge Base.

 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

·        Las revisiones de seguridad están disponibles en Microsoft Download Center, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

·        Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

 

Otra información:

 

Agradecimientos

 

Microsoft agradece a César Cerrudo la comunicación de este problema y su cooperación para proteger a los clientes.

 

Soporte técnico:

·        El artículo 815206 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

·        El soporte técnico está disponible en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: El sitio Web Microsoft TechNet Security proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (30.04.03): publicación del boletín.

   
 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2015 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft