Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-049
La saturación de un búfer en el servicio Workstation podría permitir la ejecución de código (828749)
 

 
 
 

Resumen

Quién debería leer este documento: Los clientes que utilicen Microsoft® Windows®

 

Alcance de la vulnerabilidad: Remote Code Execution

 

Gravedad máxima: Crítica.

 

Recomendación: Los administradores de Sistemas deberían instalar esta actualización de seguridad de inmediato.

 

Actualización de seguridad reemplazada: Ninguna

 

Advertencias: Ninguna

 

Ubicaciones de descarga de la actualización de seguridad y productos probados:

 

Software afectado:

·          Microsoft Windows 2000 Service Pack2, Service Pack 3, Service Pack 4 – Descargar la actualización

·          Microsoft Windows XP Gold, Service Pack 1 – Descargar la actualización

·          Microsoft Windows XP 64-Bit Edition Gold, Service Pack 1 – Descargar la actualización

Nota: Las actualizaciones de seguridad de Windows XP que se publicaron el 15 de octubre dentro del Boletín de seguridad MS03-043 incluyen el archivo actualizado que ayuda a protegerse contra este punto vulnerable.  Si ha aplicado las actualizaciones de seguridad de Windows XP del Boletín MS03-043, no es necesario que vuelva a aplicar esta actualización. Sin embargo, la actualización de seguridad de Windows 2000 que forma parte de este Boletín de seguridad contiene archivos actualizados que no estaban incluidos en el Boletín de seguridad MS03-043. Los clientes tienen que aplicar esta actualización de seguridad de Windows 2000 incluso si ya aplicaron las revisiones de seguridad de Windows 2000 incluidas en MS03-043.

Software no afectado:

·          Microsoft Windows NT Workstation 4.0, Service Pack 6a

·          Microsoft Windows NT Server 4.0, Service Pack 6a

·          Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6

·          Microsoft Windows Millennium Edition

·          Microsoft Windows XP 64-Bit Edition Version 2003

·          Microsoft Windows Server 2003

·          Microsoft Windows Server 2003 64-Bit Edition

Los programas de software listados arriba han sido probados para determinar si están afectados. Otras versiones ya no tienen soporte técnico y pueden, o no, verse afectadas.

 

 
Detalles técnicos  

 


Descripción técnica:

Existe un punto vulnerable de seguridad en el servicio de Estación de trabajo que podría permitir la ejecución remota de código en el sistema afectado. Esta vulnerabilidad proviene de un búfer sin comprobar en el servicio de Estación de trabajo.

Un atacante que aprovechase este punto vulnerable podría obtener privilegios del sistema en el sistema afectado o provocar el fallo del servicio de Estación de trabajo. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

Factores atenuantes:

·          Si el usuario ha bloqueado los puertos UDP entrantes 138, 139 y 445 y los puertos TCP 138, 139 y 445 mediante un servidor de seguridad, el atacante no podrá enviar mensajes al servicio de Estación de trabajo. La mayoría de los servidores de seguridad, incluido el Servidor de seguridad de conexión a Internet en Windows XP, bloquean de forma predeterminada estos puertos.

·          Si se deshabilita el servicio de Estación de trabajo, se impedirá la posibilidad de un ataque. No obstante, existen una serie de desventajas cuando se aplica esta solución. Consulte la sección dedicada a esta solución para obtener más detalles.

·          Sólo afecta a Windows 2000 y Window XP. Los demás sistemas operativos no son vulnerables a este ataque.

Gravedad:

Microsoft Windows 2000

Crítica

Microsoft Windows XP

Crítica

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad. 

Identificador de vulnerabilidad:

 
 
Soluciones  

 

 

Microsoft ha probado las siguientes soluciones. Estas soluciones no corrigen la vulnerabilidad subyacente, pero ayudan a bloquear los tipos de ataque conocidos. Las soluciones pueden ocasionar a veces una reducción de la funcionalidad (dichos casos se indican más abajo).

·         Bloquee los puertos UDP 138, 139 y 445 y los puertos TCP 138, 139 y 445 del servidor de seguridad.
Estos puertos se utilizan para aceptar una conexión de llamada a procedimiento remoto (RPC) en un equipo remoto. Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad sean víctimas de algún ataque que intente aprovechar este punto vulnerable.

·         Utilice un servidor de seguridad como el Servidor de seguridad de conexión a Internet, que está incluido en Windows XP.

Si utiliza la función del Servidor de seguridad de conexión a Internet de Windows XP para proteger su conexión a Internet, dicha función bloqueará de forma predeterminada el tráfico entrante procedente de Internet o de la intranet.

Para habilitar la función del Servidor de seguridad de conexión a Internet mediante el Asistente para configuración de red:

1.      Haga clic en Inicio y, a continuación, en Panel de control.

2.      En la Vista por categorías predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Configurar o cambiar su red doméstica o de oficina pequeña. El Servidor de seguridad de conexión a Internet está habilitado cuando se elige una configuración del asistente que indica que el equipo está conectado directamente a Internet.

Para configurar manualmente el Servidor de seguridad de conexión a Internet para una conexión:

1.      Haga clic en Inicio y, a continuación, en Panel de control.

2.      En la Vista por categorías predeterminada, haga clic en Conexiones de red y de acceso telefónico y, a continuación, haga clic en Conexiones de red.

3.      Haga clic con el botón secundario en la conexión en la que desea habilitar el Servidor de seguridad de conexión a Internet y, a continuación, haga clic en Propiedades.

4.      Haga clic en la ficha Avanzadas.

5.      Active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet y, a continuación, haga clic en Aceptar.

Nota: Si desea permitir el uso de algunas aplicaciones y servicios a través del servidor de seguridad, haga clic en Configuración de la ficha Avanzadas y, a continuación, seleccione los programas, los protocolos y los servicios.

·          Habilite el filtrado TCP/IP avanzado en los sistemas basados en Windows 2000 y Windows XP.

Puede habilitar el filtrado TCP/IP avanzado a fin de bloquear todo el tráfico entrante no solicitado. Si desea conseguir información adicional sobre cómo configurar el filtrado TCP/IP, haga clic en el número siguiente para ver el artículo correspondiente de Microsoft Knowledge Base:

309798 HOW TO: Configure TCP/IP Filtering in Windows 2000 (Cómo configurar el filtrado TCP/IP en Windows 2000) (en inglés)

·         Deshabilite el servicio de Estación de trabajo.

Puede deshabilitar el servicio de Estación de trabajo para ayudar a evitar la posibilidad de un ataque. Para deshabilitar el servicio de Estación de trabajo en Windows XP:

1.      Haga clic en Inicio y, a continuación, en Panel de control.

2.      En la Vista por categorías predeterminada, haga clic en Rendimiento y mantenimiento.

3.      Haga clic en Herramientas administrativas.

4.      Haga doble clic en Servicios.

5.      Haga doble clic en Estación de trabajo.

6.      En la ficha General, haga clic en Deshabilitado de la lista Tipo de inicio.

7.      En Estado del servicio, haga clic en Detener y, a continuación, en Aceptar.

Para deshabilitar el servicio de Estación de trabajo en Windows 2000:

1.      Haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control.

2.      Haga doble clic en Herramientas administrativas.

3.      Haga doble clic en Servicios.

4.      Haga doble clic en Estación de trabajo.

5.      En la ficha General, haga clic en Deshabilitado de la lista Tipo de inicio.

6.      En Estado del servicio, haga clic en Detener y, a continuación, en Aceptar.

Alcance de la solución: Si se deshabilita el servicio de Estación de trabajo, el sistema no podrá conectarse con ningún recurso de archivo compartido o de impresión compartida en red. Utilice esta solución solamente en sistemas autónomos (como la mayoría de los sistemas domésticos) que no estén conectados a una red.  Si se deshabilita el servicio de Estación de trabajo, no se iniciará ningún otro servicio que dependa explícitamente de él y se registrará un mensaje de error en el registro de eventos del sistema. Los siguientes servicios dependen del servicio de Estación de trabajo:

·         Servicio de alerta

·         Examinador

·         Mensajero

·         Inicio de sesión en red

·         Localizador de llamadas a procedimiento remoto (RPC)

Estos servicios son necesarios para acceder a los recursos de una red y para realizar la autenticación de dominio.  La navegación y la conectividad a Internet de los sistemas autónomos, como los de los usuarios con conexiones de acceso telefónico, de tipo DSL o mediante módem por cable, no deberían verse afectadas si se deshabilitan estos servicios.

 
 
Preguntas más frecuentes  

 


¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un intruso que consiguiera aprovechar este punto vulnerable podría ejecutar remotamente código con privilegios del sistema en el sistema afectado o podría hacer que el servicio de Estación de trabajo fallara. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

 

¿Cuál es la causa de esta vulnerabilidad?

Esta vulnerabilidad proviene de un búfer sin comprobar en el servicio de Estación de trabajo.

 

¿Qué es el servicio de Estación de trabajo?

Tanto las solicitudes del sistema de archivos local como las de impresión en red o de archivos remotos se distribuyen a través del servicio de Estación de trabajo. Este servicio determina dónde está ubicado el recurso y, posteriormente, dirige la solicitud al sistema de archivos local o al componente de red. Cuando se detiene el servicio de Estación de trabajo, todas las solicitudes se consideran como solicitudes locales. Para obtener una idea detallada de la arquitectura de red de Windows, visite el siguiente sitio Web de Microsoft: www.microsoft.com/technet/prodtechnol/winntas/reskit/net/chptr1.asp

 

¿Qué podría hacer un intruso que aprovechara esta vulnerabilidad?

Un intruso que consiguiera aprovechar este punto vulnerable podría provocar la ejecución de código con privilegios del sistema en el sistema afectado o podría hacer que el servicio de Estación de trabajo fallara. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

 

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que pueda enviar un mensaje malintencionado al servicio de Estación de trabajo de un sistema afectado podría intentar aprovechar este punto vulnerable. El hecho de que el servicio de Estación de trabajo esté habilitado en todas las versiones de Windows de forma predeterminada implica que cualquier usuario que pueda establecer una conexión con un sistema afectado podría intentar aprovecharse de esta vulnerabilidad.

 

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un intruso podría aprovechar esta vulnerabilidad creando un mensaje de red especialmente diseñado y enviándolo al servicio de Estación de trabajo del sistema afectado.  La recepción de dicho mensaje provocaría errores en el servicio de Estación de trabajo del sistema vulnerable que podrían permitir que dicho servicio ejecutase código. 

 

Un atacante también podría obtener acceso al componente afectado a través de otra vía, por ejemplo, iniciando una sesión en un sistema de forma interactiva o utilizando otra aplicación similar que transfiriese parámetros de forma local o remota al componente vulnerable.

 

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad garantizando que el servicio de Estación de trabajo valida de forma correcta la longitud de los mensajes antes de transferirlos al búfer asignado.

 

¿Por qué se menciona el Boletín de seguridad MS03-043 en la actualización de Windows XP?

Las actualizaciones de seguridad de Windows XP que se publicaron el 15 de octubre dentro del Boletín de seguridad MS03-043 incluyen el archivo actualizado que ayuda a protegerse contra este punto vulnerable.  Si ha aplicado las actualizaciones de seguridad de Windows XP del Boletín MS03-043, no es necesario que vuelva a aplicar esta actualización. Sin embargo, la actualización de seguridad de Windows 2000 que se publica formando parte de este Boletín de seguridad contiene archivos actualizados que no estaban incluidos en el Boletín de seguridad MS03-043. Los clientes tienen que aplicar esta actualización de seguridad de Windows 2000 incluso si ya aplicaron las revisiones de seguridad de Windows 2000 incluidas en MS03-043.

 
 
 
Información sobre la revisión de seguridad  

 


Plataformas de instalación:

Para obtener información sobre la revisión de seguridad específica para su plataforma, haga clic en el vínculo apropiado:

 
Windows XP (todas las versiones)
 

 

 


Nota:
Las actualizaciones de seguridad de Windows XP que se publicaron el 15 de octubre dentro del Boletín de seguridad MS03-043 incluyen el archivo actualizado que ayuda a protegerse contra este punto vulnerable.  Si ha aplicado las actualizaciones de seguridad de Windows XP del Boletín MS03-043, no es necesario que vuelva a aplicar esta actualización. Sin embargo, la actualización de seguridad de Windows 2000 que se publica formando parte de este Boletín de seguridad contiene archivos actualizados que no estaban incluidos en el Boletín de seguridad MS03-043. Los clientes tienen que aplicar esta actualización de seguridad de Windows 2000 incluso si ya aplicaron las revisiones de seguridad de Windows 2000 incluidas en MS03-043.

Para obtener información detallada sobre la actualización de seguridad de Windows XP, consulte el Boletín de seguridad MS03-043.
 

 
Windows 2000 (todas las versiones)
 

 

 

Requisitos previos

Para Windows 2000, esta actualización de seguridad requiere la instalación del Service Pack 2 (SP2), Service Pack 3 (SP3) o Service Pack 4 (SP4).

Si desea obtener información sobre el ciclo de vida de los productos de escritorio de Windows, visite el siguiente sitio Web de Microsoft:

http://microsoft.com/windows/lifecycle/desktop/consumer/components.mspx

 

Si desea conseguir información adicional, haga clic en el número siguiente para ver el artículo correspondiente de Microsoft Knowledge Base:

260910 How to Obtain the Latest Windows 2000 Service Pack (Cómo obtener el service pack más reciente para Windows 2000) (en inglés).

 

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en Windows 2000 Service Pack 5.

 
Información sobre la instalación

Esta actualización de seguridad admite los siguientes parámetros de instalación:

      /help  Muestra las opciones de la línea de comandos

 

Modos de instalación

      /quiet   Modo silencioso (sin interacción del usuario ni mensajes)

      /passive   Modo desatendido (sólo barra de progreso)

      /uninstall   Desinstala el paquete

 

Opciones de reinicio

      /norestart  No reinicia al terminar la instalación.

      /forcerestart  Reinicia después de la instalación

 

Opciones especiales

      /l    Lista los paquetes de actualización y las revisiones de Windows instalados

      /o   Sobrescribe los archivos OEM sin preguntar

      /n   No hace una copia de seguridad de los archivos necesarios para la desinstalación

      /f    Obliga a otros programas a cerrarse cuando se apaga el equipo

 

Nota: En cuanto a su compatibilidad con productos anteriores, esta actualización de seguridad también admite los parámetros de instalación que utilizaba la versión anterior de la utilidad de instalación. Sin embargo, debería dejar de utilizar los parámetros antiguos ya que no serán compatibles con las futuras actualizaciones de seguridad.

 

Información sobre la implementación

Para instalar la actualización de seguridad sin ninguna intervención del usuario, utilice la línea de comandos siguiente:

Para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 o Windows 2000 Service Pack 4:

Windows2000-kb828749-x86-enu /passive /quiet

 

Para instalar la actualización de seguridad sin obligar al equipo a reiniciarse, utilice la línea de comandos siguiente:

Para Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 o Windows 2000 Service Pack 4:

Windows2000-kb828749-x86-enu /norestart

 

Nota: Estos parámetros pueden combinarse en la misma línea de comandos.

Si desea obtener información sobre cómo implementar esta actualización de seguridad con los servicios de actualización de software, visite el siguiente sitio Web de Microsoft:

www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp

 

Requisito de reinicio

En algunos casos, esta actualización no requiere reiniciar el sistema. El programa instalador detiene los servicios necesarios, aplica la actualización y los vuelve a reiniciar. Sin embargo, si los servicios no pueden detenerse por algún motivo o si algún archivo necesario está siendo utilizado, habrá que reiniciar el sistema. Si esto ocurre, se mostrará un símbolo del sistema para avisar de ello.

 
Información sobre la eliminación

Para eliminar esta actualización de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores de sistemas pueden utilizar la utilidad Spuninst.exe para eliminar esta actualización de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB828749$\Spuninst y admite los siguientes parámetros de instalación:

  • /?: Mostrar la lista de parámetros de instalación.

  • /u: Usar el modo desatendido.

  • /f: Obligar a otros programas a cerrarse cuando se apaga el equipo.

  • /z: No reiniciar al terminar la instalación.

  • /q: Usar el modo silencioso (sin interacción del usuario).

                                                               

Información sobre archivos

La versión inglesa de esta revisión tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

 

Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 y Windows 2000 Service Pack 4:
 

   Fecha        Hora   Versión         Tamaño  Nombre archivo
   ------------------------------------------------------
   02-Oct-2003  21:53  5.00.2195.6862  96.528  Wkssvc.dll       

 

 

Verificación de la instalación de la actualización

Para comprobar que la actualización de seguridad está instalada en el equipo, utilice la herramienta Baseline Security Analyzer (MBSA) de Microsoft. Para conseguir información adicional sobre MBSA, haga clic en el número de artículo siguiente para ver el artículo de Microsoft Knowledge Base:

320454 Ya está disponible Microsoft Baseline Security Analyzer Version 1.1.1

También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB828749\Filelist

 

Nota:  Esta clave del registro puede no crearse correctamente cuando el administrador o una versión OEM integran o incorporan la actualización de seguridad 828749 en los archivos fuente de instalación de Windows.
 

 


Agradecimientos:

Microsoft agradece por trabajar con nosotros para proteger a los clientes a:

Obtención de otras actualizaciones de seguridad:

Otras Actualizaciones de Seguridad están disponibles en las siguientes localizaciones:

  • Dispone de actualizaciones de seguridad en el Centro de Descargas de Microsoft y pueden ser más fácilmente encontradas escribiendo en el apartado de búsqueda "actualización de seguridad" ("security_patch"). 

  • Las actualizaciones de seguridad para cada una de las plataformas las encontrará en el sitio web Windows Update: http://windowsupdate.microsoft.com


Soporte técnico:


Recursos de Seguridad:

Vea también http://support.microsoft.com/default.aspx?scid=kb;ES-ES;306460 para la lista de los actualizaciones de seguridad que tienen limitaciones en la detección con la herramienta de MBSA


Renuncia:

La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.


Revisiones:

  • V1.0 (11 de Noviembre de 2003): Publicación del Boletín.

 
 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft