Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-026
La saturación del búfer en la interfaz de RPC podría permitir la ejecución de código (823980)
 

Expuesto originalmente: 16 de Julio de 2003

Aviso de actualización crítica: descargue cuanto antes la nueva revisión de seguridad

Microsoft recomienda a los usuarios de Microsoft Windows Server 2003, Windows XP, Windows 2000 y Windows NT 4.0 leer lo antes posible el nuevo boletín de seguridad MS03-039. Esta revisión corrige un defecto en la verificación del Código de Autentificación que podría dar permiso de ejecución e instalación a un control ActiveX no autorizado.

Importante: Si tenía instalado el parche MS03-026 tiene que actualizarlo con el MS03-039.


Resumen

Quién debería leer este boletín: Usuarios que ejecutan Microsoft ® Windows ®

Alcance de la vulnerabilidad: Ejecución de cualquier código que elija el atacante

Gravedad máxima: Crítica

Recomendación: Los administradores de sistemas deben aplicar la revisión de seguridad inmediatamente

Boletín para el usuario final: texto en: 

www.microsoft.com/latam/technet/seguridad/boletines/MS03-026/MS03-026-USER.asp

 

Software afectado:

  • Microsoft Windows NT 4.0

  • Microsoft Windows NT 4.0 Terminal Server Edition

  • Microsoft Windows 2000

  • Microsoft Windows XP

  • Windows Server 2003

 
 
Detalles técnicos
 

 

 

Descripción técnica:

Llamada a procedimiento remoto  (RPC) es un protocolo que se utiliza en el sistema operativo Windows. RPC proporciona un mecanismo de comunicación entre procesos que permite a un programa que se ejecuta en un equipo ejecutar código sin dificultades en un sistema remoto. Este protocolo se deriva del protocolo RPC de OSF (Open Software Foundation), pero con la incorporación de algunas extensiones específicas de Microsoft.

Existe un punto vulnerable en la parte de RPC que se encarga del intercambio de mensajes sobre TCP/IP. Los errores son el resultado de la gestión incorrecta de los mensajes mal formados. En concreto, esta vulnerabilidad afecta a una interfaz Modelo de objetos de componentes distribuido (DCOM) con RPC, que escucha en el puerto TCP/IP 135. Esta interfaz controla las solicitudes de activación de objetos DCOM que envían las máquinas cliente (como puedan ser las rutas de acceso de Convención de nomenclatura universal (UNC)) al servidor.

Para aprovechar este punto vulnerable, un atacante debería enviar una solicitud especialmente diseñada al equipo remoto en el puerto 135.

Factores atenuantes:

  • Para aprovechar esta vulnerabilidad, el atacante debería contar con los conocimientos necesarios para enviar una solicitud especialmente diseñada al puerto 135 en la máquina remota. En los entornos conectados a una intranet, este puerto suele estar accesible, pero en las máquinas conectadas a Internet, el puerto 135 está normalmente bloqueado por un servidor de seguridad. En el caso de que este puerto no esté bloqueado, o en una configuración intranet, el atacante no necesita privilegios adicionales.
  • Se recomienda bloquear todos los puertos TCP/IP que no se utilicen. Por este motivo, la mayoría de los equipos conectados a Internet deben tener bloqueado el puerto 135. RPC sobre TCP no está pensado para utilizarse en entornos hostiles como Internet. Para los entornos hostiles existen protocolos más seguros, como RPC sobre HTTP.

Para obtener más información acerca de cómo proteger RPC en equipos cliente y servidor, consulte http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp.

Para obtener más información acerca de los puertos que utiliza RPC, consulte: www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

Gravedad:

 

Windows NT 4.0

Crítica

 

Windows NT 4.0 Terminal Server Edition

Crítica

 

Windows 2000

Crítica

 

Windows XP

Crítica

 

Windows Server 2003

Crítica

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad:

Versiones probadas:
 

Microsoft ha realizado pruebas con Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP y Windows Server 2003 para determinar si esta vulnerabilidad podría afectarlos. Las versiones anteriores ya no reciben soporte técnico y pueden o no verse afectadas.

 

 
 
Preguntas más frecuentes
 

 

¿Cuál es el alcance de esta vulnerabilidad?

El motivo de esta vulnerabilidad es una saturación del búfer . Un atacante que explotara con éxito esta vulnerabilidad podría lograr el control completo de un equipo remoto. Esto le daría la posibilidad de llevar a cabo cualquier acción que deseara en el servidor, lo que incluye modificar páginas Web, dar formato al disco duro o agregar nuevos usuarios al grupo de administradores local.

Para llevar a cabo este ataque, el atacante debería tener los conocimientos necesarios para enviar al servicio RPC un mensaje diseñado especialmente que provocara el funcionamiento incorrecto de la máquina de destino hasta el punto que en ella pudiera ejecutarse código arbitrario.

La mejor defensa contra los ataques RPC remotos de Internet consiste en configurar el servidor de seguridad para bloquear el puerto 135. RPC sobre TCP no está pensado para utilizarse a través de entornos hostiles como Internet.

¿Cuál es la causa de esta vulnerabilidad?

Existe vulnerabilidad porque el servicio RPC de Windows no comprueba correctamente las entradas de mensajes en determinadas circunstancias. Si un atacante lograra enviar un tipo de mensaje RPC especial cuando RPC ya ha establecido una conexión, una interfaz Modelo de objetos de componentes distribuido (DCOM) subyacente con RPC en la máquina remota podría dejar de funcionar correctamente, permitiendo la ejecución de código arbitrario.

¿Qué es DCOM?

El Modelo de objetos de componentes distribuido (DCOM) es un protocolo que permite la comunicación de componentes de software a través de una red. Denominado anteriormente "Network OLE," DCOM está diseñado para utilizarse en varios transportes de red, incluidos los protocolos de Internet como HTTP. En el siguiente sitio Web encontrará más información acerca de DCOM:

http://www.microsoft.com/com/tech/dcom.asp

¿Qué es RPC (llamada a procedimiento remoto)?

Llamada a procedimiento remoto (RPC) es un protocolo que los programas pueden utilizar para solicitar un servicio de un programa ubicado en otro equipo de una red. RPC contribuye a la interoperabilidad porque el programa que utiliza RPC no necesita entender los protocolos de la red mediante los que se establece la comunicación. En RPC, el programa que realiza la solicitud es el cliente y el programa que proporciona el servicio es el servidor.

¿Qué problema tiene la implementación de Microsoft de RPC?

Existe un problema en una parte de RPC que se encarga del intercambio de mensajes sobre TCP/IP. El error es el resultado de la gestión incorrecta de los mensajes mal formados. Este error en concreto afecta a una interfaz DCOM subyacente, que escucha en el puerto TCP/IP 135. Mediante el envío de un mensaje RPC mal formado, un atacante podría hacer que el servicio RPC en una máquina dejara de funcionar hasta el punto que permitiera la ejecución de código arbitrario.

¿Este defecto se encuentra en el asignador de extremos de RPC?

No. A pesar de que el asignado de extremos de RPC escucha en el puerto TCP 135, el defecto se produce en realidad en una interfaz DCOM de bajo nivel en el proceso RPC. El asignador de extremos de RPC permite a los clientes RPC determinar el número de puerto asignado a un determinado servicio RPC. Un extremo es un puerto de protocolo o una canalización con nombre en la que la aplicación de servidor escucha llamadas a procedimientos remotos. Las aplicaciones cliente-servidor pueden utilizar puertos conocidos o dinámicos.

¿Qué podría hacer un atacante que aprovechara esta vulnerabilidad?

Un atacante que consiguiera aprovechar este punto vulnerable podría ejecutar código con privilegios Local System en el sistema afectado. De esta forma, el intruso podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas, ver, cambiar o suprimir datos, o crear nuevas cuentas con privilegios completos.

¿Cómo podría aprovechar un atacante esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante debería programar una máquina que pudiera comunicarse con un servidor vulnerable a través del puerto TCP 135 para enviar algún tipo de mensaje RPC mal formado. La recepción de dicho mensaje provocaría errores en el servicio RPC de la máquina vulnerable hasta el punto que podría ejecutar código arbitrario.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario que pudiera enviar a un equipo afectado una solicitud TCP a través del puerto 135 podría intentar aprovechar este punto vulnerable. El hecho de que las solicitudes RPC están presentes en todas las versiones de Windows de forma predeterminada implica básicamente que cualquier usuario que pudiera establecer una conexión con un equipo afectado podría intentar hacer uso de esta vulnerabilidad.

También sería posible obtener acceso al componente afectado a través de otra vía, como iniciando una sesión en un sistema de forma interactiva o utilizando otra aplicación similar que pasara parámetros de forma local o remota al componente vulnerable.

¿Cómo funciona esta revisión de seguridad?

La revisión de seguridad soluciona la vulnerabilidad modificando la interfaz DCOM para que pueda comprobar correctamente la información que recibe.

Soluciones

¿Existe alguna solución que permita bloquear el aprovechamiento de esta vulnerabilidad mientras compruebo o evalúo la revisión de seguridad?

Sí. Aunque Microsoft recomienda encarecidamente que todos los clientes apliquen la revisión de seguridad con la mayor brevedad posible, existen varias soluciones que se pueden aplicar para evitar que el vector utilizado aproveche esta vulnerabilidad.

Debe tenerse en cuenta que estas soluciones son medidas temporales, ya que sólo ayudan a bloquear las rutas de acceso de ataque pero no corrigen la vulnerabilidad subyacente.

En las secciones siguientes se proporciona información para ayudar a proteger el equipo de los ataques. En cada sección se describen las soluciones que se pueden aplicar en función de la configuración del equipo.

Cada sección describe las soluciones disponibles dependiendo del nivel de funcionalidad requerido.

  • Bloquear el puerto 135 en el servidor de seguridad.

El puerto 135 se utiliza para iniciar una conexión RPC con un equipo remoto. El bloqueo del puerto 135 en el servidor de seguridad ayudaría a evitar que los sistemas situados detrás de dicho servidor de seguridad fueran víctimas de cualquier ataque que intentara aprovechar este punto vulnerable.

  • Servidor de seguridad de conexión a Internet.

Si utiliza el Servidor de seguridad de conexión a Internet en Windows XP o Windows Server 2003 para proteger su conexión a Internet, el tráfico RPC de entrada desde Internet se bloqueará de forma predeterminada.

  • Deshabilitar DCOM en todas las máquinas afectadas

Cuando un equipo forma parte de una red, el protocolo DCOM en línea habilita los objetos COM en ese equipo para comunicarse con objetos COM en otras máquinas. Puede deshabilitar DCOM en un equipo determinado para intentar ofrecer protección ante esta vulnerabilidad, aunque ello deshabilitará todas las comunicaciones entre los objetos de ese equipo y los objetos de otros equipos.

Si deshabilita DCOM en un equipo remoto, no podrá obtener acceso de forma remota a dicho equipo cuando vuelva a habilitar DCOM. Para volver a habilitar DCOM necesitará acceso físico a dicho equipo.

Para habilitar (o deshabilitar) DCOM manualmente en un equipo:

1. Ejecute Dcomcnfg.exe.

Si ejecuta Windows XP o Windows Server 2003, realice estos pasos adicionales:

o       Haga clic en el nodo Servicios de componentes en Raíz de consola.

o       Abra la subcarpeta Equipos.

o       Para el equipo local, haga clic con el botón secundario en Mi equipo y elija Propiedades.

o       Para un equipo remoto, haga clic con el botón secundario en la carpeta Equipos y elija Nuevo y, a continuación, Equipo. Escriba el nombre del equipo. Haga clic con el botón secundario en el nombre del equipo y elija Propiedades.

2. Seleccione la ficha Propiedades predeterminadas.

3. Active (o desactive) la casilla de verificación Habilitar COM distribuido en este equipo.

4. Si va a establecer más propiedades para la máquina, haga clic en el botón Aplicar para habilitar (o deshabilitar) DCOM. De lo contrario, haga clic en Aceptar para aplicar los cambios y salir de Dcomcnfg.exe.

 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:

  • La revisión de seguridad de Windows NT 4.0 puede instalarse en sistemas que ejecuten Service Pack 6a. 
  • La revisión de seguridad de Windows NT 4.0 Terminal Server Edition puede instalarse en sistemas que ejecuten Windows NT 4.0 Terminal Server Edition con Service Pack 6.

  • La revisión de seguridad de Windows 2000 puede instalarse en sistemas que ejecuten Windows 2000 Service Pack 3 o Service Pack 4

  • La revisión de seguridad para Windows XP puede instalarse en sistemas que ejecuten Windows XP Gold o con Service Pack 1.

  • La revisión de seguridad de Windows Server 2003 puede instalarse en los sistemas que ejecuten Windows Server 2003 Gold

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en el Service Pack 5 de Windows 2000, el Service Pack 2 de Windows XP y el Service Pack 1 de Windows Server 2003.

Reinicio necesario:

 

¿Se puede desinstalar esta revisión de seguridad?

 

Revisiones de seguridad anuladas por ésta: Ninguna.

 

Comprobación de la instalación de la revisión de seguridad:

·        Windows NT 4.0:
Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que todos los archivos que figuran en la información sobre archivos del artículo 823980 de la Knowledge Base están presentes en el sistema.

·        Windows NT 4.0 Terminal Server:
Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que todos los archivos que figuran en la información sobre archivos del artículo 823980 de la Knowledge Base están presentes en el sistema.

·        Windows 2000:
Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980.

Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 823980 de la Knowledge Base.

·       Windows XP:
Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980.

Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 823980 de la Knowledge Base.

·      Windows Server 2003:  

Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980.

Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 823980 de la Knowledge Base.

Advertencias: Ninguna.

 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

 

·        Las revisiones de seguridad están disponibles en Centro de descargas de Microsoft, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

 

·        Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

 

Información adicional:

Agradecimientos

Microsoft agradeceThe Last Stage of Delirium Research Group por haber informado acerca de este problema y colaborar con nosotros para proteger a los clientes.

Soporte técnico:

 

·        El artículo 823980 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

 

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: La Web de recursos de seguridad de Microsoft proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (9 de julio de 2003): Creación del boletín

 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft