Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-028
Un defecto en las páginas de error de ISA Server podría permitir la redirección de secuencias de comandos que afectan a varios sitios (816456)
 

Expuesto originalmente: 16 de Julio de 2003

Resumen

Quién debería leer este boletín: Los administradores de sistemas que ejecuten Microsoft® Internet Security and Acceleration (ISA) Server 2000

Alcance de la vulnerabilidad: Permite que un atacante ejecute el código que prefiera

Gravedad máxima: Importante

Recomendación: Los administradores de sistemas deberían instalar la revisión de seguridad lo antes posible.

Software afectado:

  • Microsoft Internet Security and Acceleration (ISA) Server 2000 

Boletín para el usuario final: texto en: 

www.microsoft.com/latam/technet/seguridad/boletines/MS03-028-USER.asp

 

 
 
Detalles técnicos
  

 

 

Descripción técnica:

 

Existe una vulnerabilidad de secuencia de comandos que afecta a varios sitios en muchas de las páginas de error que ISA Server devuelve en determinadas condiciones de error. ISA Server contiene un número de páginas de error basadas en HTML que permiten al servidor responder a un cliente que solicita un recurso Web con un error personalizado.

 

Un atacante que pudiera persuadir a un usuario para que hiciera clic en un vínculo de su sitio Web a través de una red que utiliza ISA Server podría transmitir una solicitud que contuviera una secuencia de comandos para dirigirle a otro sitio Web con IIS, lo que provocaría el envío al usuario de la respuesta de este sitio (que incluiría la secuencia de comandos). La secuencia de comandos se procesaría entonces con la configuración de seguridad del sitio de un tercero en lugar de con la correspondiente al atacante.


Para aprovechar este defecto, un atacante debería alojar un sitio Web malintencionado a través de ISA Server y persuadir a un usuario que visitara ese sitio. Un atacante no puede de ninguna forma forzar a un usuario a que visite el sitio en el contexto de un ataque basado en Web. Un atacante también podría incrustar un vínculo al sitio Web malintencionado en un mensaje de correo electrónico en formato HTML y enviárselo al usuario. Una vez que el usuario utilizase la vista previa o abriese el correo electrónico, el sitio Web malintencionado podría volver a visitarse automáticamente sin intervención del usuario.
 

Factores atenuantes:

  • La vulnerabilidad sólo podría explotarse si el atacante pudiera atraer a otro usuario para que visitara una página Web e hiciera clic en un vínculo en ella, o abriera un mensaje de correo HTML.

  • La solicitud debería provocar que ISA Server respondiera con una página de error específica

  • Por lo general, la vulnerabilidad no permitiría que un atacante obtuviera los privilegios en un equipo ISA Server afectado, penetrara en el servidor de seguridad o pusiera en peligro el contenido de la memoria caché a no ser que el usuario utilizara el propio ISA Server y el servicio Web Proxy para obtener acceso a Internet.

Gravedad:  

 

ISA Server

Importante

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad:

Versiones probadas:
 

Microsoft ha realizados pruebas con ISA Server para determinar si estas versiones están afectadas por esta vulnerabilidad. Las versiones anteriores ya no reciben soporte técnico y pueden o no verse afectadas.

 
 
 
Preguntas más frecuentes
  

 

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de secuencias de comandos que implican a varios sitios que podría permitir a un atacante enviar una solicitud a un servidor afectado que haría que se enviara a otro usuario una página con una secuencia de comandos. La secuencia de comandos se ejecutaría en el explorador del usuario aunque proviniera del sitio de un tercero. Esto le permitiría ejecutarse con la configuración de seguridad apropiada para el sitio Web del tercero, además de permitir al atacante tener acceso a cualquier dato del sitio. La vulnerabilidad sólo podría aprovecharse si el usuario abriera un mensaje de correo HTML o visitara el sitio Web del usuario que ideara el ataque; el código no se podría “colar” en una sesión existente.

¿Qué es una secuencia de comandos que implica a varios sitios?

CSS es una vulnerabilidad en la seguridad que puede permitir que un usuario malintencionado "infiltre" código en la sesión de un usuario en un sitio Web. A diferencia de la mayor parte de las vulnerabilidades de seguridad, CSS no se aplica a un producto de un proveedor en particular sino que puede afectar a cualquier software que se ejecute en un servidor Web y que no implemente prácticas de programación defensivas.

¿Cómo funciona CSS?

Dispone de una buena descripción en un resumen ejecutivo y en un documento de preguntas más frecuentes (P+F). Sin embargo, a continuación se explica sucintamente cómo funciona CSS. Suponga que el sitio Web A ofrece una característica de búsqueda que permite a un usuario escribir una palabra o frase que buscar. Si el usuario escribió “banana” como frase de búsqueda, el sitio buscaría la frase y a continuación generaría una página Web en la que se indicara “Lo siento pero no puedo encontrar la palabra ‘banana’”. Usted enviaría la página Web a este explorador, que analizaría después la página y la mostraría. Ahora supongamos que, en lugar de especificar “banana” como frase de búsqueda, el usuario especifica algo como “banana ‹SCRIPT› ‹Alert(‘Hola’);› ‹/SCRIPT›”. Si la característica de búsqueda fuera escrita para usar sin más comprobaciones la frase de búsqueda que se proporcione, buscaría toda la cadena y crearía una página Web que dijera “Lo siento, pero no puedo encontrar la palabra “banana ‹SCRIPT› ‹Alert(‘Hola’);› ‹/SCRIPT›””. Sin embargo, todo el texto que comienza con “‹SCRIPT›” y termina con “‹/SCRIPT›” es en realidad código de programa, con lo que cuando se procesara la página, se mostraría un cuadro de diálogo en el explorador del usuario en el que se vería la palabra “Hola”. <p>

Hasta aquí, este ejemplo sólo ha mostrado cómo podría un usuario “infiltrar” código en un servidor Web y hacer que se ejecute en su propio equipo. Eso no es una vulnerabilidad de la seguridad. Sin embargo, es posible que un operador de un sitio Web invoque esta vulnerabilidad para ejecutarse en el equipo de un usuario que visite dicho sitio. Si un sitio Web B fuera manipulado por alguien que pudiera atraer al usuario para que visitara e hiciera clic en un hipervínculo, el sitio Web B podría llevar al sitio Web A, en el que rellenaría la página de búsqueda con la secuencia de comandos comprometedora y la enviaría en nombre del usuario. La página resultante volvería al usuario, ya que éste, al haber hecho clic en el hipervínculo, ha sido en último término el solicitante, y se procesaría en su equipo.

 ¿Qué podría hacer la secuencia de comandos en el equipo del usuario?

La secuencia de comandos proveniente del sitio Web B (el del atacante) se ejecutaría en el equipo del usuario como si proviniera del sitio Web A. En la práctica, esto significaría dos cosas: se ejecutaría usando la configuración de seguridad en el equipo del usuario que correspondiera al sitio Web A.<p>

la secuencia de comandos del sitio Web B podría tener acceso a los cookies y a cualquier otro dato en el sistema del usuario que perteneciera al sitio Web A.

¿Podría un atacante aprovechar la vulnerabilidad para tomar el control de un equipo ISA Server?

No. Se trata únicamente de un ataque de secuencia de comandos que implican a varios sitios. No hay ninguna posibilidad de usurpar privilegios administrativos en el equipo ISA Server.

¿Podría un atacante aprovechar la vulnerabilidad para infringir la seguridad de un servidor de seguridad?

No. No hay ninguna posibilidad de aprovechar este punto vulnerable para reducir la seguridad que proporciona el servidor de seguridad a la red.

¿Qué es ISA Server?

ISA Server ofrece un servidor de seguridad empresarial y una caché Web de elevado rendimiento. El servidor de seguridad protege la red mediante el control de los recursos a los que se puede obtener acceso a través del mismo y de las condiciones de acceso. La caché Web contribuye a mejorar el rendimiento de la red al almacenar las copias locales del contenido Web que se solicita con más frecuencia. ISA Server se puede instalar en tres modos: modo de servidor de seguridad, modo de caché o modo integrado.<p>

En el modo de servidor de seguridad los administradores pueden proteger las comunicaciones de la red mediante la configuración de reglas que controlan dichas comunicaciones entre la red corporativa e Internet. El modo de caché mejora el rendimiento de la red gracias a que almacena en el propio servidor las páginas Web a las que se tiene acceso con más frecuencia. En el modo integrado están disponibles tanto las características del modo de caché como del modo de servidor de seguridad.

¿Cuál es la causa de esta vulnerabilidad?

Existe una vulnerabilidad porque algunas de las páginas de error devueltas por ISA Server muestran la dirección URL solicitada en texto HTML sin la codificación adecuada.

¿Qué problema tienen las páginas de error de ISA Server?

La función homepage() de muchas páginas de error ISA no codifica correctamente la dirección URL para mostrarla en texto HTML. Como consecuencia, es posible incrustar una secuencia de comandos en una solicitud de vínculo y provocar que se devuelva al explorador Web.

¿Qué le permitiría hacer a una atacante esta vulnerabilidad?

La vulnerabilidad permitiría a un atacante que operara desde un sitio Web y pudiera atraer a otro usuario para que hiciera clic en él llevar a cabo un ataque mediante una secuencia de comandos que implica a varios sitios a través de otro sitio Web que estuviera ejecutando a través de ISA Server. Según se explica anteriormente, esto posibilitaría al atacante ejecutar una secuencia de comandos en el explorador del usuario con la configuración de seguridad del otro sitio Web y tener acceso a los cookies y a otros datos del mismo.

¿Cómo podría aprovechar un atacante esta vulnerabilidad?

Para aprovechar la vulnerabilidad, un atacante tendría que alojar una página Web y persuadir a un usuario para que hiciera clic en un vínculo en esa página o enviarle una dirección URL en un mensaje de correo electrónico. Esta dirección URL no tendría que contener una secuencia de comandos. Debería entender las limitaciones impuestas en las solicitudes del cliente a través de ISA Server para que ISA respondiera con una página de error vulnerable, en la que la función homepage
() devolvería la secuencia de comandos del atacante al explorador.

Ha afirmado que la oportunidad del ataque estaría en que el atacante consiguiera que la secuencia de comandos se ejecutara en el explorador del usuario con la configuración de seguridad de mi sitio Web. ¿Qué capacidades específicas conseguiría el atacante con ello?

Eso depende de cada sitio, según la zona de seguridad del sitio del atacante y de la suya propia.

Si ambas estuvieran en la misma zona (y, de forma predeterminada, todos los sitios Web se hallan en la zona Internet a menos que el usuario las cambie), estarían sujetas exactamente a las mismas restricciones y el atacante no conseguiría nada al aprovecharse de esa vulnerabilidad.

Si el usuario hubiera puesto el sitio del atacante en una zona más restringida que la de usted, éste conseguiría que su secuencia de comandos hiciera lo mismo en el equipo del usuario que lo que podría hacer desde su sitio (el de usted).

Si el usuario hubiera puesto su sitio (el de usted) en una zona más restringida que la de usted, el atacante en realidad perdería capacidades con el ataque.

Es importante observar, sin embargo, que independientemente de la configuración de seguridad, la secuencia de comandos del atacante siempre podría tener acceso a los cookies y a cualquier otra información en el sistema del usuario que perteneciera al sitio de un tercero. Esto se debe a que, hasta donde puede indicar el explorador, el atacante es el sitio de un tercero.

¿De qué forma elimina la revisión la vulnerabilidad?

La revisión de seguridad eliminar la vulnerabilidad porque quita la función homepage() y el comando de Javascript que actualiza la página y para retroceder en la navegación.

 
 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad
 
 
Información adicional acerca de esta revisión de seguridad
  

 

 

Plataformas de instalación:

  • La revisión de seguridad puede instalarse en sistemas que ejecuten Microsoft ISA Server y Microsoft ISA Server SP1

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en el siguiente Service Pack de ISA Server.

Reinicio necesario: No

 

¿Se puede desinstalar esta revisión de seguridad?

 

Revisiones de seguridad anuladas por ésta: Ninguna.

 

Comprobación de la instalación de la revisión de seguridad:

  • Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\277

  • Para comprobar los archivos individuales, utilice la información de fecha, hora y versión que figura en el artículo 814546 de Knowledge Base.

Advertencias: Ninguna.

 

Versiones traducidas:
 Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

·   Las revisiones de seguridad están disponibles en Centro de descargas de Microsoft, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".

 

·   Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

Información adicional:

Agradecimientos

Microsoft agradece a Brett Moore  la comunicación de este problema y su cooperación para proteger a los clientes.

Soporte técnico:

 

·        El artículo 816456 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

 

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: La Web de recursos de seguridad de Microsoft proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (16.07.03): publicación del boletín

  • V1.1 (16.07.03): Actualización
 


 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2013 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft