Boletín de seguridad
Boletín de seguridad de Microsoft MS01-019: crítico
Las contraseñas para carpetas comprimidas son recuperables
Publicado: 28 de marzo de 2001 | Actualizado: 23 de junio de 2003
Versión: 1.2
Publicado originalmente: 28 de marzo de 2001
Actualizado: 23 de junio de 2003
Resumen
Quién debe leer este boletín:
¡Los clientes que usan la característica Carpetas comprimidas en Microsoft® Plus! 98 y Windows® Me.
Impacto de la vulnerabilidad:
Se pueden recuperar contraseñas de compresión de datos.
Recomendación:
Los clientes que protegen con contraseña sus carpetas comprimidas deben aplicar la revisión y eliminar c:\windows\dynazip.log.
Software afectado:
- Microsoft Plus! 98
- Microsoft Windows Me
Información general
Detalles técnicos
Descripción técnica:
¡Más! 98, un paquete opcional que extiende Windows 98 y Windows 98 Second Edition, introdujo una característica de compresión de datos denominada Carpetas comprimidas que también se incluía en Windows Me. Para la interoperabilidad con herramientas de compresión de terceros líderes, proporciona una opción de protección con contraseña para carpetas que se han comprimido. Sin embargo, debido a un error en la implementación del paquete, las contraseñas usadas para proteger las carpetas se registran en un archivo en el sistema del usuario. Si un atacante obtuvo acceso a un equipo afectado en el que se almacenaron carpetas protegidas con contraseña, podría aprender las contraseñas y acceder a los archivos.
Es importante comprender que, aunque este error constituye una vulnerabilidad de seguridad, la característica de protección con contraseña no está pensada para proporcionar una seguridad sólida. Se incluyó en los productos para habilitar la interoperabilidad con características de protección con contraseña en otros productos de compresión de datos de terceros, y solo está pensado para proporcionar protección contra la inspección casual. Los clientes que necesitan una protección segura para los archivos deben usar Windows® 2000.
La revisión impedirá que las contraseñas se escriban en el sistema del usuario en el futuro. Sin embargo, como se describe en las preguntas más frecuentes, después de aplicar la revisión, es importante eliminar también c:\windows\dynazip.log, con el fin de asegurarse de que se eliminen todas las contraseñas registradas anteriormente.
Factores de mitigación:
- El mecanismo de contraseña en cuestión aquí no está relacionado de ninguna manera con el mecanismo de autenticación de red. Se usa únicamente para las carpetas comprimidas que protegen con contraseña.
- Un atacante requeriría acceso físico a un sistema afectado para recuperar la contraseña o el propietario de la máquina tendría que haber compartido deliberadamente la carpeta c:\windows.
Identificador de vulnerabilidad:CAN-2001-0152
Versiones probadas:
Microsoft ha probado Windows Me y Plus! 98 para evaluar si se ven afectados por estas vulnerabilidades. La característica de compresión de datos no existía antes de estos productos.
Preguntas más frecuentes
¿Cuál es el ámbito de la vulnerabilidad?
Windows Me y Plus! 98 (un paquete de complemento para Windows 98 y Windows 98 Second Edition) proporcionan una característica opcional que se puede usar para proteger con contraseña las carpetas después de que se hayan comprimido. Esta vulnerabilidad podría divulgar las contraseñas usadas para proteger estas carpetas. Si un atacante tuviera acceso a las carpetas protegidas con contraseña en un equipo afectado, podría usar la vulnerabilidad para leerlas o cambiarlas.
Aunque las contraseñas no deben estar claramente disponibles en el sistema, es importante mantener este problema en perspectiva. Las contraseñas que se emiten aquí están implicadas únicamente con archivos comprimidos de protección con contraseña: no están relacionados de ninguna manera con la contraseña de inicio de sesión del usuario. Además, la característica de protección contra contraseñas no está pensada para actuar como mecanismo de control de acceso; se proporciona únicamente para la compatibilidad con los mecanismos de contraseña de los productos de terceros. Incluso después de aplicar esta revisión, la característica de protección con contraseña aquí solo proporciona protección contra el examen casual. Los clientes que necesitan una seguridad sólida, incluidos los controles de acceso sólidos, deben considerar la posibilidad de usar Windows 2000.
¿Qué causa la vulnerabilidad?
Windows Me y Plus! 98 proporciona una característica de compresión de datos que permite proteger con contraseña una carpeta comprimida. Sin embargo, en determinadas condiciones, la contraseña se puede registrar en un archivo en el sistema del usuario.
¡Qué es más! 98?
¡Más! 98 es un paquete opcional que proporciona funcionalidad adicional a Windows 98 y Windows 98 Second Edition. Además de incluir la característica de compresión de datos en cuestión aquí, también proporciona un escáner de virus, una característica de limpieza de disco, varios juegos y otras características.
¿Cuál es la característica de compresión de datos y cómo está relacionada la protección con contraseña?
¡Ambos más! 98 y Windows Millenium proporcionan una característica denominada Carpetas comprimidas, que se puede usar para comprimir carpetas y los archivos dentro de ellos como una manera de ahorrar espacio en disco. La característica Carpetas comprimidas usa el mismo algoritmo que varias utilidades populares de terceros. Sin embargo, es más conveniente que las herramientas de terceros: el usuario puede seleccionar si una carpeta debe comprimirse o no a través de la página Propiedades.
La característica también permite al usuario proteger las carpetas comprimidas con contraseña y aquí es donde se encuentra la vulnerabilidad. Por diseño, las contraseñas nunca deben registrarse. Sin embargo, en realidad, las contraseñas se registran en un archivo en el sistema del usuario.
¿Cómo podría un atacante aprovechar esta vulnerabilidad?
Si un atacante tenía acceso físico a una máquina, podía leer las contraseñas y acceder a las carpetas comprimidas protegidas con contraseña en el sistema.
¿Esta contraseña permitiría al atacante iniciar sesión en mi red?
La contraseña en cuestión aquí se usa únicamente por la característica Carpetas comprimidas. Es completamente independiente de cualquier otra contraseña, incluida la contraseña de inicio de sesión de red. Es posible que un usuario elija cualquier valor deseado para esta contraseña, pero es muy malo usar la misma contraseña en varios lugares.
¿Qué gravedad tiene esta vulnerabilidad?
Aunque almacenar las contraseñas en el sistema es claramente una vulnerabilidad de seguridad, es importante comprender que la característica de protección con contraseña no está pensada para proporcionar una seguridad segura. Solo está pensado para proteger el contenido del archivo contra la inspección casual. Por diseño, Windows 98 y Me no proporcionan un mecanismo de control de acceso y esta característica no pretende funcionar como una. Los clientes que necesitan un control de acceso seguro deben tener en cuenta Windows NT® o Windows 2000.
Si la opción no está pensada para proporcionar una seguridad sólida, ¿por qué se proporciona?
Uno de nuestros principales objetivos de diseño para la característica De carpetas comprimidas era la interoperabilidad con herramientas de compresión de terceros líderes. Para ello, decidimos implementar el mismo conjunto de características que ellos, mediante algoritmos de contraseña y compresión compatibles.
¡No he instalado Plus! 98, pero uso Windows 98. ¿Podría verse afectado por esta vulnerabilidad?
No. La característica de compresión de datos no se incluye en Windows 98 o Windows 98 Second Edition. ¡Los clientes que usan estos productos solo podrían verse afectados si han instalado el Plus! 98 paquetes en sus sistemas.
Uso Windows 95. ¿Podría verse afectado por la vulnerabilidad?
No. La característica Carpetas comprimidas no se incluyó en Windows 95.
¡Es más! ¿95 afectado por la vulnerabilidad?
No. La característica de compresión de datos no se distribuye como parte de Windows 95 ni como parte de Plus. 95.
¿Sería posible que un usuario de Windows 95 instale Plus! 98?
No. ¡Más! 98 solo se instalará en un sistema que ejecute Windows 98 o Windows 98SE.
Quién debe usar la revisión?
Microsoft recomienda que los clientes que usan Windows Me o Plus. 98 y quién usa la característica de protección con contraseña en carpetas comprimidas considera la posibilidad de aplicar la revisión.
¿Qué hace la revisión?
La revisión elimina la vulnerabilidad evitando que las contraseñas se escriban en el disco.
Después de aplicar la revisión, ¿hay algo más que necesito hacer?
Sí. La aplicación de la revisión impedirá que las contraseñas futuras se almacenen en el sistema, pero tendrá que quitar las que se hayan almacenado anteriormente. Para ello, use el Explorador de Windows para eliminar el archivo c:\windows\dynazip.log.
Disponibilidad de revisiones
Ubicaciones de descarga de esta revisión
Información adicional sobre esta revisión
Plataformas de instalación:
Esta revisión se puede instalar en sistemas Windows 98 y Windows 98SE en los que Plus! 98 se ha instalado. También se puede instalar en sistemas Windows Me Gold.
Inclusión en futuros Service Packs:
Aún no se han finalizado los planes de Service Pack para Windows Me. Sin embargo, si se genera un Service Pack para Windows Me, la corrección de este problema se incluirá en él.
Comprobación de la instalación de revisiones:
¡Más! 98:
Compruebe que la información de versión de zipfldr.dll sea 5.0.526.20 en los sistemas japonés/NEC y 5.0.518.20 para todos los demás idiomas.
Windows Me:
Compruebe que la información de versión de zipfldr.dll es 5.50.4213.1600.
Advertencias:
None
Localización:
Hay disponibles versiones localizadas de esta revisión. El artículo base de Microsoft Knoweldge Q252694 proporciona vínculos a las versiones localizadas.
Obtención de otras revisiones de seguridad:
Las revisiones de otros problemas de seguridad están disponibles en las siguientes ubicaciones:
- Las revisiones de seguridad están disponibles en el Centro de descarga de Microsoft y se pueden encontrar con más facilidad mediante una búsqueda de palabras clave para "security_patch".
- Las revisiones también están disponibles en el sitio web de WindowsUpdate
Otra información:
Soporte técnico:
- El artículo de Microsoft Knowledge Base Q252694 describe este problema y estará disponible aproximadamente 24 horas después del lanzamiento de este boletín. Los artículos de Knowledge Base se pueden encontrar en el sitio web de Soporte técnico en línea de Microsoft.
- El soporte técnico está disponible en los Servicios de soporte técnico de Microsoft. No hay ningún cargo por las llamadas de soporte técnico asociadas a las revisiones de seguridad.
Recursos de seguridad: el sitio web de seguridad de Microsoft TechNet proporciona información adicional sobre la seguridad en los productos de Microsoft.
Renuncia:
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones:
- V1.0 (28 de marzo de 2001): Boletín creado.
- V1.1 (04 de abril de 2001): se modificó la primera viñeta en Mitigación de factores para aclarar que el mecanismo de contraseña es independiente del mecanismo de autenticación.
- V1.2 (23 de junio de 2003): se han actualizado los vínculos de descarga de Windows Update.
Construido en 2014-04-18T13:49:36Z-07:00</https:>