Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS04-001
Vulnerabilidad en filtro H.323 de ISA Server 2000 permitiría la ejecución remota de código (816458)
Expuesto originalmente: 13 de Enero de 2004
Versión: 1.0
 

Sumario

Quién debería leer este documento: Los clientes que utilicen Microsoft® ISA Server® 2000

Alcance de la vulnerabilidad: Ejecución remota de código

Gravedad máxima: Crítica

Recomendación: Esta actualización debería ser instalada inmediatamente.

Reemplazo de actualización: Ninguna

Advertencias: Ninguna

Ubicaciones de descarga de la actualización y productos probados:

Software afectado

Software no afectado:

  • Microsoft Proxy Server 2.0

Los programas de software listados arriba han sido probados para determinar si están afectados. Otras versiones ya no tienen soporte técnico y pueden, o no, verse afectadas.


Detalles Técnicos

Descripción Tecnica:

Existe una vulnerabilidad de seguridad en el filtro H.323 para Microsoft ISA Server 2000 que podría permitir a un intruso desbordar un búfer del servicio de servidor de seguridad de Microsoft en Microsoft ISA Server 2000. Un atacante que aprovechase este punto vulnerable podría tratar de ejecutar su propio código en el contexto de seguridad del servicio de servidor de seguridad de Microsoft.

Esto conferiría al atacante el control total del sistema. El filtro H.323 está habilitado de forma predeterminada en los equipos con ISA Server 2000 instalados en el modo integrado o de servidor de seguridad.

Factores Atenuantes:

  • Los equipos ISA Server que se ejecutan en modo de caché no son vulnerables debido a que el servicio del servidor de seguridad de Microsoft está deshabilitado de forma predeterminada.
  • Los usuarios pueden impedir el riesgo de ataque deshabilitando el filtro H.323.

 

Esta clasificación se basa en los tipos de sistemas afectados por la vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aprovechase dicha vulnerabilidad.

Identificador de vulnerabilidad: CAN-2003-0819


Soluciones

Microsoft ha probado las siguientes soluciones. Estas soluciones no corrigen la vulnerabilidad subyacente, pero ayudan a bloquear los tipos de ataque conocidos. Las soluciones pueden ocasionar a veces una reducción de la funcionalidad (dichos casos se indican más abajo).

  • Deshabilitar el filtro H.323.
    Para deshabilitar el filtro H.323, siga estos pasos:
  1. Abra la herramienta de administración de ISA. Expanda el contenedor Extensiones y, a continuación, el contenedor Filtros de aplicación.
  2. Seleccione el Filtro H.323 y haga clic en Deshabilitar.
  3. Reinicie el servicio del servidor de seguridad de Microsoft.

Alcance de la solución: Si el filtro H.323 está deshabilitado, el servicio de servidor de seguridad de Microsoft bloqueará el tráfico H.323. Esto impedirá que las aplicaciones que utilicen el protocolo H.323 para telefonía IP o colaboración de datos se comuniquen mediante el servidor ISA Server. Si no se utiliza tráfico H.323 en la red protegida por el servidor ISA Server, se recomienda deshabilitar éste y otros filtros no utilizados para mejorar la seguridad y el rendimiento.

  • Bloquear el puerto TCP 1720 en un enrutador perimetral o de puerta de enlace.
    De forma predeterminada, el filtro H.323 escucha en el puerto TCP 1720. Si bloquea este puerto en un enrutador perimetral ayudará a proteger el servidor ISA Server de los ataques a través de Internet.

Nota: Al desactivar la opción Permitir llamadas entrantes de la ficha Control de llamadas en la configuración del filtro H.323, dicho filtro no se configura para dejar de escuchar en el puerto TCP externo 1720 y no es una solución efectiva. Este comportamiento se ha modificado en esta actualización de seguridad y se documenta con más detalle en la sección "Preguntas más frecuentes" de este boletín.

Alcance de la solución: Si se bloquea el tráfico del puerto 1720, las aplicaciones que utilicen el protocolo H.323 para telefonía IP o colaboración de datos ya no podrán comunicarse a través de


Preguntas más frecuentes

¿Cuál es el alcance de esta vulnerabilidad?
El motivo de esta vulnerabilidad es una saturación del búfer. Si un intruso aprovechara esta vulnerabilidad podría ejecutar código en el contexto de seguridad del servicio del servidor de seguridad de Microsoft en ISA Server 2000, con lo que podría obtener el control total del sistema.

¿Cuál es la causa de esta vulnerabilidad?
Esta vulnerabilidad es consecuencia del modo en que el filtro H.323 comprueba los límites del tráfico H.323 diseñado especialmente.

¿Qué es el filtro H.323?

El filtro H.323 es un filtro de aplicación que se utiliza en ISA Server 2000 para supervisar y controlar el tráfico de los protocolos H.323 y T.120. El protocolo H.323 se utiliza en aplicaciones de telefonía IP para transferir comunicaciones de audio y vídeo. El protocolo T.120 se utiliza en aplicaciones de telefonía IP para transferir datos de pizarra, transferencia de archivos o escritorio remoto. El filtro H.323 está habilitado de forma predeterminada en ISA Server 2000.

¿Qué es el servicio del servidor de seguridad de Microsoft?

El servicio del servidor de seguridad de Microsoft de ISA Server permite que las aplicaciones de Internet se ejecuten como si estuvieran conectadas directamente a Internet. Estos servicios redirigen las funciones de comunicaciones necesarias a un equipo ISA Server, con lo que establecen una ruta de comunicación entre la aplicación interna e Internet a través del equipo servidor.
El servicio elimina la necesidad de tener una puerta de enlace específica para cada protocolo, como el Protocolo simple de transferencia de correo (SMTP), el protocolo Telnet, el Protocolo de transferencia de archivos (FTP) o el protocolo H.323.


¿Para qué puede utilizar un atacante esta vulnerabilidad?

Si un intruso aprovechara esta vulnerabilidad podría ejecutar código en el contexto de seguridad del servicio del servidor de seguridad de Microsoft en ISA Server 2000, con lo que podría obtener el control total del sistema.

¿Contiene esta actualización algún otro cambio en relación con la seguridad?

Sí. La actualización corrige también un problema con la ficha Control de llamadas de la configuración del filtro H.323. Antes de esta actualización, si se ha desactivado la casilla de verificación Permitir llamadas entrantes de la ficha Control de llamadas de la configuración del filtro H.323, el filtro no estará configurado para interrumpir la escucha en el puerto TCP externo 1720. Esta actualización corrige este problema. Después de la actualización, si desactiva esta opción se configurará correctamente el filtro para que interrumpa la escucha en el puerto TCP externo 1720. El servicio del servidor de seguridad de Microsoft debe reiniciarse para que este cambio surta efecto.

Si la red que está ayudando a proteger el filtro H.323 va a utilizar únicamente tráfico H.323 saliente, se recomienda deshabilitar la opción Permitir llamadas entrantes a fin de aumentar la seguridad.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad al modificar la manera en que el filtro H.323 valida el tráfico H.323.

He instalado el servicio H.323 Gatekeeper. ¿Es vulnerable este servicio?

No. El servicio H.323 Gatekeeper no contiene la vulnerabilidad asociada con esta actualización. Sin embargo, si se ha instalado el servicio H.323 Gatekeeper en el sistema, se instalará una versión actualizada del archivo gksvc.dll con esta actualización. El servicio H.323 Gatekeeper no se instala de forma predeterminada.

Si instalo el servicio H.323 Gatekeeper después de aplicar la actualización, ¿tengo que volver a aplicarla?

Sí. Si se vuelve a instalar algún componente de instalación, deberán aplicarse todas las actualizaciones.

 

Información sobre la actualización de seguridad

Plataformas de instalación y requisitos previos:
Para obtener información sobre la actualización de seguridad específica para su plataforma, haga clic en el vínculo apropiado:

ISA Server 2000, ISA Server 2000 Feature Pack 1, Small Business Server 2000, Small Business Server 2000 Service Pack 1

Requisitos previos
Esta actualización de seguridad requiere ISA Server Service Pack 1 (SP1).

Si desea más información acerca de cómo obtener el Service Pack de ISA Server más reciente, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
313139 Cómo obtener el Service Pack más reciente de Internet Security and Acceleration Server 2000

Inclusión en futuros Service Packs:
La solución a este problema se incluirá en ISA Server 2000 Service Pack 2.

Información sobre la instalación

Esta actualización admite los siguientes parámetros de instalación:

Parámetro Descripción
-------------------------------------------------------------------------

/? Muestra la lista de parámetros de instalación.
/Q Utiliza el modo silencioso.
/UFH <X> Elimina el número de corrección <X> (donde <X> es el número de la corrección).
-nostart no se inician los servicios detenidos.


Información sobre la implementación
Para instalar la actualización de seguridad sin intervención del usuario, escriba la línea de comandos siguiente en el símbolo del sistema:

ISA2000-KB816458-x86.exe -q

Requisito de reinicio
No es necesario reiniciar el equipo después de aplicar esta actualización. Los servicios de ISA se reinician tras aplicar la actualización.

Información sobre la eliminación
Para eliminar esta actualización, utilice la herramienta Agregar o quitar programas del Panel de control. Con este propósito, haga clic en Actualizaciones de ISA Server 2000, en Cambiar, en ISA Hot Fix 291 y, a continuación, en Eliminar

Información sobre archivos
La versión inglesa de esta revisión tiene los atributos de archivo (o posteriores) indicados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en el horario universal coordinado (UTC). Cuando se consulta la información de archivo, ésta se convierte al horario local. Para averiguar la diferencia entre el horario universal coordinado y el local, utilice la ficha Zona horaria en la herramienta Fecha y hora del Panel de control.

Fecha Hora Versión Tamaño Nombre archivo
--------------------------------------------------------------
16-Dic-2003 17:16 3.0.1200.291 140.560 Gksvc.dll X86
16-Dic-2003 17:16 3.0.1200.291 209.168 H323asn1.dll X86
16-Dic-2003 17:16 3.0.1200.291 86.800 H323fltr.dll X86

Nota: El archivo Gksvc.dll sólo se instalará si el servicio H.323 Gatekeeper está instalado en el servidor ISA Server. Si el servicio H.323 Gatekeeper no está instalado, el archivo gksvc.dll no se instalará y no existirá en el sistema. Este servicio no se instala de forma predeterminada.


Verificación de la instalación de la actualización
También podría comprobar los archivos que ha instalado esta actualización de seguridad revisando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\291

Obtención de otras actualizaciones de seguridad:

Las actualizaciones para otros problemas de seguridad están disponibles en las ubicaciones siguientes:

  • Hay actualizaciones de seguridad disponibles en Microsoft Download Center y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_update".
  • Las actualizaciones para plataformas de usuarios están disponibles en el sitio Web Windows Update.

Soporte técnico:

  • Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft en el número 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas.

Recursos de seguridad:

Systems Management Server (SMS):


Systems Management Server puede proporcionar ayuda en la implementación de esta actualización de seguridad. Para obtener información acerca de Systems Management Server, visite el sitio Web de SMS. Para ayudar a los administradores en la implementación de actualizaciones de seguridad, SMS también proporciona varias herramientas adicionales, como SMS 2.0 Software Update Services Feature Pack y SMS 2.0 Administration Feature Pack. SMS 2.0 Software Update Services Feature Pack utiliza las utilidades Microsoft Baseline Security Analyzer y Microsoft Office Detection Tool como ayuda para remediar las vulnerabilidades indicadas en los boletines de seguridad. Algunas actualizaciones de software pueden requerir derechos administrativos a continuación de que se reinicie el equipo.

Nota: Las capacidades de inventario de Software Update Services Feature Pack de SMS 2.0 se pueden usar en las actualizaciones de equipos específicos mientras que la utilidad Elevated Rights Deployment Tool de Administration Feature Pack de SMS 2.0 puede usarse en la instalación. De este modo se obtiene la implementación óptima de actualizaciones que requieren realizarse de forma explícita con Systems Management Server y derechos administrativos tras reiniciar el equipo.

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

  • El Centro de coordinación para la seguridad de la infraestructura nacional del Reino Unido (NISCC) por informar sobre este problema en MS04-001.

Renuncia:
La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no serle aplicable.
Revisiones:

  • V1.0 (Enero 13, 2004): Publicación del boletín
 
 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2016 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft