Documento informativo sobre seguridad de Microsoft 3009008

  • Artículo

Una vulnerabilidad en SSL 3.0 podría permitir la divulgación de información

Publicado: 14 de octubre de 2014 | Actualizado: 14 de abril de 2015

Versión: 3.0

Información general

Resumen ejecutivo

Microsoft conoce información detallada que se ha publicado que describe un nuevo método para aprovechar una vulnerabilidad en SSL 3.0. Se trata de una vulnerabilidad de todo el sector que afecta al propio protocolo SSL 3.0 y no es específico del sistema operativo Windows. Todas las versiones compatibles de Microsoft Windows implementan este protocolo y se ven afectadas por esta vulnerabilidad. Microsoft no conoce los ataques que intentan usar la vulnerabilidad notificada en este momento. Teniendo en cuenta el escenario de ataque, esta vulnerabilidad no se considera de alto riesgo para los clientes.

Estamos trabajando activamente con asociados en nuestro Programa de Protección Activa de Microsoft (MAPP) para proporcionar información que pueden usar para proporcionar protecciones más amplias a los clientes.

Microsoft anuncia que con el lanzamiento de la actualización de seguridad 3038314 el 14 de abril de 2015 SSL 3.0 está deshabilitado de forma predeterminada en Internet Explorer 11. Microsoft también anuncia que SSL 3.0 se deshabilitará en Microsoft servicios en línea durante los próximos meses. Se recomienda que los clientes migren clientes y servicios a protocolos de seguridad más seguros, como TLS 1.0, TLS 1.1 o TLS 1.2.

Factores de mitigación:

  • El atacante debe realizar varias cientos de solicitudes HTTPS antes de que el ataque pueda ser correcto.
  • TLS 1.0, TLS 1.1, TLS 1.2 y todos los conjuntos de cifrado que no usan el modo CBC no se ven afectados.

Recomendación. Consulte la sección Acciones sugeridas de este aviso para obtener soluciones alternativas para deshabilitar SSL 3.0. Microsoft recomienda que los clientes usen estas soluciones alternativas para probar sus clientes y servicios para el uso de SSL 3.0 y empezar a migrar en consecuencia.

Detalles de asesoramiento

Referencias a problemas

Para obtener más información sobre este problema, consulte las referencias siguientes:

Referencias Identificación
Artículo de Knowledge Base 3009008
Referencia de CVE CVE-2014-3566 

Software afectado

Este aviso describe el siguiente software.

Software afectado

|**Sistema operativo**| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2 | |Windows Server 2003 con SP2 para sistemas basados en Itanium | |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2 | |Windows Server 2008 para sistemas de 32 bits Service Pack 2 | |Windows Server 2008 para sistemas basados en x64 Service Pack 2 | |Windows Server 2008 para sistemas basados en Itanium Service Pack 2 | |Windows 7 para sistemas de 32 bits Service Pack 1 | |Windows 7 para sistemas basados en x64 Service Pack 1| |Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 | |Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 | |Windows 8 para sistemas de 32 bits | |Windows 8 para sistemas basados en x64| |Windows 8.1 para sistemas de 32 bits | |Windows 8.1 para sistemas basados en x64| |Windows Server 2012| |Windows Server 2012 R2 | |Windows RT| |Windows RT 8.1| |**Server Core installation option**| |Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core)| |Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación Server Core)| |Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core)| |Windows Server 2012 (instalación Server Core)| |Windows Server 2012 R2 (instalación Server Core)|

 

Preguntas más frecuentes sobre asesoramiento


Uso una versión de Internet Explorer distinta de la 11. ¿Cómo puedo proteger mi sistema de esta vulnerabilidad?
SSL 3.0 solo se ha deshabilitado en Internet Explorer 11 en todas las ediciones compatibles de Microsoft Windows. Si usa una versión diferente de Internet Explorer, consulte la sección Soluciones alternativas sugeridas para ver las soluciones alternativas que puede aplicar al sistema para protegerla de esta vulnerabilidad.

¿Cuál es el ámbito del aviso?
El propósito de este aviso es notificar a los clientes que Microsoft conoce información detallada que describe un nuevo método para aprovechar una vulnerabilidad que afecta a SSL 3.0. Esta vulnerabilidad es una vulnerabilidad de divulgación de información.

¿Cómo podría un atacante aprovechar la vulnerabilidad?
En un ataque man-in-the-middle (MiTM), un atacante podría degradar una sesión TLS cifrada que obligaba a los clientes a usar SSL 3.0 y, a continuación, forzar al explorador a ejecutar código malintencionado. Este código envía varias solicitudes a un sitio web HTTPS de destino, donde las cookies se envían automáticamente si existe una sesión autenticada anterior. Se trata de una condición necesaria para aprovechar esta vulnerabilidad. Después, el atacante podría interceptar este tráfico HTTPS y aprovechar una debilidad en el cifrado de bloques CBC en SSL 3.0 podría descifrar partes del tráfico cifrado (por ejemplo, cookies de autenticación).

¿Qué podría hacer un atacante para usar esta vulnerabilidad?
Un atacante que aprovechara correctamente esta vulnerabilidad podría descifrar partes del tráfico cifrado.

¿Qué causa la vulnerabilidad?
La vulnerabilidad se debe a la falta de comprobación del relleno de cifrado de bloques CBC en SSL 3.0.

¿Qué es SSL?
Capa de sockets seguros (SSL) es un protocolo criptográfico que proporciona seguridad de comunicación a través de Internet. SSL cifra los datos transportados a través de la red mediante criptografía para la privacidad y un código de autenticación de mensajes con clave para la confiabilidad de los mensajes.

¿Qué es TLS?
Seguridad de la capa de transporte (TLS) es un protocolo estándar que se usa para proporcionar comunicaciones web seguras en Internet o en intranets. Permite a los clientes autenticar servidores o, opcionalmente, servidores para autenticar clientes. También proporciona un canal seguro mediante el cifrado de comunicaciones. TLS es la versión más reciente del protocolo Capa de sockets seguros (SSL).

¿Tls se ve afectado por este problema?
No. Este problema es específico de SSL 3.0.

¿Es un problema de todo el sector?
Sí. La vulnerabilidad reside en el diseño del protocolo SSL 3.0 y no se limita a la implementación de Microsoft.

Acciones sugeridas

Aplicar soluciones alternativas

Las soluciones alternativas hacen referencia a un cambio de configuración o configuración que no corrige el problema subyacente, pero que podrían ayudar a bloquear los vectores de ataque conocidos antes de que esté disponible una actualización de seguridad.

  • Deshabilitar SSL 3.0 y habilitar TLS 1.0, TLS 1.1 y TLS 1.2 en Internet Explorer

    Puede deshabilitar el protocolo SSL 3.0 en Internet Explorer modificando la configuración de Advanced Security en Internet Explorer.

    Para cambiar la versión predeterminada del protocolo que se va a usar para las solicitudes HTTPS, realice los pasos siguientes:

    1. En el menú Herramientas de Internet Explorer, haga clic en InternetOpciones.
    2. En el cuadro de diálogo InternetOptions , haga clic en la pestaña Avanzadas .
    3. En la categoría Seguridad , desactive UseSSL3.0 y active Usar TLS 1.0, Use TLS 1.1 y Use TLS 1.2 (si está disponible).
    4. Nota Es importante comprobar las versiones consecutivas. No seleccionar versiones consecutivas (por ejemplo, comprobar TLS 1.0 y 1.2, pero no comprobar 1.1) podría producir errores de conexión.
    5. Haga clic en OK.
    6. Salga y reinicie Internet Explorer.

    Nota Después de aplicar esta solución alternativa, Internet Explorer no podrá conectarse a servidores web que solo admitan SSL hasta 3.0 y no admitan TLS 1.0, TLS 1.1 y TLS 1.2. 

    Nota:
    Consulte el artículo de Microsoft Knowledge Base 3009008 para usar la solución de corrección automatizada de Microsoft para deshabilitar SSL 3.0 solo en Internet Explorer.

    Cómo deshacer la solución alternativa. Siga estos pasos para habilitar SSL 3.0 en Internet Explorer.

    1. En el menú Herramientas de Internet Explorer, haga clic en InternetOpciones.
    2. En el cuadro de diálogo InternetOptions , haga clic en la pestaña Avanzadas .
    3. En la categoría Seguridad , active UseSSL3.0.
    4. Haga clic en OK.
    5. Salga y reinicie Internet Explorer.

  • Deshabilite SSL 3.0 y habilite TLS 1.0, TLS 1.1 y TLS 1.2 para Internet Explorer en la directiva de grupo

    Puede deshabilitar la compatibilidad con el protocolo SSL 3.0 en Internet Explorer a través de la directiva de grupo modificando el objeto Desactivar directiva de grupo de compatibilidad de cifrado.

    1. Abra Administración de directivas de grupo.

    2. Seleccione el objeto de directiva de grupo que desea modificar, haga clic con el botón derecho y seleccione Editar.

    3. En el Editor de administración de directivas de grupo, vaya a la siguiente configuración:
      Configuración del equipo :> plantillas Administración istrative -> Componentes de Windows -> Internet Explorer -> Internet Panel de control - Página avanzada ->> Desactivar la compatibilidad con el cifrado

    4. Haga doble clic en la opción Desactivar compatibilidad con cifrado para editar la configuración.

    5. Haga clic en Habilitado.

    6. En la ventana Opciones, cambie la opción Combinaciones de protocolo seguro a "Usar TLS 1.0, TLS 1.1 y TLS 1.2".

    7. Nota Es importante comprobar las versiones consecutivas. No seleccionar versiones consecutivas (por ejemplo, comprobar TLS 1.0 y 1.2, pero no comprobar 1.1) podría producir errores de conexión.

    8. Haga clic en OK.

      Tenga en cuenta que Administración istrators debe asegurarse de que esta directiva de grupo se aplica correctamente mediante la vinculación del GPO a la unidad organizativa adecuada en su entorno.

    Nota Después de aplicar esta solución alternativa, Internet Explorer no podrá conectarse a servidores web que solo admitan SSL hasta 3.0 y no admitan TLS 1.0, TLS 1.1 y TLS 1.2. 

    Cómo deshacer la solución alternativa. Siga estos pasos para deshabilitar la configuración de directiva SSL 3.0:

    1. Abra Administración de directivas de grupo.

    2. Seleccione el objeto de directiva de grupo que desea modificar, haga clic con el botón derecho y seleccione Editar.

    3. En el Editor de administración de directivas de grupo, vaya a la siguiente configuración:
      Configuración del equipo :> plantillas Administración istrative -> Componentes de Windows -> Internet Explorer -> Internet Panel de control - Página avanzada ->> Desactivar la compatibilidad con el cifrado

    4. Haga doble clic en la opción Desactivar compatibilidad con cifrado para editar la configuración.

    5. Haga clic en Deshabilitado.

    6. Haga clic en OK.

  • Deshabilitar SSL 3.0 en Windows

    Para software de servidor

    Puede deshabilitar la compatibilidad con el protocolo SSL 3.0 en Windows siguiendo estos pasos:

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32 o escriba regedit y, a continuación, haga clic en Aceptar.
    2. En el Editor del Registro, busque la siguiente clave del Registro:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    Nota Si la ruta de acceso completa de la clave del Registro no existe, puede crearla expandiendo las claves disponibles y usando la opción New -Key (Nueva clave>) en el menú Editar.

    1. En el menú Editar , haga clic en AgregarValor.
    2. En la lista DataType , haga clic en DWORD.
    3. En el cuadro ValueName , escriba Habilitadoy, a continuación, haga clic en Aceptar

    Nota Si este valor está presente, haga doble clic en el valor para editar su valor actual.

    1. En el cuadro de diálogo Editar valor DWORD (32 bits), escriba 0 .
    2. Haga clic en OK. Reinicie el equipo.

     

    Nota Esta solución alternativa deshabilitará SSL 3.0 para todo el software de servidor instalado en un sistema, incluido IIS.

    Nota Después de aplicar esta solución alternativa, los clientes que solo dependen de SSL 3.0 no podrán comunicarse con el servidor.

    Cómo deshacer la solución alternativa. Siga estos pasos para deshabilitar SSL 3.0 en el software de Windows Server:

    1. Abra el Editor del Registro.
    2. Busque y, a continuación, haga clic en la siguiente sub clave del Registro:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. En el menú Editar, haga clic en Eliminar.
    2. Haga clic en cuando se le solicite.
    3. Salga del Editor del Registro.
    4. Reinicie el sistema.

    Para software cliente

    Puede deshabilitar la compatibilidad con el protocolo SSL 3.0 en Windows siguiendo estos pasos:

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedt32 o escriba regedit y, a continuación, haga clic en Aceptar.
    2. En el Editor del Registro, busque la siguiente clave del Registro:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    Nota Si la ruta de acceso completa de la clave del Registro no existe, puede crearla expandiendo las claves disponibles y usando la opción New -Key (Nueva clave>) en el menú Editar.

    1. En el menú Editar , haga clic en AgregarValor.
    2. En la lista DataType , haga clic en DWORD.
    3. En el cuadro ValueName , escriba Habilitadoy, a continuación, haga clic en Aceptar

    Nota Si este valor está presente, haga doble clic en el valor para editar su valor actual.

    1. En el cuadro de diálogo Editar valor DWORD (32 bits), escriba 0 .
    2. Haga clic en OK. Reinicie el equipo.

     

    Nota Esta solución alternativa deshabilitará SSL 3.0 para todo el software cliente instalado en un sistema.

    Nota Después de aplicar esta solución alternativa, las aplicaciones cliente de esta máquina no podrán comunicarse con otros servidores que solo admitan SSL 3.0.

    Cómo deshacer la solución alternativa. Siga estos pasos para deshabilitar SSL 3.0 en el software cliente de Windows:

    1. Abra el Editor del Registro.
    2. Busque y, a continuación, haga clic en la siguiente sub clave del Registro:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. En el menú Editar, haga clic en Eliminar.
    2. Haga clic en cuando se le solicite.
    3. Salga del Editor del Registro.
    4. Reinicie el sistema.

Acciones sugeridas adicionales

  • Proteger su PC

    Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, consulte Microsoft Caja fuerte ty & Security Center.

  • Mantener actualizado el software de Microsoft

    Los usuarios que ejecutan software de Microsoft deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Microsoft Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada y configurada la actualización automática para proporcionar actualizaciones para los productos de Microsoft, las actualizaciones se le entregan cuando se publican, pero debe comprobar que están instaladas.

Agradecimientos

Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:

  • Bodo Möller del equipo de seguridad de Google para trabajar con nosotros en este problema

Otra información

Programa microsoft Active Protections (MAPP)

Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).

Comentarios

Soporte técnico

  • Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
  • Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
  • Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.

Declinación de responsabilidades

La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.

Revisiones

  • V1.0 (14 de octubre de 2014): Aviso publicado.
  • V1.1 (15 de octubre de 2014): aviso revisado para incluir una solución alternativa para deshabilitar el protocolo SSL 3.0 en Windows.
  • V2.0 (29 de octubre de 2014): aviso revisado para anunciar el desuso de SSL 3.0, para aclarar las instrucciones alternativas para deshabilitar SSL 3.0 en servidores Windows y en clientes de Windows, y para anunciar la disponibilidad de una solución de Corrección de Microsoft para Internet Explorer. Para obtener más información, consulte artículo de Knowledge Base 3009008.
  • V2.1 (9 de diciembre de 2014): Microsoft anuncia la disponibilidad de advertencias de reserva ssl 3.0 en Internet Explorer 11. Para obtener más información, consulte artículo de Knowledge Base 3013210.
  • V2.2 (10 de febrero de 2015): Microsoft anuncia que los intentos de reserva ssl 3.0 están deshabilitados de forma predeterminada en Internet Explorer 11. Para obtener más información, consulte el artículo de Microsoft Knowledge Base 3021952.
  • V2.3 (16 de febrero de 2015): aviso revisado para anunciar la fecha planeada para deshabilitar SSL 3.0 de forma predeterminada en Internet Explorer 11.
  • V3.0 (14 de abril de 2015) El aviso revisado para anunciar con el lanzamiento de la actualización de seguridad 3038314 el 14 de abril de 2015 SSL 3.0 está deshabilitado de forma predeterminada en Internet Explorer 11 y para agregar instrucciones para deshacer las soluciones alternativas.

Página generada 2015-04-07 14:32Z-07:00.