Boletín de seguridad
Boletín de seguridad de Microsoft MS00-036: crítico
Revisión disponible para vulnerabilidades de "ResetBrowser Frame" y "HostAnnouncement Frame"
Publicado: 25 de mayo de 2000
Versión: 1.0
Publicado originalmente: 25 de mayo de 2000
Resumen
Microsoft ha publicado una revisión que elimina dos vulnerabilidades de seguridad, una que afecta a Microsoft® Windows NT® 4.0 y Windows® 2000, y la otra que afecta solo a Windows NT 4.0. En determinadas condiciones, la vulnerabilidad podría permitir a un usuario malintencionado dificultar o imposible que otros usuarios busquen servicios y equipos en una red; en el peor de los casos, podría permitirle proporcionar información incorrecta sobre los mismos servicios y equipos.
Software afectado:
- Estación de trabajo de Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Server
- Microsoft Windows NT 4.0 Server, Enterprise Edition
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Servidor avanzado de Microsoft Windows 2000
NOTA: Windows 95, Windows 98 y Windows NT 4.0 Server, Terminal Server Edition, también proporcionan una implementación del protocolo Computer Browser. Sin embargo, no se muestran como productos afectados porque el escenario en el que se podrían aprovechar estas vulnerabilidades (redes grandes que dependen de la exploración de equipos) son exactamente las más poco probables para usar Windows 95, Windows 98 o Windows NT 4.0 Terminal Servers como exploradores maestros.
Identificadores de vulnerabilidad
- Vulnerabilidad de inundación de HostAnnouncement: CVE-2000-0403
- Vulnerabilidad de marco ResetBrowser: CVE-2000-0404
Información general
Detalles técnicos
Descripción técnica:
Windows NT 4.0 y Windows 2000 implementan el protocolo CIFS Computer Browser. Existen dos vulnerabilidades debido a la incapacidad de los administradores de limitar si los exploradores maestros responden a determinados marcos. Las dos vulnerabilidades son:
- La vulnerabilidad "ResetBrowser Frame", que afecta tanto a Windows NT 4.0 como a Windows 2000. Al igual que la mayoría de las implementaciones, la implementación de Windows proporciona la posibilidad de que un explorador maestro cierre otros exploradores a través del marco ResetBrowser. Sin embargo, no hay ninguna capacidad para configurar un explorador para omitir los marcos ResetBrowser. Esto podría permitir que un usuario malintencionado apague los exploradores en su subred como un ataque por denegación de servicio contra el servicio del explorador, o, en el peor de los casos, apagar todos los exploradores y declarar su máquina el nuevo Explorador maestro.
- La vulnerabilidad "HostAnnouncement Flood", que no afecta a Windows 2000. Dado que no hay ningún medio para limitar el tamaño de la tabla de exploración en Windows NT 4.0, un usuario malintencionado podría enviar un gran número de marcos hostAnnouncement falsos a un explorador maestro. El tráfico de replicación resultante podría consumir la mayoría o todo el ancho de banda de red y causar otros problemas en el procesamiento de la tabla también.
Si se ha implementado un firewall y se bloquea el puerto 138 UDP, ningún usuario externo podría aprovechar ninguna vulnerabilidad. Incluso un usuario interno solo podía atacar exploradores en la misma subred que su máquina. Las herramientas administrativas normales permitirían al administrador determinar quién había montado el ataque.
Preguntas más frecuentes
¿De qué trata este boletín?
El Boletín de seguridad de Microsoft MS00-036 anuncia la disponibilidad de una revisión que elimina dos vulnerabilidades, una que afecta a los sistemas Microsoft® Windows NT® 4.0 y Windows® 2000 y el otro que afecta solo a los sistemas Windows NT 4.0. Microsoft se compromete a proteger la información de los clientes y proporciona el boletín para informar a los clientes de la vulnerabilidad y lo que pueden hacer sobre ella.
¿Cuál es el ámbito de la vulnerabilidad?
Estas vulnerabilidades podrían permitir a un usuario malintencionado dificultar o imposible que los usuarios de una red localicen servicios u otros equipos de la red. En el peor de los casos, la primera vulnerabilidad también podría permitir que el usuario malintencionado proporcione información falsa a los usuarios de red.
En la mayoría de las condiciones, el usuario malintencionado solo podría aprovechar estas vulnerabilidades dentro de la subred en la que se encuentra su máquina. Además, si hay un firewall configurado correctamente, los usuarios externos no pudieron aprovechar esta vulnerabilidad en una red. Por último, las herramientas normales de administración del sistema permitirían al administrador encontrar al usuario que montó el ataque.
¿Cuáles son las vulnerabilidades?
Hay dos vulnerabilidades en cuestión aquí:
- La vulnerabilidad "BrowserReset Frame", que afecta a los sistemas Windows NT 4.0 y Windows 2000.
- La vulnerabilidad "Inundación de HostAnnouncement", que afecta solo a los sistemas Windows NT 4.0.
Estas dos vulnerabilidades no tienen ninguna relación entre sí, excepto por el hecho de que ambos implican el servicio Explorador de equipos.
¿Estas vulnerabilidades implican Internet Explorer?
No. El tipo de exploración en cuestión aquí no es la exploración web, es la exploración del equipo. La exploración de equipos es un mecanismo para detectar servidores dentro de un dominio que proporciona servicios concretos. Cuando usas Network Neighborhood en Windows para buscar otros equipos, usas el mecanismo de exploración del equipo.
La exploración de equipos se incluye en la familia CIFS/E de protocolos. CIFS es el sistema de archivos de Internet común y define un protocolo estándar para acceder a sistemas de archivos remotos a través de Internet. Esto permite que los grupos de usuarios trabajen juntos y compartan documentos a través de Internet o dentro de sus intranets corporativas. CIFS/E es una familia de protocolos que amplían CIFS para su uso en redes empresariales. Entre los protocolos de CIFS/E se describe la implementación de un explorador de equipos.
¿Cómo funciona la exploración de equipos?
En el protocolo, cada dominio de una subred tiene un explorador maestro. La función del Explorador maestro es administrar los demás exploradores (denominados Exploradores de copia de seguridad) y contener la lista autoritativa de servidores y recursos disponibles en el dominio. Cada vez que un nuevo servidor se une al dominio, se registra con el Explorador maestro y le indica qué servicios proporciona. Periódicamente, el explorador maestro replica su lista de servidores y recursos en los exploradores de copia de seguridad, que el servicio consulta desde los clientes.
Si el dominio abarca varias subredes, habrá un explorador maestro de dominio cuyo trabajo es mantener sincronizados los exploradores maestros para todas las subredes. De forma predeterminada, el controlador de dominio principal actúa como explorador maestro de dominio. Sin embargo, si ocurre algo con el Explorador maestro de dominio o cualquiera de los demás exploradores maestros, se celebra una elección entre los exploradores restantes para determinar cuál será elevado a Master Browser.
Los exploradores se comunican entre sí mediante comandos denominados marcos. Las vulnerabilidades en cuestión aquí implican el funcionamiento de dos de estos fotogramas, el marco ResetBrowser y el marco HostAnnouncement.
El Explorador de equipos suena mucho como Active Directory en Windows 2000. ¿Cuál es la relación entre ellos?
El Explorador de equipos y Active Directory realizan tareas similares: ayudan a los usuarios a encontrar máquinas y servicios disponibles en la red. Sin embargo, la similitud termina ahí. Active Directory es significativamente más eficaz y seguro, y los clientes que trabajan en un entorno homogéneo de Windows 2000 no necesitan el Explorador de equipos en absoluto. De hecho, el Explorador de equipos solo se proporciona en Windows 2000 para la compatibilidad de nivel inferior y se eliminará completamente en versiones futuras de Windows.
¿Qué causa la vulnerabilidad "ResetBrowser Frame"?
Esta vulnerabilidad da como resultado que el marco ResetBrowser se puede usar incorrectamente para apagar una máquina que proporciona información de exploración. Esto se podría usar para denegar la exploración de servicios a una red y, en algunos casos, podría permitir que un usuario malintencionado usurpe el servicio de exploración.
¿Qué máquinas se ven afectadas por esta vulnerabilidad?
La vulnerabilidad afecta a las máquinas Windows NT 4.0 y Windows 2000 que se usan como exploradores maestros de dominio, exploradores maestros o exploradores maestros de copia de seguridad.
¿Qué hace el marco ResetBrowser?
El marco ResetBrowser permite que un explorador maestro apague un explorador de copia de seguridad. Aunque no lo requiere el protocolo, prácticamente todas las implementaciones del protocolo Browser, incluidas las implementaciones que no son de Microsoft, incluyen este marco.
Hay dos escenarios en los que se suele usar el marco ResetBrowser. En primer lugar, se usa para quitar exploradores de copia de seguridad extraños de una subred. Si hay más exploradores de los necesarios, el tráfico de replicación podría provocar que el rendimiento de la red sufra. En segundo lugar, si un explorador de copia de seguridad no está sincronizado con los demás exploradores, el explorador maestro puede usar el marco ResetBrowser para apagarlo.
¿Cuál es el problema con el marco ResetBrowser?
No hay ningún problema con el marco ResetBrowser por se. Los resultados de la vulnerabilidad se deben a que no hay una manera de configurar máquinas para omitir el marco Reset Browser y un usuario malintencionado podría enviar un marco ResetBrowser para apagar uno o todos los exploradores.
Si este marco lo suelen usar los exploradores maestros, ¿por qué podría enviarlo el usuario malintencionado?
Por diseño, el protocolo Computer Browser no está autenticado. En sí mismo, esto no constituye una vulnerabilidad de seguridad, más que para TCP/IP u otros protocolos no autenticados. Sin embargo, significa que los administradores deben tomar precauciones para minimizar la oportunidad de que los usuarios malintencionados usen incorrectamente la naturaleza no autenticada del protocolo. Uno de los propósitos de proporcionar la revisión para este problema es permitir que los administradores lo hagan.
¿Qué haría esta vulnerabilidad un usuario malintencionado?
Si un usuario malintencionado ha permitido significativamente el rellenado del explorador para un dominio, el rendimiento general de la red podría sufrir. Sin embargo, si apaga todos los exploradores, las reglas para elegir un nuevo explorador maestro permitirían al usuario malintencionado declararse simplemente el nuevo explorador maestro. Si la máquina se ha producido en la misma subred que el explorador maestro de dominio, podría convertirse en el explorador maestro de dominio a través de este ataque.
Si un usuario malintencionado aprovecha esta vulnerabilidad, ¿podría un administrador saber qué ha ocurrido?
Sí. El caso más sencillo sería el en el que el atacante restablece todos los exploradores y declaró su máquina el nuevo maestro. Sería obvio que había montado el ataque, porque su máquina sería el Explorador maestro.
El caso más difícil sería el en el que el usuario malintencionado cerró algunos pero no todos los exploradores, y no intentó hacer de su máquina un Maestro. El administrador sabría cuándo se produjeron los ataques, ya que los apagados del explorador se registran en el registro de eventos. También sabría que el ataque se originó en la misma subred que las máquinas atacadas, porque NetBios es un protocolo no enrutable. A continuación, podría determinar qué máquinas de la subred habían estado activas cuando se produjo el ataque. Si se necesitaban datos adicionales, podría usar la supervisión de red para encontrar al usuario malintencionado.
¿Qué causa la vulnerabilidad "Inundación de HostAnnouncement"?
Esta vulnerabilidad da como resultado que un usuario malintencionado podría enviar un número extremadamente grande de marcos HostAnnouncement a un explorador maestro con el fin de rellenar la lista de exploración: la lista de servidores y servicios disponibles en la subred.
¿Qué máquinas se ven afectadas por esta vulnerabilidad?
Solo las máquinas Windows NT 4.0 que se usan como exploradores maestros de dominio, exploradores maestros o exploradores maestros de copia de seguridad podrían verse afectados por esta vulnerabilidad. Windows 2000 ya tiene funcionalidad para limitar el tamaño de la tabla de exploración y no se ve afectado por esta vulnerabilidad.
¿Qué hace el marco HostAnnouncement?
El marco HostAnnouncement es lo que usa un servidor para indicar a un maestro del explorador qué servicios proporciona. Cuando el servidor se pone en línea inicialmente, envía un marco HostAnnouncement para agregar sus servicios a la lista de exploración; si cambia la lista de servicios, el servidor envía otro marco HostAnnouncement para actualizar la lista.
¿Cuál es el problema con el marco HostAnnouncement?
No hay ningún problema con el marco HostAnnouncement. Los servidores deben tener una manera de indicar al Explorador maestro qué servicios proporcionan. Los resultados de la vulnerabilidad porque no hay ninguna manera de que el Explorador maestro limite cuántas entradas puede agregar un usuario malintencionado a la lista de exploración.
¿Qué haría esta vulnerabilidad un usuario malintencionado?
Si un usuario malintencionado envió un número suficientemente grande de marcos HostAnnouncement al Explorador maestro, podría tener tres efectos:
- Es posible que el explorador maestro no pueda tender a ninguna de sus otras tareas mientras procesaba los marcos hostAnnouncement entrantes.
- Cuando el explorador maestro replica su tabla de exploración en los exploradores maestros de copia de seguridad, el tráfico de red resultante podría consumir la mayoría o todo el ancho de banda de red disponible.
- Cuando un cliente usó Network Neighborhood para examinar la lista de equipos cercanos, controlar la enorme tabla de exploración podría impedir que el cliente realice cualquier otro trabajo útil.
Si un usuario malintencionado aprovecha esta vulnerabilidad, ¿podría un administrador saber qué ha ocurrido?
Sí. Aprovechar esta vulnerabilidad requeriría que el usuario malintencionado cree y envíe un gran número de marcos HostAnnouncement. Como en el caso de la vulnerabilidad "ResetBrowser Frame", un administrador de red sabría que los fotogramas se habían originado en una máquina en la misma subred que la máquina expuesta a ataques. La supervisión de red permitiría al administrador determinar quién los estaba enviando
¿Se podría aprovechar cualquiera de estas vulnerabilidades de forma remota?
Si se han observado precauciones de seguridad recomendadas, no se pudo aprovechar ninguna vulnerabilidad de forma remota. Si un firewall estuviera en su lugar bloqueando el puerto 138 UDP, impediría que ResetBrowser marcos o marcos HostAnnouncement llegaran a las máquinas en el interior de la red.
¿Qué hace la revisión?
La revisión proporciona entradas del Registro que permitirán a un administrador configurar una máquina para omitir los marcos ResetBrowser y HostAnnouncement.
En las máquinas Windows NT 4.0, se proporcionan dos claves del Registro nuevas:
| Hive | HKEY_LOCAL_MACHINE \SYSTEM |
| Clave | CurrentControlSet\Services\RDR\Parameters |
| Nombre | RefuseReset |
| Tipo de valor | DWORD |
| Valor predeterminado | None (se aceptan marcos ResetBrowser) |
| Hive | HKEY_LOCAL_MACHINE \SYSTEM |
| Clave | CurrentControlSet\Services\MrxSmb\Parameters |
| Nombre | MaximumBrowseEntries |
| Tipo de valor | DWORD |
| Valor predeterminado | 100000 |
Windows 2000 ya admite el valor MaximumBrowseEntries, por lo que la revisión de Windows 2000 solo agrega compatibilidad con el valor RefuseReset. (Tenga en cuenta que el valor de la clave del Registro para Windows 2000 es diferente al del valor de Windows NT 4.0 descrito anteriormente).
| Hive | HKEY_LOCAL_MACHINE \SYSTEM |
| Clave | CurrentControlSet\Services\MrxSmb\Parameters |
| Nombre | RefuseReset |
| Tipo de valor | DWORD |
| Valor predeterminado | None (se aceptan marcos ResetBrowser) |
El funcionamiento de las entradas del Registro se describe en los artículos de Knowledge Base Q262694 y Q263307, respectivamente.
¿Por qué no está habilitada la clave del Registro RefuseReset de forma predeterminada?
La clave RefuseReset está deshabilitada de forma predeterminada porque no es adecuada para establecerla en cada máquina o incluso en todos los exploradores. La ventaja de RefuseReset es que impide la posibilidad de un ataque de suplantación de identidad. La desventaja es que hace que un serer sea menos fácil de administrar y hay ocasiones en las que un explorador maestro necesita la capacidad de apagar un explorador de copia de seguridad problemático. Además, habilitar RefuseReset podría exponer la red a otro tipo de ataque, en el que un usuario malintencionado proliferaría exploradores en la subred para consumir ancho de banda de red. Para contrarrestar esto, es posible que los administradores deseen considerar la posibilidad de deshabilitar el servicio Browser en las máquinas que no están pensadas para participar como exploradores.
Por el contrario, no hay ninguna razón por la que el valor MaximumBrowseEntries no debe establecerse en todas las máquinas que se usan como exploradores. Rara vez hay una necesidad de más de 100000 entradas en una tabla de exploración.
Cómo usar la revisión?
El artículo de Knowledge Base contiene instrucciones detalladas para aplicar la revisión al sitio.
¿Dónde puedo obtener el parche?
La ubicación de descarga de la revisión se proporciona en la sección "Disponibilidad de revisiones" delboletín de seguridad.
¿Cómo puedo saber si he instalado correctamente la revisión?
En el artículo de KB se proporciona un manifiesto de los archivos del paquete de revisión. La manera más fácil de comprobar que ha instalado correctamente la revisión es comprobar que estos archivos están presentes en el equipo y que tienen los mismos tamaños y fechas de creación, como se muestra en el artículo de KB.
El protocolo del explorador del equipo se implementa en todos los sistemas Windows. ¿Por qué no hay una revisión para Windows 95, Windows 98 y Windows NT 4.0 Server, Terminal Server Edition?
Estos sistemas implementan el protocolo Computer Browser, pero no hemos desarrollado una revisión para agregar las funciones RefuseReset y MaximumBrowseEntries para estos sistemas. La razón es que las redes en las que el ataque en cuestión aquí suponería el mayor riesgo -las redes grandes con muchos usuarios- son exactamente las más poco probables de usar estos sistemas como exploradores.
¿Qué hace Microsoft sobre este problema?
- Microsoft ha desarrollado una revisión que elimina la vulnerabilidad.
- Microsoft ha proporcionado un boletín de seguridad y estas preguntas más frecuentes para proporcionar a los clientes un conocimiento detallado de la vulnerabilidad y el procedimiento para eliminarla.
- Microsoft ha enviado copias del boletín de seguridad a todos los suscriptores al Servicio de notificaciones de seguridad del producto de Microsoft, un servicio de correo electrónico gratuito que los clientes pueden usar para mantenerse al día con los boletines de seguridad de Microsoft.
- Microsoft ha emitido artículos de Knowledge Base que explican con más detalle la vulnerabilidad y el procedimiento.
¿Dónde puedo obtener más información sobre los procedimientos recomendados para la seguridad?
El sitio web de Microsoft TechNet Security es el mejor lugar para obtener información sobre la seguridad de Microsoft.
Cómo obtener soporte técnico sobre este problema?El soporte técnico de Microsoft puede proporcionar asistencia con este o cualquier otro problema de soporte técnico del producto.
Disponibilidad de revisiones
Ubicaciones de descarga de esta revisión
Estación de trabajo, servidor y servidor de Windows NT 4.0, Enterprise Edition:
https://www.microsoft.com/download/details.aspx?FamilyId=8375821F-9F40-4FC1-9757-D8D056B76351& displaylang;=enWindows 2000:
https://www.microsoft.com/download/details.aspx?FamilyId=4B4CB25B-66F8-4890-A762-B45447DF213E& displaylang;=en
Información adicional sobre esta revisión
Plataformas de instalación: consulte las siguientes referencias para obtener más información relacionada con este problema.
- Artículo de Microsoft Knowledge Base (KB) Q262694, https:
- Artículo de Microsoft Knowledge Base (KB) Q263307, </https:>https:
Otra información:
Confirmaciones
Microsoft agradece a las siguientes personas por trabajar con nosotros para proteger a los clientes:
- COVERT Labs en McAfee, para informar de la vulnerabilidad "ResetBrowser Frame" a nosotros.
- David Litchfield de Cerberus Information Security, Ltd, para informar de la vulnerabilidad "HostAnnouncement Flood" a nosotros.
Compatibilidad: se trata de una revisión totalmente compatible. La información sobre cómo ponerse en contacto con los Servicios de soporte técnico de Productos de Microsoft está disponible en </https:>https:.
Recursos de seguridad: el sitio web de seguridad de Microsoft TechNet proporciona información adicional sobre la seguridad en los productos de Microsoft.
Renuncia:
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones:
- 25 de mayo de 2000: Boletín creado.
Construido en 2014-04-18T13:49:36Z-07:00</https:>