Aviso de seguridad de Microsoft 921923

  • 10/11/2017
  • 8 minutos de lectura
    • B

Aviso de seguridad

Prueba de Código Conceptual Publicado Que afecta al Servicio de Administrador de Conexiones de Acceso Remoto

Publicado: 23 de junio de 2006

Microsoft es consciente de que se ha publicado un código de exploit detallado en Internet para la vulnerabilidad que se aborda en el boletín de seguridad de Microsoft MS06-025. Actualmente, Microsoft no tiene conocimiento de ataques activos que utilicen este código de exploit ni de impacto en el cliente en este momento. Sin embargo, Microsoft está monitoreando activamente esta situación para mantener informados a los clientes y proporcionar orientación al cliente según sea necesario.Nuestra investigación de este código de exploit ha verificado que no afecta a los clientes que han instalado las actualizaciones detalladas en MS06-025 en sus equipos. Microsoft sigue recomendando que los clientes apliquen las actualizaciones a los productos afectados habilitando la función Actualizaciones automáticas en Windows.Microsoft está decepcionado de que ciertos investigadores de seguridad hayan incumplido la práctica comúnmente aceptada de la industria de retener datos de vulnerabilidad tan cerca de la publicación de la actualización y hayan publicado código de explotación, lo que podría dañar a los usuarios de computadoras. Seguimos instando a los investigadores de seguridad a que divulguen la información de vulnerabilidades de manera responsable y permitan a los clientes tiempo para implementar actualizaciones para que no ayuden a los delincuentes en su intento de aprovechar las vulnerabilidades de software

Factores atenuantes:

  • Los clientes que han instalado la actualización de seguridad MS06-025 no se ven afectados por esta vulnerabilidad.
  • Los sistemas Windows 2000 corren principalmente el riesgo de esta vulnerabilidad. Los clientes que ejecutan Windows 2000 deben implementar MS06-025 lo antes posible o deshabilitar el servicio RASMAN.
  • En Windows XP Service Pack 2, Windows Server 2003 y Windows Server 2003 Service Pack 1, el atacante necesitaría tener credenciales de inicio de sesión válidas para explotar la vulnerabilidad.
  • Este problema no afecta a Windows 98, Windows 98 SE o Windows Millennium Edition.

Información general

Descripción general

Propósito del aviso: Notificación de la disponibilidad de una actualización de seguridad para ayudar a protegerse contra esta amenaza potencial.

Estado consultivo: Dado que este problema ya se ha abordado como parte del boletín de seguridad MS06-025, no se requiere ninguna actualización adicional.

Recomendación: Instale la actualización de seguridad MS06-025 para ayudar a protegerse contra esta vulnerabilidad.

Identification
CVE Reference CVE-2006-2370
CVE-2006-2371
Security Bulletin MS06-025

This advisory discusses the following software.

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1 y Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 para Sistemas basados en Itanium y Microsoft Windows Server 2003 con SP1 para Sistemas basados en Itanium

Microsoft Windows Server 2003 x64 Edition

Preguntas Frecuentes

¿Cuál es el alcance de la asesoría?Microsoft es consciente de la publicación pública de código de exploit dirigido a vulnerabilidades identificadas en Microsoft Security Update MS06-025. Esto afecta al software que aparece en la sección» Información general »

¿Es una vulnerabilidad de seguridad que requiere que Microsoft emita una actualización de seguridad?
No. Los clientes que han instalado la actualización de seguridad MS06-025 no se ven afectados por esta vulnerabilidad. No se requiere ninguna actualización adicional.

¿Qué causa esta amenaza?
Un búfer sin marcar en tecnologías de enrutamiento y Acceso Remoto que afecta específicamente al Servicio de Administrador de Conexiones de Acceso Remoto (RASMAN)

¿Qué hace la función?El Administrador de conexiones de acceso remoto es un servicio que maneja los detalles para establecer la conexión con el servidor remoto. Este servicio también proporciona al cliente información de estado durante la operación de conexión. El Administrador de conexiones de acceso remoto se inicia automáticamente cuando una aplicación carga el RASAPI32.DLL

¿Para qué podría un atacante utilizar esta función?Un atacante que explotara con éxito esta vulnerabilidad podría tomar el control completo del sistema afectado.

¿Hay algún problema conocido con la instalación de Microsoft Security Update MS06-025 que protege contra esta amenaza?Artículo 911280 de Microsoft Knowledge Base documenta los problemas conocidos actualmente que los clientes pueden experimentar al instalar la actualización de seguridad. Solo los clientes que usan conexiones de acceso telefónico que usan scripts que configuran su dispositivo para paridad, bits de parada o bits de datos o una ventana de terminal posterior a la conexión o scripts de acceso telefónico se ven afectados por los problemas identificados en el artículo de KB. Si los clientes no utilizan ninguno de los escenarios de acceso telefónico identificados, se les recomienda que instalen la actualización de inmediato..

Acciones sugeridas

Si ha instalado la actualización publicada con el Boletín de seguridad MS06-025, ya está protegido del ataque identificado en el código de prueba de concepto publicado públicamente. Si no ha instalado la actualización o se ve afectado por alguno de los escenarios identificados en el artículo 911280 de Microsoft Knowledge Base, los clientes están en alentar a deshabilitar el servicio Administrador de conexiones de acceso remoto.

  • Deshabilitar el servicio Administrador de conexiones de acceso remoto

    Deshabilitar el servicio Administrador de conexiones de acceso Remoto ayudará a proteger el sistema afectado de intentos de explotar esta vulnerabilidad. Para deshabilitar el servicio Administrador de conexiones de acceso remoto (RASMAN), siga estos pasos:

    1. Haga clic en Inicio y, a continuación, en Panel de control. Como alternativa, seleccione Configuración y, a continuación, haga clic en Panel de control.
    2. haga Doble clic en Herramientas Administrativas.
    3. haga Doble clic en Servicios.
    4. Haga doble clic en Administrador de conexiones de acceso remoto
    5. En la lista Tipo de inicio, haga clic en Deshabilitado.
    6. Haga clic en Detener y, a continuación, en Aceptar.

    También puede detener y deshabilitar el servicio Administrador de conexiones de acceso remoto (RASMAN) utilizando el siguiente comando en el símbolo del sistema:

    sc stop rasman & sc config rasman start= disabled

    Impacto de la solución alternativa: Si deshabilita el servicio Administrador de conexiones de acceso remoto, no podrá ofrecer servicios de enrutamiento a otros hosts en entornos de red de área amplia y de área local. Por lo tanto, recomendamos esta solución solo en sistemas que no requieren el uso de RASMAN para el acceso y enrutamiento remotos.

  • Bloquear lo siguiente en el firewall:

    • Puertos UDP 135, 137, 138 y 445, y puertos TCP 135, 139, 445 y 593
    • Todo el tráfico entrante no solicitado en puertos superiores a 1024
    • Cualquier otro puerto RPC configurado específicamente

    Estos puertos se utilizan para iniciar una conexión con RPC. Bloquearlos en el firewall ayudará a proteger los sistemas que están detrás de ese firewall de los intentos de explotar esta vulnerabilidad. Además, asegúrese de bloquear cualquier otro puerto RPC configurado específicamente en el sistema remoto. Le recomendamos que bloquee todas las comunicaciones entrantes no solicitadas de Internet para ayudar a prevenir ataques que puedan usar otros puertos. Para obtener más información sobre los puertos que utiliza RPC, visite el siguiente sitio web.

  • Para ayudar a protegerse de los intentos basados en la red de explotar esta vulnerabilidad, use un firewall personal, como el Firewall de conexión a Internet, que se incluye con Windows XP y con Windows Server 2003.

    De forma predeterminada, la función Firewall de conexión a Internet en Windows XP y en Windows Server 2003 ayuda a proteger su conexión a Internet bloqueando el tráfico entrante no solicitado. Le recomendamos que bloquee todas las comunicaciones entrantes no solicitadas de Internet. En Windows XP Service Pack 2, esta característica se denomina Firewall de Windows.

    Para habilitar la función Firewall de conexión a Internet mediante el Asistente de configuración de red, siga estos pasos:

    1. Haga clic en Inicio y, a continuación, en Panel de control.
    2. En la vista de categoría predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Configurar o cambiar la red de su hogar u oficina pequeña. La función Firewall de conexión a Internet se habilita cuando se selecciona una configuración en el Asistente de Configuración de red que indica que el sistema está conectado directamente a Internet.

    Para configurar manualmente el Firewall de conexión a Internet para una conexión, siga estos pasos:

    1. Haga clic en Inicio y, a continuación, en Panel de control.
    2. En la vista de categoría predeterminada, haga clic en Conexiones de red e Internet y, a continuación, haga clic en Conexiones de red.
    3. Haga clic con el botón secundario en la conexión en la que desea habilitar el Firewall de conexión a Internet y, a continuación, haga clic en Propiedades.
    4. Haga clic en la pestaña Avanzado.Haga clic para seleccionar la casilla Proteger mi equipo o red limitando o impidiendo el acceso a este equipo desde Internet y, a continuación, haga clic en Aceptar.

    Nota Si desea habilitar que ciertos programas y servicios se comuniquen a través del firewall, haga clic en Configuración en la ficha Opciones avanzadas y, a continuación, seleccione los programas, protocolos y servicios necesarios.

  • Los clientes que crean que han sido atacados deben comunicarse con su oficina local del FBI o publicar su queja en el sitio Web del Centro de Quejas de Fraude de Internet. Los clientes fuera de los Estados Unidos deben comunicarse con la agencia nacional de aplicación de la ley en su país.

  • Clientes en la U.S. y Canadá, que cree que puede haberse visto afectado por esta posible vulnerabilidad, puede recibir soporte técnico de los Servicios de soporte de productos de Microsoft al 1-866-PCSAFETY. No se cobra ningún cargo por el soporte que esté asociado con problemas de actualización de seguridad o virus.»Los clientes internacionales pueden recibir asistencia utilizando cualquiera de los métodos que se enumeran en el sitio web de Ayuda de Seguridad y Asistencia para Usuarios Domésticos.Todos los clientes deben aplicar las actualizaciones de seguridad más recientes publicadas por Microsoft para garantizar que sus sistemas estén protegidos contra intentos de explotación. Los clientes que hayan habilitado las actualizaciones automáticas recibirán automáticamente todas las actualizaciones de Windows. Para obtener más información sobre las actualizaciones de seguridad, visite el sitio web de seguridad de Microsoft.

  • Para obtener más información sobre cómo mantenerse seguro en Internet, los clientes pueden visitar la página de inicio de Microsoft Security.

  • Mantener Windows actualizado

    Todos los usuarios de Windows deben aplicar las últimas actualizaciones de seguridad de Microsoft para asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite el sitio web de Windows Update, analice el equipo en busca de actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrezcan. Si tiene habilitadas las actualizaciones automáticas, las actualizaciones se le entregarán cuando se publiquen, pero debe asegurarse de instalarlas.

Otra Información

Recursos:

  • Usted puede proporcionar retroalimentación al completar el formulario, visite el siguiente sitio Web.
  • Clientes en EE. UU. y Canadá puede recibir soporte técnico de los Servicios de soporte de productos de Microsoft. Para obtener más información sobre las opciones de soporte disponibles, consulte el sitio web de Soporte y Ayuda de Microsoft.
  • Los clientes internacionales pueden recibir asistencia de sus filiales locales de Microsoft. Para obtener más información sobre cómo ponerse en contacto con Microsoft para problemas de soporte internacional, visite el sitio web de Soporte Internacional.
  • El sitio Web de Microsoft TechNet Security proporciona información adicional sobre la seguridad de los productos de Microsoft.

Descargo de responsabilidad:

La información proporcionada en este aviso se proporciona «tal cual» sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sean expresas o implícitas, incluidas las garantías de comerciabilidad e idoneidad para un propósito particular. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de ningún daño, incluidos daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios comerciales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido advertidos de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuentes o incidentales, por lo que la limitación anterior puede no aplicarse.

Revisiones:

  • Aviso publicado el 23 de junio de 2006



Deja una respuesta

Tu dirección de correo electrónico no será publicada.