Factores atenuantes de la vulnerabilidad en el servicio LSASS (CAN-2003-0533):

·          Sólo las plataformas Windows 2000 y Windows XP pueden ser objeto de un ataque remoto por parte de un usuario anónimo. Aunque Windows Server 2003 y Windows XP 64-Bit Edition Versión 2003 también presentan esta vulnerabilidad, sólo puede aprovecharla un administrador local.

·          Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

·        Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Soluciones para la vulnerabilidad en el servicio LSASS (CAN-2003-0533):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·         Utilice un servidor de seguridad como el Servidor de seguridad de conexión a Internet, que está incluido en Windows XP y Windows Server 2003.

Si utiliza la característica Servidor de seguridad de conexión a Internet en Windows XP o Windows Server 2003 para ayudar a proteger su conexión a Internet, se bloquea el tráfico entrante no solicitado de forma predeterminada. Microsoft recomienda bloquear toda comunicación entrante no solicitada de Internet.

Para habilitar la función del Servidor de seguridad de conexión a Internet mediante el Asistente para configuración de red siga estos pasos:

1.      Haga clic en Inicio y, a continuación, en Panel de control.

2.      En la Vista por categorías predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Configurar o cambiar su red doméstica o de oficina pequeña. El Servidor de seguridad de conexión a Internet está habilitado cuando se elige una configuración del asistente que indica que el sistema está conectado directamente a Internet.

Para configurar manualmente el Servidor de seguridad de conexión a Internet para una conexión, siga estos pasos:

1.      Haga clic en Inicio y, a continuación, en Panel de control.

2.      En la Vista por categorías predeterminada, haga clic en Conexiones de red y de acceso telefónico y, a continuación, haga clic en Conexiones de red.

3.      Haga clic con el botón secundario en la conexión en la que desea habilitar el Servidor de seguridad de conexión a Internet y, a continuación, haga clic en Propiedades.

4.      Haga clic en la ficha Avanzadas.

5.      Haga clic para activar la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso al mismo desde Internet y, a continuación, haga clic en Aceptar.

Si desea permitir el uso de algunos programas y servicios a través del servidor de seguridad, haga clic en Configuración de la ficha Avanzadas y, a continuación, seleccione los programas, los protocolos y los servicios necesarios.

·          Bloquee lo siguiente en el servidor de seguridad:

o         Puertos UDP 135, 137, 138 y 445; y puertos TCP 135, 139, 445 y 593

o         Todo el tráfico entrante no solicitado en puertos mayores que 1024

o         Cualquier otro puerto RPC configurado específicamente

Estos puertos se utilizan para iniciar una conexión con RPC. Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Asegúrese también de que bloquea cualquier otro puerto RPC configurado específicamente en el sistema remoto.  Microsoft le recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos. Para obtener más información acerca de los puertos que utiliza RPC, visite el siguiente sitio Web.

·          Habilite el filtrado TCP/IP avanzado en sistemas que admitan esta característica.

Puede habilitar el filtrado TCP/IP avanzado a fin de bloquear todo el tráfico entrante no solicitado. Para obtener más información acerca de cómo configurar el filtrado TCP/IP, lea el artículo de Knowledge Base 309798.

·          Bloquear los puertos afectados mediante el uso de IPSec en los sistemas afectados.
Utilice Seguridad del protocolo de Internet (IPSec) para ayudar a proteger las comunicaciones de red. En los artículos de Microsoft Knowledge Base 313190 y 813878 encontrará información detallada acerca de IPSec y de cómo aplicar filtros.

P+F de la vulnerabilidad de LSASS (CAN-2003-0533):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara con éxito esta vulnerabilidad podría obtener de forma remota el control total de un sistema afectado, lo que incluye la posibilidad de instalar programas; ver, modificar o eliminar datos; o crear cuentas nuevas con privilegios completos.

¿Cuál es la causa de esta vulnerabilidad?

La existencia de un búfer sin comprobar en el servicio LSASS.

¿Qué es el LSASS?

El Servicio de subsistema de autorización de seguridad local (LSASS) ofrece una interfaz para administrar la seguridad local, la autenticación de dominios y los procesos de Active Directory. Gestiona la autenticación en el cliente y en el servidor. También contiene funciones utilizadas para soportar las utilidades de Active Directory. 

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un intruso que aprovechara con éxito esta vulnerabilidad podría obtener el control completo del sistema afectado.

¿Quién podría aprovechar esta vulnerabilidad?

En las plataformas Windows 2000 y Windows XP, cualquier usuario anónimo que pudiera entregar un mensaje creado especialmente para el sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso la vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad creando un mensaje especial y enviándolo a un sistema afectado, lo que provocaría que dicho sistema ejecutara el código.

Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Windows 2000 y Windows XP son las plataformas con mayor riesgo de ser objeto de esta vulnerabilidad.

Windows Server 2003 y Windows XP 64-Bit Edition Versión 2003 incluyen protección adicional que requiere que sea el administrador quien inicie una sesión localmente en el sistema afectado para poder aprovechar esta vulnerabilidad.

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad modificando el modo que utiliza el servicio LSASS para validar la longitud de los mensajes antes de transferirlos al búfer asignado.

Esta actualización también elimina el código vulnerable de Windows 2000 Professional y Windows XP porque estas plataformas no precisan de la interfaz vulnerable. Con ello se mejora la protección ante posibles vulnerabilidades futuras en este servicio.

Factores atenuantes de la vulnerabilidad LDAP - CAN-2003-0663:

·         Para aprovechar esta vulnerabilidad, un atacante tendría que enviar un mensaje LDAP creado especialmente al controlador de dominio. Si los puertos LDAP no se bloquean mediante un servidor de seguridad, los atacantes no requerirían privilegios adicionales para aprovechar este punto vulnerable.

·         Esta vulnerabilidad sólo afecta a los controladores de dominio de Windows 2000 Server, pero no a los de Windows Server 2003.

·         Windows NT 4.0 y Windows XP no se ven afectados por esta vulnerabilidad.

·         Si un intruso lograra aprovechar esta vulnerabilidad, el sistema afectado podría mostrar un mensaje de advertencia avisando de que se reiniciará tras una cuenta atrás de 60 segundos. Tras acabar la cuenta atrás de 60 segundos, el sistema afectado se reiniciará automáticamente. Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal. Tras el reinicio, el sistema se restablecería con un funcionamiento normal; sin embargo, podría ser vulnerable a un ataque de denegación de servicio si no se aplica la actualización.

·         Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Soluciones para la vulnerabilidad LDAP (CAN-2003-0663):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·    Bloque los puertos TCP de LDAP 389, 636, 3268 y 3269 en el servidor de seguridad.

Estos puertos se utilizan para iniciar una conexión LDAP con un controlador de dominio de Windows 2000. Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad originados fuera del perímetro de la empresa. Aunque pueden utilizarse otros puertos para aprovechar esta vulnerabilidad, los puertos indicados son las vías más habituales de ataque. Microsoft recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Alcance de la solución: la autenticación de dominios de Active Directory no puede llevarse a cabo con una conexión de red en la que se hayan bloqueado estos puertos.

P+F de la vulnerabilidad LDAP (CAN-2003-0663):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de denegación de servicio. Un atacante que lograra aprovechar esta vulnerabilidad podría hacer que el servidor se reiniciara automáticamente y que, durante este tiempo, el servidor dejara de responder a las solicitudes de autenticación. Esta vulnerabilidad se ha detectado en los sistemas Windows 2000 Server que actúan como controlador de dominio. El único efecto existente en otros sistemas Windows 2000 es la posibilidad de que los clientes no puedan iniciar una sesión en el dominio si el controlador de dominio deja de responder.

¿Cuál es la causa de esta vulnerabilidad?

El procesamiento de mensajes LDAP creados especialmente por el servicio del subsistema de autenticación de la Autoridad de seguridad local (LSASS).

¿Qué es LDAP?

LDAP (protocolo ligero de acceso a directorios) es un protocolo estándar del sector que permite a los usuarios autorizados consultar o modificar los datos de un metadirectorio. Por ejemplo, en Windows 2000, LDAP es un protocolo utilizado para obtener acceso a los datos de Active Directory.

¿Qué problema existe en el procesamiento de los mensajes LDAP diseñados especialmente?

Un atacante podría enviar un mensaje LDAP diseñado especialmente al servicio LSASS y conseguir que dejara de responder.

¿Qué es el LSASS?

El Servicio de subsistema de autorización de seguridad local (LSASS) ofrece una interfaz para administrar la seguridad local, la autenticación de dominios y los procesos de Active Directory. Gestiona la autenticación en el cliente y en el servidor. También contiene funciones utilizadas para soportar las utilidades de Active Directory. 

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría provocar que el servicio LSASS dejara de responder y que el sistema afectado se reiniciara. El sistema afectado podría mostrar un mensaje de advertencia que informara de su reinicio automático al cabo de una cuenta atrás de 60 segundos. Durante esta cuenta atrás de 60 segundos, es posible que no funcione la autenticación local de la consola del sistema afectado ni la autenticación de dominios de usuario. Tras acabar la cuenta atrás de 60 segundos, el sistema afectado se reiniciará automáticamente. Si los usuarios no pueden llevar a cabo la autenticación de dominios con el sistema afectado, es posible que no puedan obtener acceso a los recursos del dominio. Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal. Sin embargo, podría ser vulnerable a un ataque de denegación de servicio si no se aplica la actualización.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que logre entregar un mensaje LDAP diseñado especialmente al sistema afectado podría aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso la vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un mensaje LDAP diseñado especialmente a los controladores de dominio de uno o varios bosques, lo que podría llegar a causar un ataque de denegación de servicio de la autenticación de dominios de una empresa. El resultado podría ser que el servicio LSASS dejara de responder y provocara un reinicio del sistema afectado. Los atacantes no precisan ninguna cuenta de usuario válida en el dominio para enviar este mensaje LDAP diseñado especialmente: Este ataque puede realizarse con un acceso anónimo.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo son vulnerables los controladores de dominio de Windows 2000.

Utilizo Windows 2000. ¿Qué equipos debería actualizar?

La actualización que soluciona esta vulnerabilidad debe instalarse en los sistemas que actúan como controladores de dominio de Windows 2000. No obstante, la actualización también puede instalarse de forma segura en equipos Windows 2000 Server que desempeñen otras funciones. Microsoft recomienda aplicar esta actualización en los sistemas que se prevé que pasen a actuar como controladores de dominio próximamente.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad al modificar el modo en que el servicio LSASS procesa el mensaje LDAP creado especialmente.

Factores atenuantes de la vulnerabilidad del protocolo PCT (CAN-2003-0719):

·        Sólo se ven afectados los sistemas en los que se ha habilitado el servicio SSL, que suelen ser únicamente los sistemas servidor. El soporte de SSL no está instalado de forma predeterminada en ninguno de los equipos afectados. Sin embargo, SSL se usa generalmente en servidores Web para dar soporte a programas de comercio electrónico, banca en línea y otros programas que requieren comunicaciones seguras.

·          Windows Server 2003 sólo presenta este punto vulnerable si el administrador ha habilitado manualmente el protocolo PCT (incluso si está habilitado el servicio SSL).

·        En algunas situaciones, las funciones de publicación en Web de ISA Server 2000 o Proxy Server 2.0 pueden llegar a bloquear los intentos de aprovechar esta vulnerabilidad. Las pruebas han demostrado que las funciones de publicación en Web de ISA Server 2000, con la función de filtrado de paquetes habilitada y todas las opciones de filtrado de paquetes seleccionadas, permiten bloquear este ataque sin aparentes efectos colaterales. Proxy Server 2.0 también bloquea satisfactoriamente este ataque. Sin embargo, hasta que no se aplique esta actualización en el sistema Proxy Server 2.0, el ataque provoca que los servicios Web de dicho sistema dejen de responder y que el sistema deba reiniciarse.

·        Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

Soluciones para la vulnerabilidad del protocolo PCT (CAN-2003-0719):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·          Deshabilitar la compatibilidad con PCT desde el Registro

Esta solución se explica de forma pormenorizada en el artículo 187498 de Microsoft Knowledge Base (en inglés). El artículo se resume a continuación.

Los pasos siguientes muestran cómo deshabilitar el protocolo PCT 1.0, que evita que el sistema afectado pueda negociar su empleo.

Nota El uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El Editor del Registro se utiliza bajo su propio riesgo.

Para obtener información sobre cómo editar el Registro, consulte el tema “Cambiar claves y valores” de la Ayuda del Editor del Registro (Regedit.exe) o los temas “Agregar y eliminar valores del Registro” y “Editar valores del Registro” de la Ayuda de Regedt32.exe.

Nota Es conveniente realizar una copia de seguridad del registro antes de editarlo.

1.      Haga clic en Inicio, Ejecutar, escriba "regedt32" (sin las comillas) y haga clic en Aceptar.

2.       En el Editor del Registro, ubique la siguiente clave del registro:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server                                            

3.      En el menú Edición, seleccione Agregar valor para crear el valor REG_BINARY, denominado "Habilitado" en la subclave Server.

4.      En la lista Tipo de datos, haga clic en REG_BINARY.

5.      En el cuadro de texto Nombre de valor, escriba "Habilitado" (sin las comillas) y haga clic en Aceptar.

Nota Si este valor ya existe, haga doble clic en el mismo para editar su valor actual y siga con el paso 6.

6.      En el Editor binario, establezca el nuevo valor de las claves para que equivalgan a 0 mediante la siguiente cadena: 00000000.

7.       Haga clic en Aceptar y reinicie el sistema.

Nota Para habilitar el protocolo PCT, cambie el valor “Habilitado” de la clave de registro a 00000001 y reinicie el sistema.

P+F de la vulnerabilidad del protocolo PCT (CAN-2003-0719):

¿Cuál es el alcance de esta vulnerabilidad?

Se ha detectado una vulnerabilidad de saturación del búfer en la tecnología de comunicaciones privadas (PCT), parte de la biblioteca SSL. Sólo son vulnerables los sistemas con el servicio SSL habilitado, y algunos controladores de dominio de Windows 2000. 

Podrían verse afectadas todas las aplicaciones que utilicen SSL. Aunque SSL se asocia comúnmente a ISS a través de HTTPS y el puerto 443, cualquier servicio que utilice SSL en una plataforma afectada podría ser vulnerable. Entre ellas figuran, aunque hay otras, Servicios de Microsoft Internet Information Server 4.0, Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (suministrado con SQL Server 2000) y aplicaciones de otros fabricantes que utilicen el protocolo PCT. SQL Server 2000 no presenta esta vulnerabilidad porque bloquea específicamente las conexiones PCT.

Windows Server 2003 y Servicios de Internet Information Server 6.0 sólo son vulnerables ante este aspecto si algún administrador habilita el protocolo PCT manualmente (incluso si se habilita el servicio SSL).

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

El proceso utilizado por la biblioteca SSL para comprobar las entradas de mensajes. 

¿Qué es la biblioteca SSL?

La biblioteca de nivel de sockets seguro de Microsoft (SSL) admite una serie de protocolos de comunicación seguros. Entre ellos figuran Seguridad de la capa de transporte 1.0 (TLS 1.0), la Capa de sockets seguros 3.0 (SSL 3.0) y la antigua Capa de sockets seguros 2.0 (SSL 2.0) y el protocolo de Tecnología de comunicaciones privadas 1.0 (PCT 1.0).

Estos protocolos proporcionan una conexión cifrada entre un servidor y un sistema cliente. SSL puede ayudar a proteger información privada cuando ésta se transfiere por redes públicas como Internet. La compatibilidad SSL requiere un certificado SSL, que debe estar instalado en un servidor. Para obtener más información, lea el artículo 245152 de Microsoft Knowledge Base.

¿Qué es el protocolo PCT?

La tecnología de comunicaciones privadas (PCT) es un protocolo desarrollado por Microsoft y Visa International para garantizar la seguridad de las comunicaciones por Internet. Se desarrolló como alternativa a SSL 2.0. Es parecida a SSL. Los formatos de los mensajes presentan un nivel de semejanza suficiente para que un servidor pueda interactuar con clientes compatibles con SSL y con PCT.

PCT es un protocolo anterior que ha sido sustituido posteriormente por SSL 3.0 y que ya no se utiliza de forma habitual. La biblioteca SSL (Capa de Sockets seguros) de Microsoft ofrece exclusivamente compatibilidad inversa con PCT. La mayoría de las aplicaciones y servidores modernos utilizan SSL 3.0, por lo que PCT ya no es necesario. Para obtener información más detallada, visite el sitio web MSDN Library.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier atacante anónimo que pueda enviar un mensaje TCP diseñado especialmente al servicio SSL habilitado de un sistema afectado podría intentar aprovechar este punto vulnerable.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un atacante podría aprovechar esta vulnerabilidad estableciendo una comunicación con el sistema afectado a través del servicio SSL habilitado y enviando un mensaje TCP creado especialmente. La recepción de dicho mensaje provocaría errores en el servicio afectado del sistema vulnerable de modo que pudiera ejecutarse el código en cuestión.

Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Podrían verse afectadas todas las aplicaciones que utilicen SSL. Aunque SSL se asocia comúnmente a ISS a través de HTTPS y el puerto 443, cualquier servicio que utilice SSL en una plataforma afectada podría ser vulnerable. Entre ellas figuran, aunque hay otras, Servicios de Internet Information Server 4.0, Servicios de Internet Information Server 5.0, Servicios de Internet Information Server 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (suministrado con SQL Server 2000) y aplicaciones de otros fabricantes que utilicen el protocolo PCT. SQL Server 2000 no presenta esta vulnerabilidad porque bloquea específicamente las conexiones PCT.

Windows Server 2003 y Servicios de Internet Information Server 6.0 sólo son vulnerables ante este aspecto si algún administrador habilita el protocolo PCT manualmente (incluso si se habilita el servicio SSL).

Los dominios de Active Directory en los que se haya instalado una entidad emisora de certificados raíz de empresa también se ven afectados por esta vulnerabilidad porque los controladores de dominio de Windows 2000 escuchan automáticamente en busca de conexiones SSL.

¿Cómo se ve afectado Windows Server 2003?

La forma de implementación de PTC en Windows Server 2003 contiene la misma saturación de búfer que se puede encontrar en otras plataformas. Sin embargo, PTC está desactivado de forma predeterminada. Si el protocolo PCT se habilitara mediante una clave de registro, Windows Server 2003 podría entonces ser vulnerable ante esta situación. Por ello, Microsoft lanza una actualización de seguridad para Windows Server 2003 que corrige la saturación de búfer sin necesidad de habilitar el protocolo PCT.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad mediante la modificación del modo en que la implementación de PCT valida la información que se transfiere a dicho protocolo: deshabilitando el protocolo PCT.

¿Esta actualización implica algún cambio de funcionamiento?

Sí. Aunque la actualización soluciona la vulnerabilidad del protocolo PCT, también lo deshabilita porque este protocolo ya no se utiliza y se ha sustituido por SSL 3.0. Este comportamiento es coherente con la configuración predeterminada de la plataforma Windows Server 2003. Si los administradores requieren PCT, pueden utilizar la clave de registro descrita en el apartado de soluciones para habilitarlo.

Factores atenuantes de la vulnerabilidad de Winlogon (CAN-2003-0806):

·          Sólo los sistemas Windows NT 4.0, Windows 2000 y Windows XP que son miembros de un dominio se ven afectados por esta vulnerabilidad. Windows Server 2003 no está afectado por esta vulnerabilidad.

·        Un atacante necesitaría permisos para modificar los objetos de usuario de un dominio con objeto de intentar aprovechar esta vulnerabilidad. Normalmente, sólo los miembros de los grupos Administrador u Operador de cuenta tienen este permiso. Sin embargo, este permiso se puede delegar a otros usuarios de cuenta en el dominio.

·          Los dominios suelen ser compatibles con la auditoría de cambios realizados en los objetos de usuario. La revisión de los registros de tales auditorías puede permitir determinar la cuenta de usuario que ha modificado malintencionadamente otras cuentas de usuario para aprovechar esta vulnerabilidad.

Soluciones para la vulnerabilidad de Winlogon (CAN-2003-0806):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·         Reducir el número de usuarios con permisos de modificación de cuenta.

Para aprovechar esta vulnerabilidad, un atacante necesita poder modificar los objetos de usuario de un dominio. Algunas organizaciones agregan cuentas de usuario no necesarias a los grupos de administradores u operadores de cuenta. Por ejemplo, si un representante del departamento de soporte sólo necesita restablecer las contraseñas de usuario, el administrador debería delegarle exclusivamente este permiso, sin agregar al representante al grupo de operadores de cuenta.

Reducir el número de cuentas de usuario de los grupos administrativos también ayuda a bloquear las vías de ataque conocidas. Sólo los empleados de confianza deberían ser miembros de los grupos administrativos. Para obtener más información acerca de las prácticas recomendadas de dominios, consulte el siguiente sitio Web (en inglés).

P+F Winlogon (CAN-2003-0806):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

Winlogon lee un valor del dominio pero no comprueba su tamaño antes de insertar el valor en el búfer asignado.

¿Qué es winlogon?

Winlogon es el componente del sistema operativo Windows que ofrece compatibilidad con el inicio de sesión interactivo. Winlogon.exe es el proceso que administra las interacciones de usuario relacionadas con la seguridad en Windows. Se encarga de las solicitudes de inicio de sesión y desconexión, de bloquear o desbloquear el sistema, cambiar las contraseñas y otras solicitudes. Este proceso lee datos del dominio durante el proceso de inicio de sesión, datos que utiliza para configurar el entorno del usuario. Para obtener más información acerca de Winlogon, visite el sitio Web de MSDN Library.

¿Qué es un dominio?

Los dominios pueden utilizarse para almacenar información sobre prácticamente cualquier objeto de la red como, por ejemplo, impresoras, ubicaciones de archivos compartidos e información personal. Si desea obtener más información sobre cómo crear dominios en Windows 2000 Server o Windows Server 2003, visite el siguiente sitio Web (en inglés).

¿Qué podría hacer un intruso que aprovechara esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Un atacante necesitaría permisos para modificar los objetos de usuario de un dominio con objeto de intentar aprovechar esta vulnerabilidad. Normalmente, sólo los miembros de los grupos Administrador u Operador de cuenta tienen este permiso. Sin embargo, este permiso se puede delegar a otros usuarios de cuenta en el dominio. Las cuentas de usuario sin este permiso o los usuarios anónimos no podrían aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un atacante podría modificar intencionadamente un valor almacenado en el dominio con objeto de incluir datos dañinos. Cuando este valor se transfiere a un búfer sin comprobar de Winlogon durante el proceso de inicio de sesión, Winlogon podría permitir que se ejecutara el código dañino.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo los sistemas Windows NT 4.0, Windows 2000 y Windows XP que son miembros de un dominio se ven afectados por esta vulnerabilidad.

¿Cómo funciona esta actualización?
Esta actualización elimina la vulnerabilidad modificando el modo que el proceso Winlogon valida la longitud del valor antes de transferirlo al búfer asignado.

Factores atenuantes de la vulnerabilidad de los metarchivos CAN-2003-0906:

·         Esta vulnerabilidad podría utilizarla sólo un atacante que lograra persuadir a un usuario para abrir un archivo diseñado especialmente o para ver un directorio con una imagen creada específicamente para tal fin. El atacante no puede obligar al usuario a abrir un archivo malintencionado.

·         En el caso de un ataque basado en el Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web problemático. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

·         Un atacante que aprovechase con éxito esta vulnerabilidad podría obtener los mismos privilegios que el usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos privilegios en el sistema correrían un riesgo menor que aquéllos que cuenten con privilegios administrativos.

·         Windows Server 2003 no está afectado por esta vulnerabilidad.

Soluciones para la vulnerabilidad del metarchivo CAN-2003-0906:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·         Leer mensajes de correo electrónico como texto sin formato si está utilizando Outlook 2002, o una versión posterior, o Outlook Express 6 SP1, o una versión posterior, para protegerse del tipo de ataque mediante correo electrónico HTML.

Los usuarios de Microsoft Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 pueden habilitar una característica para ver sólo en texto sin formato todos los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados.

A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información, lea el artículo 307594 de Microsoft Knowledge Base.

Para obtener más información, lea el artículo 291387 de Microsoft Knowledge Base.

Consecuencias de la solución provisional:
Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

·         Los cambios se aplican al panel de vista previa y a los mensajes abiertos.

·         Las imágenes se conservan como archivos adjuntos.

·         Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

P+F de la vulnerabilidad del metarchivo (CAN-2003-0906):

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

Un búfer sin comprobar en la presentación de los formatos de imagen del metarchivo de Windows (WMF) y el metarchivo mejorado (EMF).

¿Qué son los formatos de imagen del metarchivo de Windows (WMF) y el metarchivo mejorado (EMF)?

Una imagen WMF es un formato de metarchivo de 16 bits que puede contener tanto información vectorial como información del mapa de bits. Está optimizada para el sistema operativo Windows.

Una imagen EMF es un formato de imagen de 32 bits que puede contener tanto información vectorial como información del mapa de bits. Este formato es una mejora del formato del metarchivo de Windows y presenta funciones ampliadas.

Para obtener más información sobre los tipos y formatos de imagen, consulte el artículo 320314 de Microsoft Knowledge Base (en inglés). También puede encontrar información adicional sobre estos formatos de archivo en MSDN Library (en inglés).

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Cualquier aplicación que presente los tipos de imagen afectados podría ser vulnerable a este ataque. Aquí se enumeran algunos ejemplos:

·        Un intruso podría alojar un sitio Web malintencionado para aprovecharse de esta vulnerabilidad a través de Internet Explorer 6 y convencer a un usuario para que visite el sitio Web.

·        Un atacante podría también crear un mensaje HTML con una imagen adjunta creada específicamente. Esta imagen creada específicamente podría diseñarse para aprovechar esta vulnerabilidad valiéndose de Outlook XP o Outlook Express 6 y convencer al usuario de que vea el mensaje de correo HTML.

·          Un atacante podría incrustar una imagen diseñada especialmente en un documento de Office y convencer al usuario de que abra el documento.

·          Un atacante podría colocar una imagen diseñada especialmente en el sistema de archivos local o en una red compartida y convencer al usuario de que obtenga una vista previa del directorio mediante el Explorador de Windows de Windows XP

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Esta vulnerabilidad podría utilizarla sólo un atacante que lograra persuadir a un usuario para abrir un archivo diseñado especialmente o para ver un directorio con una imagen creada específicamente para tal fin. El atacante no puede obligar al usuario a abrir un archivo malintencionado.

En el caso de un ataque basado en el Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web problemático. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad al modificar la manera en que Windows valida los tipos de imagen afectados.

Factores atenuantes de la vulnerabilidad del Centro de ayuda y soporte técnico - CAN-2003-0907:

·         En el caso de un ataque basado en el Web, el intruso tendría que alojar un sitio Web que contuviera una página Web para aprovechar esta vulnerabilidad. El atacante no podría obligar a los usuarios a visitar un sitio Web problemático. Por tanto, tendría que atraerlos al sitio Web, normalmente incitándole a hacer clic en un vínculo que le lleve al mismo.

·         De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos si se ha instalado la Actualización de seguridad para correo electrónico de Outlook. La zona Sitios restringidos ayuda a reducir los ataques que podrían aprovechar esta vulnerabilidad.

El riesgo de sufrir un ataque mediante un mensaje de correo electrónico HTML se puede reducir de forma significativa si se cumplen todas las siguientes condiciones:

·         Aplicación de la actualización incluida en el boletín de seguridad de Microsoft MS04-004

·         Uso de Internet Explorer 6 o posterior.

·         Uso de la Actualización de seguridad para correo electrónico de Outlook o Microsoft Outlook Express 6, o una versión posterior, o Microsoft Outlook 2000 SP2, o una versión posterior, en su configuración predeterminada.

·         Un atacante que aprovechase con éxito esta vulnerabilidad podría obtener los mismos privilegios que el usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos privilegios en el sistema correrían un riesgo menor que aquéllos que cuenten con privilegios administrativos.

·          Windows NT 4.0 y Windows 2000 no se ven afectados por esta vulnerabilidad.

Soluciones para la vulnerabilidad del Centro de ayuda y soporte técnico (CAN-2003-0907):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·         Eliminar el registro del protocolo HCP.

Para ayudar a evitar ataques, elimine el registro del protocolo HCP eliminando la siguiente clave del Registro: HKEY_CLASSES_ROOT\HCP. Para ello, siga estos pasos:

1.      Haga clic en Inicio y, después, en Ejecutar.

2.      Escriba regedit y haga clic en Aceptar.
Se iniciará el programa Editor del Registro.

3.      Despliegue HKEY_CLASSES_ROOT y resalte la clave HCP.

4.       Haga clic con el botón secundario en la clave HCP y seleccione Eliminar

Nota El uso incorrecto del Editor del Registro puede originar problemas graves que conlleven la reinstalación de Windows. Microsoft no garantiza que los problemas derivados del uso incorrecto del Editor del Registro puedan resolverse. El Editor del Registro se utiliza bajo su propio riesgo.

Consecuencias de la solución provisional: La eliminación del registro del protocolo HCP romperá todos los vínculos de ayuda locales legítimos que utilicen hcp://. Por ejemplo, es posible que dejen de funcionar los vínculos del Panel de control.

·         Instalar la Actualización de seguridad para correo electrónico de Outlook si está usando Outlook 2000 SP1 o una versión anterior

De forma predeterminada, Outlook Express 6, Outlook 2002 y Outlook 2003 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos. Además, Outlook 98 y Outlook 2000 abren los mensajes de correo electrónico HTML dentro de la zona Sitios restringidos si se ha instalado la Actualización de seguridad para correo electrónico de Outlook.

Los clientes que utilicen cualquiera de estos productos correrán un riesgo reducido de un ataque mediante correo electrónico que intente aprovechar estos puntos vulnerables a no ser que hagan clic en un vínculo malintencionado del mensaje.

·         Leer mensajes de correo electrónico como texto sin formato si está utilizando Outlook 2002, o una versión posterior, o Outlook Express 6 SP1, o una versión posterior, para protegerse del tipo de ataque mediante correo electrónico HTML.

Los usuarios de Microsoft Outlook 2002 que han aplicado Office XP Service Pack 1 o una versión posterior, y los usuarios de Outlook Express 6 que han aplicado Internet Explorer 6 Service Pack 1 pueden habilitar una característica para ver sólo en texto sin formato todos los mensajes de correo electrónico que no estén firmados digitalmente o que no estén cifrados.

A los mensajes de correo electrónico firmados digitalmente o cifrados no les afecta esta configuración y pueden leerse en sus formatos originales. Para obtener más información, lea el artículo 307594 de Microsoft Knowledge Base.

Para obtener más información, lea el artículo 291387 de Microsoft Knowledge Base.

Consecuencias de la solución provisional:
Los mensajes vistos como texto sin formato no contienen imágenes, fuentes especiales, animaciones o contenido enriquecido. Además:

·         Los cambios se aplican al panel de vista previa y a los mensajes abiertos.

·         Las imágenes se conservan como archivos adjuntos.

·         Como el formato del mensaje sigue siendo de texto enriquecido o HTML en el almacén, el modelo de objetos (soluciones de código personalizado) puede comportarse inesperadamente.

P+F de la vulnerabilidad del Centro de ayuda y soporte técnico (CAN-2003-0907):

Existe una vulnerabilidad de ejecución remota de código en la función de Centro de ayuda y soporte. La función de Centro de ayuda y soporte técnico se suministra como parte de los sistemas afectados. Esta vulnerabilidad se debe al modo en que este Centro lleva a cabo la validación HCP URL.

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de ejecución remota de código. Un atacante que lograra aprovechar este error podría hacerse con todo el control del sistema afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?
El proceso que utiliza el Centro de ayuda y soporte técnico para validar las entradas de datos.

¿Qué es el Centro de ayuda y soporte técnico?
El Centro de ayuda y soporte técnico es una función de Windows que proporciona ayuda sobre una gran variedad de temas. Por ejemplo, este centro permite a los usuarios aprender las funciones de Windows, descargar e instalar actualizaciones de software, determinar si un dispositivo de hardware concreto es compatible con Windows, obtener asistencia de Microsoft, etc. Tanto los usuarios como los programas pueden utilizar vínculos URL con el Centro de ayuda y soporte técnico utilizando el prefijo “hcp://” en los vínculos URL, en lugar de “http://”.

¿Qué es el protocolo HCP?
Al igual que el protocolo HTTP, que se utiliza para ejecutar vínculos URL y abrir un explorador Web, el protocolo HCP puede utilizarse para ejecutar vínculos URL para abrir el Centro de ayuda y soporte técnico.

¿Qué problema tiene el Centro de ayuda y soporte técnico?
Se produce un error en la validación de la entrada.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, un atacante debería alojar un sitio Web con fines malintencionados y convencer al usuario de que lo visitara. El intruso también podría crear un mensaje de correo electrónico HTML con un vínculo diseñado especialmente y persuadir al usuario para que vea dicho mensaje de correo HTML o para que haga clic en el vínculo. Si el usuario hace clic en el vínculo, se abriría una ventana de Internet Explorer con una HCP URL elegida por el intruso, dirección que permitiría la ejecución de código arbitrario.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Windows XP y Windows Server 2003 contienen la versión afectada del Centro de ayuda y soporte técnico. Windows NT 4.0 y Windows 2000 no se ven afectados porque no incluyen este Centro.

Estoy ejecutando Internet Explorer en Windows Server 2003. ¿Soluciona esto la vulnerabilidad en Windows Server 2003?
No. De forma predeterminada, Internet Explorer en Windows Server 2003 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada de Internet Explorer. No obstante, el protocolo HCP puede acceder al Centro de ayuda y soporte de forma predeterminada. Por lo tanto, Windows Server 2003 también es vulnerable.

Para obtener más información acerca de la Configuración de seguridad mejorad de Internet Explorer, consulte el siguiente sitio Web (en inglés).

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad mediante la modificación del proceso de validación de los datos que se transfieren al Centro de ayuda y soporte técnico.

Factores atenuantes de la vulnerabilidad del Administrador de utilidades - CAN-2003-0908:

·         Para aprovechar este punto vulnerable, el usuario debe de tener unas credenciales de inicio de sesión válidas. Usuarios remotos no pueden aprovechar esta vulnerabilidad.

·         Windows NT 4.0, Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad. Windows NT 4.0 no incluye el Administrador de utilidades.

·         La publicación Manual de seguridad estricta de Windows 2000 (en inglés) recomienda deshabilitar el servicio del Administrador de utilidades. Los entornos que cumplen estas directrices presentan un riesgo reducido ante esta vulnerabilidad. 

Soluciones para la vulnerabilidad del Administrador de utilidades (CAN-2003-0908):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

• Utilizar directivas de software para deshabilitar el Administrador de utilidades de todos los sistemas afectados que no precisen esta función.
  
  Dado que el servicio del Administrador de utilidades puede ser blanco de ataques, se puede deshabilitar utilizando las directivas de restricción de software. El nombre de proceso del Administrador de utilidades es utilman.exe. Las siguientes publicaciones ofrecen información sobre cómo permitir a los usuarios el únicamente el uso de aplicaciones permitidas por las directivas de restricción de software.
  
  Nota: También puede consultar la publicación Windows 2000 Hardening Guide. Esta guía incluye información acerca de cómo desactivar el Administrador de utilidades.
  
  Consecuencias de la solución provisional:
  El Administrador de utilidades proporciona muchas de las funciones de accesibilidad del sistema operativo. Este acceso no estará disponible hasta que se eliminen las restricciones. Para obtener información sobre cómo iniciar manualmente las funciones de accesibilidad, visite el siguiente sitio Web.

P+F sobre la vulnerabilidad del Administrador de utilidades (CAN-2003-0908):

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

El proceso que utiliza el Administrador de utilidades para iniciar las aplicaciones. Es posible que el Administrador de utilidades inicie aplicaciones con privilegios del sistema.

¿Qué es el Administrador de utilidades?
El Administrador de utilidades es una utilidad de accesibilidad que permite a los usuarios comprobar el estado de los programas de accesibilidad (tales como el Ampliador de Microsoft, el Narrador o el Teclado en pantalla) y ejecutarlos o detenerlos.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Un atacante tendría que iniciar una sesión en el sistema, iniciar el Administrador de utilidades y ejecutar un programa que enviase un mensaje especialmente diseñado al Administrador de utilidades para aprovechar este punto vulnerable.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, el intruso tendría que iniciar primero el Administrador de utilidades en Windows 2000 y a continuación ejecutar una aplicación diseñada especialmente y que permitiera aprovechar la vulnerabilidad. En las configuraciones predeterminadas de Windows 2000, el Administrador de utilidades está instalado pero no está en ejecución. Esta vulnerabilidad podría permitir a un intruso controlar completamente un sistema Windows 2000.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo el sistema Windows 2000 se ve afectado por esta vulnerabilidad. Las estaciones de trabajo y servidores de terminal de Windows 2000 son los componentes con un mayor riesgo de sufrir ataques de este tipo. Los servidores sufrirán riesgos solamente si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

Utilizo Windows 2000, pero no estoy usando el Administrador de utilidades ni ninguna de las funciones de accesibilidad. ¿Sigo siendo vulnerable?
Sí. El Administrador de utilidades se instala de forma predeterminada. No obstante, el Administrador de utilidades no se activa de forma predeterminada.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
No. El intruso debe ser capaz de iniciar una sesión en el sistema específico que desea atacar. Un intruso no puede cargar y ejecutar un programa de forma remota utilizando esta vulnerabilidad.

¿Cómo funciona esta actualización?

Esta actualización elimina la vulnerabilidad mediante la modificación del modo en que el Administrador de utilidades inicia las aplicaciones.

Factores atenuantes de la vulnerabilidad de administración de Windows - CAN-2003-0909:

·         Para aprovechar este punto vulnerable, el usuario debe de tener unas credenciales de inicio de sesión válidas. Esta vulnerabilidad no pueden aprovecharla los usuarios anónimos.

·         Windows NT 4.0, Windows 2000 y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones para la vulnerabilidad de administración de Windows (CAN-2003-0909):

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

Eliminar el proveedor afectado de la interfaz de administración de Windows.

Un administrador con permisos administrativos locales puede eliminar el proveedor WMI afectado mediante la inserción de la siguiente secuencia de comandos en un archivo de texto con la extensión ‘.vbs’ y su posterior ejecución.

Para eliminar el proveedor WMI afectado:

set osvc = getobject("winmgmts:root\cimv2")

set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")

otrigger.delete_

La instalación de la actualización vuelve a registrar de forma automática el proveedor WMI indicado más arriba. No es necesario realizar pasos adicionales para restaurar el sistema a su funcionalidad habitual tras aplicar la actualización.

Consecuencias de la solución provisional: Las tareas creadas como desencadenadores basados en sucesos no funcionarán mientras dicho proveedor no esté registrado. Puede encontrar más información sobre los desencadenadores basados en sucesos en el siguiente sitio Web (en inglés).

Nota En algunas ocasiones, Windows XP podría volver a registrar este proveedor WMI. Por ejemplo, si Windows XP detecta que se ha dañado el depósito WMI, podría intentar volver a registrar el proveedor WMI afectado.

P+F de la vulnerabilidad de la administración de Windows (CAN-2003-0909):

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

En condiciones especiales, un usuario sin privilegios de Microsoft Windows XP podría crear una tarea que se ejecutara con permisos de sistema.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Para aprovechar esta vulnerabilidad es preciso que el atacante pueda iniciar una sesión en el sistema y crear una tarea. Dado que el intruso debe disponer de credenciales de inicio de sesión válidas para ello, los sistemas remotos no presentan riesgo de ser blanco de estos ataques.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Sólo el sistema Windows XP se ve afectado por esta vulnerabilidad.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad evitando que los usuarios creen tareas con un nivel de privilegios superior.

¿Contiene esta actualización algún otro cambio en relación con el comportamiento?
Sí. Esta actualización también incluye varios cambios funcionales que se describen a continuación:

·        Antes de esta actualización, existían situaciones en los que un usuario podía crear desencadenadores basados en sucesos mediante la herramienta Eventtriggers.exe de la línea de comandos sin tener que suministrar ningún nombre de usuario ni contraseña. Una vez instalada la actualización, el usuario tiene que indicar un nombre de usuario y una contraseña válidos si desea crear desencadenadores basados en sucesos mediante Eventttrigers.exe. Para obtener información detallada sobre las opciones de la línea de comandos “eventtriggers.exe”, visite el siguiente sitio Web (en inglés).

·          Antes, los administradores podían crear desencadenadores basados en sucesos incluso si el servicio Programador de tareas estaba deshabilitado o no funcionaba. Ahora es indispensable que este servicio esté funcionando. Para obtener más información sobre el Programador de tareas, visite el siguiente sitio Web (en inglés).

·        En esta actualización también se ha establecido un límite nuevo de 1.000 desencadenadores. Los desencadenadores basados en sucesos existentes que superen este límite seguirán funcionando una vez aplicada la actualización. Pero no así para los desencadenadores que se creen con posterioridad.

·          Se ha aumentado el rigor de los permisos para los desencadenadores basados en sucesos que se creen con posterioridad a la aplicación de la actualización.

Factores atenuantes de la vulnerabilidad de la tabla de descriptor local - CAN-2003-0910:

·        Para aprovechar esta vulnerabilidad, un intruso debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Esta vulnerabilidad no puede aprovecharse remotamente. 

·        Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones para la vulnerabilidad de la tabla de descriptor local (CAN-2003-0910):

Ninguna.

P+F de la vulnerabilidad de la tabla de descriptor local (CAN-2003-0910):

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

La interfaz de programación utilizada para crear entradas en la LDT.  Estas entradas contienen información sobre segmentos de la memoria. Un atacante podría crear una entrada maliciosa para obtener acceso al kernel protegido de la memoria.

¿Qué es la tabla de descriptor local?

La Tabla de descriptor local (LTD) contiene entradas llamadas descriptores. Estos descriptores contienen información que define un segmento particular de la memoria.

¿Qué problema hay con el modo en que se puede crear una entrada de descriptor en la tabla LDT?

La interfaz de programación no debería permitir que las aplicaciones crearan entradas de descriptor en la tabla de descriptor local relativas a las áreas de memoria protegida.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que lograra aprovechar este error podría hacerse con el control del sistema afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Es preciso que el intruso puede iniciar una sesión localmente en el sistema, y ejecutar un programa, para aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Antes de aprovechar esta vulnerabilidad, el intruso debería iniciar sesión en el sistema. A continuación, el intruso podría ejecutar una aplicación diseñada especialmente para que le permitiera aprovechar este error y lograr obtener el control total del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de servicios de Terminal Server. Los servidores sufrirán riesgos solamente si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones y ejecutar programas Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?
No. El intruso debe ser capaz de iniciar una sesión en el sistema específico que desea atacar. Un intruso no puede cargar y ejecutar un programa de forma remota utilizando esta vulnerabilidad.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad mediante la modificación del modo en que se crean las entradas de los descriptores en la tabla LDT.

Factores atenuantes de la vulnerabilidad H.323 - CAN-2004-0117:

·          En los casos más comunes, NetMeeting (que utiliza el protocolo H.323) debe ejecutarse para ser vulnerable.

·          En los casos más comunes, los sistemas que utilizan el Servidor de seguridad de conexión a Internet (ICF) y no ejecutan ninguna aplicación basada en H.323 no son vulnerables.

·          Windows NT 4.0 no se ve afectado por esta vulnerabilidad a menos que un administrador haya instalado manualmente la versión independiente de NetMeeting.

Soluciones para la vulnerabilidad H.323 - CAN-2004-0117:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·          Bloquear el tráfico entrante y saliente de los puertos TCP 1720 y 1503 en el servidor de seguridad.

Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos. Microsoft recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Consecuencias de la solución provisional:

Si se bloquea el tráfico entrante y saliente para los puertos TCP 1503 y 1720, los usuarios no podrán conectar al Servidor de seguridad de conexión a Internet (ILS) ni a otros clientes de NetMeeting.

Preguntas más frecuentes sobre la vulnerabilidad H.323 - CAN-2004-0117:

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

La existencia de búferes no comprobados en la implementación del protocolo H.323 de Microsoft. 

¿Qué es H.323?

H.323 es un estándar UTI que especifica cómo los terminales (PC), los equipos y los servicios de multimedia se comunican a través de redes que no garantizan la calidad de servicio (como Internet). Los terminales y los equipos que utilizan el protocolo H.323 pueden procesar vídeo, voz y datos en tiempo real, o cualquier combinación de estos elementos. Los productos que utilizan el protocolo H.323 para transmitir audio y vídeo permiten que los usuarios se conecten y comuniquen con otras personas a través de Internet, del mismo modo que se comunican las personas que utilizan diferentes marcas y modelos de teléfono.

¿Qué aplicaciones afectadas utilizan el protocolo H.323?

El protocolo H.323 lo utilizan una serie de aplicaciones y componentes del sistema operativo de Microsoft. Este problema puede afectar a los sistemas que ejecuten uno o más de los siguientes servicios o aplicaciones:

·          Aplicaciones basadas en la Interfaz de programación de aplicaciones de telefonía (TAPI)

·          NetMeeting

·          Servidor de seguridad de conexión a Internet (ICF)

·          Servidor compartido de conexión a Internet.

·          Herramientas de servicio de acceso remoto y enrutamiento de Microsoft?

¿Qué es TAPI?

La Interfaz de programación de aplicaciones de telefonía (TAPI) es parte de la arquitectura abierta del sistema de Windows. Permite a los desarrolladores crear aplicaciones de telefonía. TAPI es un estándar de la industria abierto, definido mediante datos considerables y continuos procedentes de la comunidad global de telefonía y equipos informáticos. Dado que TAPI es independiente del hardware, las aplicaciones compatibles pueden ejecutarse en diferentes productos de telefonía y equipos, y admiten diversos servicios de red. TAPI utiliza el protocolo H.323. Las aplicaciones que utilizan TAPI pueden ser vulnerables al problema descrito en este boletín.

¿Hay alguna aplicación H.323 basada en TAPI instalada de forma predeterminada en alguno de los equipos afectados?

La aplicación Marcador de teléfono de Microsoft es la única que se basa en TAPI H.323 y está instalada de forma predeterminada en Windows 2000 y Windows XP. Las aplicaciones de otros fabricantes pueden habilitar y utilizar la funcionalidad del protocolo H.323 en TAPI.

Nota La aplicación Marcador de teléfono de Microsoft no se incluye en Windows Server 2003.

¿Qué es NetMeeting?

NetMeeting proporciona una completa solución para conferencias de empresa e Internet a todos los usuarios de Windows, incluyendo conferencias de datos multipunto, charla mediante texto, pizarra, y transferencia de archivos; además de audio y vídeo de punto a punto. NetMeeting utiliza el protocolo H.323 y está instalado en todos los sistemas afectados, pero no se ejecuta de forma predeterminada.

Ejecuto NetMeeting pero no el Servidor compartido de conexión a Internet, ICF o el Servicio de acceso remoto y enrutamiento. ¿Sigo siendo vulnerable?

Sí. Mientras ejecute NetMeeting, será vulnerable a este problema.

Si ejecuto NetMeeting, pero no está conectado a un servidor ILS ni en una sesión de igual a igual, ¿soy vulnerable?

Sí, a menos que los puertos TCP 1720 y 1503 se hayan bloqueado en el sistema.

Si nunca he instalado la versión independiente de NetMeeting, ¿soy vulnerable?

NetMeeting se suministró como parte de Windows 2000, Windows XP y Windows Server 2003. Esta actualización va dirigida a versiones de NetMeeting que se proporcionaban con dichos sistemas operativos. NetMeeting también se podía descargar de forma independiente para otros sistemas operativos y se incluía como parte de otras aplicaciones, que también podrían ser vulnerables a este problema. Si ha instalado la versión independiente de NetMeeting, debe ejecutar la actualización que se ocupa de esta vulnerabilidad. Para descargar la versión actualizada, visite el siguiente sitio Web.

¿Están afectados Windows 98, Windows 98 Second Edition o Windows Millennium Edition de forma crítica por esta vulnerabilidad?

No. Aunque estos sistemas operativos puedan incluir NetMeeting, la vulnerabilidad no es grave para ellos. Para solucionar esta vulnerabilidad puede descargar e instalar la versión independiente de NetMeeting para dichos sistemas operativos, en el siguiente sitio Web. Para obtener más información acerca de la gravedad, visite el siguiente sitio Web.

¿Qué es el Servidor de seguridad de conexión a Internet?

El Servidor de seguridad de conexión a Internet (ICF) proporciona funcionalidad básica para prevenir intrusiones en los sistemas que ejecutan Windows® XP o Windows Server 2003. Se ha diseñado para sistemas directamente conectados a una red pública y para sistemas que forman parte de una red doméstica cuando se utilizan con Conexión compartida a Internet Connection.

Si sólo ejecuto el Servidor de seguridad de conexión a Internet en Windows XP o Windows Server 2003, ¿sigo siendo vulnerable?

No, no de forma automática. Sin embargo, si utiliza NetMeeting, incluso con ICF en ejecución, podría ser vulnerable a este problema. NetMeeting abrirá los puertos de ICF que pueden exponerse a esta vulnerabilidad.

Si abre manualmente los puertos TCP 1720 y 1503 también puede exponerse a esta vulnerabilidad. Las aplicaciones de otros fabricantes también pueden provocar que ICF abra los puertos para responder a las solicitudes de comunicación del protocolo H.323.

¿Qué es el Servidor compartido de conexión a Internet?

Mediante la Conexión compartida a Internet (ICS), los usuarios pueden conectar un sistema a Internet y compartir los servicios Internet con otros sistemas en una red pequeña de oficina o una red doméstica. El Asistente para configuración de red de Windows XP proporcionará automáticamente la configuración de red necesaria para compartir una conexión a Internet con todos los sistemas de una red. Los sistemas pueden utilizar programas como Internet Explorer y Outlook Express como si estuvieran conectados a Internet.

ICS es una función de Windows 2000, Windows XP y Windows Server 2003, pero no está habilitado de forma predeterminada en ninguno de los sistemas afectados.

Si he habilitado la Conexión compartida a Internet (ICS), pero no el Servidor de seguridad de conexión a Internet (ICF), ¿soy vulnerable?

Sí, ICS habilita los puertos que permiten que el sistema sea vulnerable a este problema.

Si tanto ICF como ICS se están ejecutando, el ataque no sería posible a menos que el usuario estuviera utilizando también la aplicación NetMeeting, o hubiera abierto manualmente los puertos 1503 o 1720.

¿Qué son las Herramientas de servicio de acceso remoto y enrutamiento?

Las Herramientas de servicio de acceso remoto y enrutamiento permiten que un sistema que ejecute Windows 2000 Server o la familia de productos Windows Server 2003 funcione como un enrutador de red. El acceso remoto permite a los usuarios con sistemas remotos crear una conexión lógica con la red de la organización o con Internet.  RRAS admite solicitudes del protocolo H.323 que se enruten hacia o desde una red.

Si ejecuto RRAS en Windows 2000, ¿sigo siendo vulnerable?

Sí. De forma predeterminada, Windows 2000 utiliza RRAS con la funcionalidad NAT, que expone a la vulnerabilidad. No obstante, un administrador puede deshabilitar la funcionalidad H.323 utilizando el comando netsh. El artículo 838834 de Microsoft Knowledge Base describe los pasos.

Nota Si un sistema se configura para ejecutar otra herramienta RRAS sin funcionalidad NAT (por ejemplo, VPN, OSPF o RIP), no se vería afectado por la vulnerabilidad.

Si ejecuto RRAS en Windows Server 2003, ¿sigo siendo vulnerable?

No. De forma predeterminada, Windows Server 2003 RRAS no habilita la funcionalidad H.323. No obstante, un administrador podría habilitar esa funcionalidad y exponer el sistema a la vulnerabilidad.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo podría enviar una solicitud H.323 especialmente diseñada a cualquiera de los sistemas previos afectados.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

El intruso podría aprovechar esta vulnerabilidad localizando a los usuarios que ejecuten NetMeeting o una aplicación TAPI basada en H.323.

Un intruso podría aprovechar la vulnerabilidad a través de la Conexión compartida a Internet (ICS) para ejecutar código de forma remota en sistemas que tengan la conexión habilitada. Si tanto ICF como ICS se están ejecutando, el ataque no sería posible a menos que el usuario estuviera utilizando también la aplicación NetMeeting.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Los sistemas que ejecuten NetMeeting o aplicaciones basadas en H.323.

¿Cómo funciona esta actualización?

La actualización modifica el modo en el que los sistemas afectados procesan las solicitudes H.323 especialmente diseñadas.

Factores atenuantes de la vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

·        Para aprovechar esta vulnerabilidad, un intruso debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Esta vulnerabilidad no puede aprovecharse remotamente.

·        Windows XP y Windows Server 2003 no se ven afectados por esta vulnerabilidad.

Soluciones a la vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

Ninguna.

Preguntas más frecuentes sobre la vulnerabilidad Máquina DOS virtual - CAN-2004-0118:

¿Cuál es el alcance de esta vulnerabilidad?

Ésta es una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios. Para aprovechar esta vulnerabilidad, el intruso debería ser capaz de iniciar una sesión local en el sistema y ejecutar un programa.

¿Cuál es la causa de esta vulnerabilidad?

El componente del sistema operativo que trata el subsistema VDM se podría utilizar para obtener acceso a la memoria del núcleo protegida. En determinadas circunstancias, algunas funciones del sistema operativo con privilegios podrían no validar las estructuras del sistema y permitir que un intruso ejecutara código dañino con privilegios del sistema.

¿Qué es el subsistema Máquina DOS virtual (VDM)?

Una Máquina DOS virtual es un entorno protegido que emula a MS-DOS y Windows basado en DOS en sistemas operativos basados en Windows NT. VDM se crea cuando un usuario inicia una aplicación MS-DOS en un sistema operativo basado en Windows NT.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Quién podría aprovechar esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, el intruso debería ser capaz de iniciar una sesión local en un sistema y ejecutar un programa.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Antes de aprovechar esta vulnerabilidad, el intruso debería iniciar sesión en el sistema. Seguidamente, podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad, y ganar el control completo del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de servicios de Terminal Server. Los servidores sufrirán riesgos solamente si algún usuario que no tenga las suficientes credenciales administrativas tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

¿Puede aprovecharse esta vulnerabilidad a través de Internet?

No. El intruso debe ser capaz de iniciar una sesión en el sistema específico que desea atacar. Un intruso no puede cargar y ejecutar un programa de forma remota utilizando esta vulnerabilidad.

¿Cómo funciona esta actualización?

Esta actualización modifica la forma en la que Windows valida los datos al referenciar las ubicaciones de memoria asignadas a VDM.

Factores atenuantes de la vulnerabilidad Negociar SSP- CAN-2004-0119:

·        En los casos más comunes, esta vulnerabilidad es una vulnerabilidad de denegación de servicio.

·        La interfaz Negociar SSP también está habilitada de forma predeterminada en IIS. Únicamente Windows 2000 (IIS 5.0) y Windows Server 2003 Web Server Edition (IIS 6.0) instalan Internet Information Services (IIS) de forma predeterminada.

·          Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

Soluciones a la vulnerabilidad Negociar SSP- CAN-2004-0119:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·          Soluciones para el tipo de ataque a los Servicios de información de Internet

·          Deshabilitar la Autenticación Windows integrada

Los administradores pueden ayudar a reducir el riesgo de un ataque a través de Internet Information Services desactivando Integrated Windows Authentication. Encontrará información sobre cómo habilitar y deshabilitar esta opción en el siguiente sitio Web (en inglés). 

Consecuencias de la solución provisional: Cualquier aplicación basada en IIS que requiera autenticación Windows NT Challenge/Response (NTLM) o Kerberos dejará de funcionar correctamente.

·          Deshabilitar Negociar SSP

Los administradores pueden deshabilitar sólo la interfaz Negociar SSP siguiendo las instrucciones del artículo 215383 de Microsoft Knowledge Base, que se resume a continuación:

Para deshabilitar Negociar (y por lo tanto impedir la autenticación de Kerberos), utilice el siguiente comando. “NTLM” debe ir en mayúsculas para evitar efectos negativos:

cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”

Consecuencias de la solución provisional: cualquier aplicación basada en IIS que requiera autenticación Kerberos dejará de funcionar correctamente.

Preguntas más frecuentes sobre la vulnerabilidad Negociar SSP- CAN-2004-0119:

¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de saturación del búfer. No obstante, es más probable que se trate de una vulnerabilidad de denegación de servicio. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas que tengan todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?

La existencia de un búfer sin comprobar en la interfaz Negociar SSP. 

¿Qué es la interfaz Negociar compatibilidad con seguridad proporcionada (Negotiate Security Support Provided)?

Dado que Windows admite varios tipos de autenticación, el método utilizado cuando un cliente se conecta a un servidor debe negociarse. La interfaz Negociar SSP es el componente del sistema operativo que proporciona esta funcionalidad. Se basa en el mecanismo Simple and Protected GSS-API Negotiate Mechanism (SPNEGO), definido en RFC 2478. Para obtener más información acerca de los métodos de autenticación de Windows, visite el siguiente sitio Web.

¿Por qué se ven afectados los Servicios de información de Internet?

La interfaz Negociar SSP también está habilitada de forma predeterminada en los Servicios de información de Internet (IIS) para que puedan utilizar protocolos de autenticación como NTLM o Kerberos y proporcionar acceso seguro a los recursos. Para obtener más información acerca de los métodos de autenticación admitidos por IIS, visite el siguiente sitio Web (en inglés).

¿Para qué puede utilizar un intruso esta vulnerabilidad?

Aunque probablemente se produciría una denegación de servicio, un intruso que consiga aprovechar con éxito esta vulnerabilidad podría tomar el control total de un sistema afectado, incluyendo la instalación de programas; la visualización, modificación y eliminación de datos; o la creación de nuevas cuentas con todos los privilegios. Si un atacante ha provocado que un sistema afectado no responda, un administrador podrá restaurar el funcionamiento normal reiniciando el sistema afectado. Sin embargo, podría ser vulnerable a un nuevo ataque de denegación de servicio si no se aplica la actualización.

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que pueda enviar un mensaje especialmente diseñado a un sistema afectado podría aprovechar esta vulnerabilidad. Dado que esta función está habilitada de forma predeterminada en todos los sistemas afectados, cualquier usuario que pueda establecer una conexión con un sistema afectado podría aprovechar la vulnerabilidad.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?

Un intruso podría aprovechar esta vulnerabilidad creando un mensaje de red especialmente diseñado y enviándolo al sistema afectado. 

Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Todos los sistemas afectados pueden ser vulnerables a este problema de forma predeterminada. Además, de forma predeterminada, los sistemas que ejecutan IIS 5.0, 5.1 y 6.0 también son vulnerables a este problema a través de un puerto de escucha.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad modificando la forma en la que la interfaz Negociar SSP valida la longitud de un mensaje antes de transferirlo al búfer asignado.

Factores atenuantes de la vulnerabilidad SSL - CAN-2004-0120:

·        Sólo se ven afectados los sistemas en los que se ha habilitado el servicio SSL, que suelen ser únicamente los sistemas servidor. El soporte de SSL no está instalado de forma predeterminada en ninguno de los equipos afectados. Sin embargo, SSL se usa generalmente en servidores Web para dar soporte a programas de comercio electrónico, banca en línea y otros programas que requieren comunicaciones seguras.

·        Si se siguen las prácticas recomendadas relativas al uso de servidores de seguridad y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger una red de los ataques que se originen fuera del ámbito de la empresa. Se recomienda que los sistemas conectados a Internet tengan expuesta la cantidad mínima de puertos.

·          Windows NT 4.0 no se ve afectado por esta vulnerabilidad.

Soluciones para la vulnerabilidad SSL - CAN-2004-0120:

Microsoft ha probado las siguientes soluciones. Aunque estas soluciones no corrigen la vulnerabilidad subyacente, ayudan a bloquear los tipos de ataque conocidos. Cuando una solución reduce la funcionalidad, se identifica a continuación.

·          Bloquear los puertos 443 y 636 en el servidor de seguridad

El puerto 443 se utiliza para recibir tráfico SSL. El puerto 636 se utiliza para conexiones LDAP SSL (LDAPS). Al bloquearlos en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad de intentos de aprovechar esta vulnerabilidad. Puede que también se usen otros puertos para aprovechar esta vulnerabilidad. Sin embargo, los puertos que aquí se enumeran son los vectores de ataque más comunes. Microsoft recomienda bloquear toda la comunicación entrante no solicitada de Internet para ayudar a impedir ataques que puedan utilizar otros puertos.

Consecuencias de la solución provisional: Si se bloquean los puertos 443 o 636, los sistemas afectados no podrán aceptar conexiones externas mediante SSL o LDAPS.

Preguntas más frecuentes sobre la vulnerabilidad SSL - CAN-2004-0120:

¿Cuál es el alcance de esta vulnerabilidad?

Una vulnerabilidad de denegación de servicio en la biblioteca de nivel de sockets seguro (SSL) de Microsoft afecta al modo que tiene de tratar los mensajes SSL especialmente diseñados. Esta vulnerabilidad podría provocar que el sistema afectado dejara de aceptar conexiones SSL en Windows 2000 y Windows XP. En Windows Server 2003, la vulnerabilidad podría provocar que el sistema afectado se reiniciara automáticamente.

Es importante mencionar que la vulnerabilidad de denegación de servicio no permitiría a los intrusos ejecutar código o elevar sus privilegios, pero podría provocar que el sistema afectado dejara de aceptar solicitudes.

¿Cuál es la causa de esta vulnerabilidad?

El proceso utilizado por la biblioteca SSL para comprobar las entradas de mensajes. 

¿Qué es la biblioteca de nivel de sockets seguro de Microsoft?

La biblioteca de nivel de sockets seguro de Microsoft admite una serie de protocolos de comunicación seguros. Entre ellos figuran Seguridad de la capa de transporte 1.0 (TLS 1.0), la Capa de sockets seguros 3.0 (SSL 3.0) y la antigua Capa de sockets seguros 2.0 (SSL 2.0) y el protocolo de Tecnología de comunicaciones privadas 1.0 (PCT 1.0).

Estos protocolos proporcionan una conexión cifrada entre un servidor y un sistema cliente. SSL ayuda a proteger la información privada cuando los usuarios se conectan a través de redes públicas como Internet. La compatibilidad SSL requiere un certificado SSL, que debe estar instalado en un servidor. Para obtener más información, lea el artículo 245152 de Microsoft Knowledge Base.

¿Para qué puede utilizar un intruso esta vulnerabilidad?

En Windows 2000 y Windows XP, un intruso que aprovechase esta vulnerabilidad con éxito podría hacer que el sistema afectado dejara de aceptar conexiones SSL. En Windows Server 2003, un atacante podría provocar que el sistema afectado se reiniciara automáticamente. En ese momento, el sistema afectado sería incapaz de responder a las solicitudes de autenticación. Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal. Sin embargo, podría ser vulnerable a un ataque de denegación de servicio si no se aplica la actualización.

Si un intruso aprovecha esta vulnerabilidad, se puede registrar un evento de error del sistema. El evento ID 5000 puede quedar registrado en el registro de eventos del sistema, con el valor SymbolicName de "SPMEVENT_PACKAGE_FAULT" y la descripción siguiente:

"The security package NAME generated an exception", donde NAME contiene el valor de "Schannel" o "Microsoft Unified Security Protocol Provider."

¿Quién podría aprovechar esta vulnerabilidad?

Cualquier usuario anónimo que pueda enviar un mensaje SSL especialmente diseñado a un sistema afectado podría intentar aprovechar esta vulnerabilidad.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?
Un intruso podría aprovechar esta vulnerabilidad creando un programa que pueda comunicarse con un servidor vulnerable a través de un servicio SSL habilitado para enviar un tipo específico de mensaje TCP especialmente diseñado. La recepción de dicho mensaje provocaría un error en el sistema vulnerable, pudiendo causar una denegación de servicio.

Un atacante también podría tener acceso al componente afectado a través de otro punto. Por ejemplo, un atacante podría iniciar la sesión en el sistema interactivamente o utilizando otro programa que pasara parámetros al componente vulnerable (de forma local o remota).

¿Qué sistemas están más expuestos a esta vulnerabilidad?

Todos los sistemas con SSL habilitado son vulnerables. Aunque SSL se asocia comúnmente a ISS a través de HTTPS y el puerto 443, cualquier servicio que utilice SSL en una plataforma afectada podría ser vulnerable. Entre ellas figuran, aunque hay otras, Servicios de Internet Information Server 4.0, Servicios de Internet Information Server 5.0, Servicios de Internet Information Server 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (suministrado con SQL Server 2000) y aplicaciones de otros fabricantes que utilicen el protocolo PCT.

Los controladores de dominio de Windows 2000 que están instalados en un dominio de Active Directory, que también tenga instalada una Entidad emisora raíz de la empresa, se ven afectados por esta vulnerabilidad porque automáticamente reciben solicitudes de conexiones SSL seguras.

¿Cómo funciona esta actualización?

La actualización elimina la vulnerabilidad modificando el tratamiento de mensajes SSL especialmente diseñados.

Factores atenuantes de la vulnerabilidad ASN.1 “doble liberación” - CAN-2004-0123

·          Debido al diseño único de las estructuras de memoria de cada sistema afectado, aprovechar esta vulnerabilidad a escala masiva es potencialmente difícil.

Soluciones para la vulnerabilidad ASN.1 “doble liberación” - CAN-2004-0123

Ninguna.

Preguntas más frecuentes sobre la vulnerabilidad ASN.1 “Doble liberación” - CAN-2004-0123:

¿Cuál es el alcance de esta vulnerabilidad?
Aunque potencialmente puede tratarse de una vulnerabilidad de ejecución remota de código, es más probable que sea una vulnerabilidad de denegación de servicio. Sin embargo, un intruso que consiga aprovechar con éxito esta vulnerabilidad para ejecutar código de forma remota podría tomar el control total de un sistema afectado, incluyendo la instalación de programas; la visualización, modificación y eliminación de datos; o la creación de nuevas cuentas con todos los privilegios.

¿Cuál es la causa de esta vulnerabilidad?
Existe una condición de "doble liberación" potencial que podría causar daños de memoria en la biblioteca ASN.1 de Microsoft.

¿Qué es una condición de “doble liberación”?

Al procesar un mensaje especialmente diseñado, un intruso podría provocar que un sistema afectado intentara liberar memoria "libre" que podría haberse reservado para utilizar varias veces. Liberar memoria que ha sido previamente liberada puede provocar daños en la misma.  Un intruso podría escribir código arbitrario en la memoria para que se ejecutara cuando se produjeran los daños. Este código podría ejecutarse en el nivel de privilegio del sistema.

En la mayoría de los casos, esta vulnerabilidad provocaría una denegación de servicio. Sin embargo, es posible que se produjera ejecución remota de código de forma limitada. Debido al diseño único de la pila de cada sistema afectado, aprovechar esta vulnerabilidad a escala masiva es potencialmente difícil.

¿Qué es ASN.1?
La Notación de sintaxis abstracta 1 (ASN.1, Abstract Syntax Notation 1) es un lenguaje utilizado para definir estándares. Lo utilizan muchas aplicaciones y dispositivos de la industria de la tecnología para permitir el intercambio de datos entre varias plataformas. ASN.1 no tiene relación directa con ningún estándar, método de codificación, lenguaje de programación o plataforma de hardware específicos.  Para obtener más información acerca de ASN.1, consulte el artículo 252648 de Microsoft Knowledge Base.

¿Para qué puede utilizar un intruso esta vulnerabilidad?
Un intruso que consiga aprovechar con éxito esta vulnerabilidad para ejecutar código de forma remota podría tomar el control total de un sistema afectado, incluyendo la instalación de programas; la visualización, modificación y eliminación de datos; o la creación de nuevas cuentas con todos los privilegios.

En el caso más probable, un intruso podría provocar una condición de denegación de servicio . Un administrador podría reiniciar el sistema afectado para restaurar la funcionalidad normal.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?
Dado que ASN.1 es un estándar para muchas aplicaciones y dispositivos, existen muchas formas potenciales de ataque. Para aprovechar esta vulnerabilidad con éxito, un intruso podría forzar el sistema para que descodificara datos ASN.1 especialmente diseñados. Por ejemplo, mediante los protocolos de autenticación basado en ASN.1, un intruso podría crear una solicitud de autenticación especialmente diseñada para permitir la exposición a esta vulnerabilidad.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los sistemas de servidor corren un mayor riesgo que los de cliente porque es más probable que ejecuten un proceso de servidor que descodifique datos ASN.1.

¿Están afectados Windows 98, Windows 98 Second Edition o Windows Millennium Edition de forma crítica por esta vulnerabilidad?

No. Aunque Windows Millennium Edition contenga el componente afectado, la vulnerabilidad no es muy grave. Para obtener más información acerca de la gravedad, visite el siguiente sitio Web.

¿Cómo funciona esta actualización?
La actualización elimina la vulnerabilidad modificando el tratamiento de mensajes SSL especialmente diseñados por la biblioteca ASN.1.

¿Qué relación tiene esta vulnerabilidad con la vulnerabilidad corregida por MS04-007?

Ambas vulnrabilidades se hallan en el componenete ASN.1. Sin embargo, esta actualización corrige una vulnerabilidad descubierta recientemente que no se tuvo en cuenta para MS04-007. MS04-007 proporciona una completa protección contra las vulnerabilidades tratadas en ese boletín, pero esta actualización incluye todas las actualizaciones proporcionadas en MS04-007 y, de hecho, las sustituye. Si instala esta actualización, no necesitará instalar MS04-007.