Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una vulnerabilidad en microsoft Internet Security and Acceleration Server 2000 H.323 Filter podría permitir la ejecución remota de código (816458)
Publicado: 13 de enero de 2004
Versión: 1.0
Emitido: 13 de enero de 2004
Versión: 1.0
Resumen
Quién debe leer este documento:
Clientes que usan Microsoft® Internet Security and Acceleration Server 2000
Impacto de la vulnerabilidad:
Ejecución remota de código
Clasificación de gravedad máxima:
Crítico
Recomendación:
Los clientes deben instalar la actualización de seguridad inmediatamente
Reemplazo de actualizaciones de seguridad:
None
Advertencias:
None
Ubicaciones de descarga de actualizaciones de software y seguridad probadas:
Software afectado:
- Microsoft Internet Security and Acceleration Server 2000: descargar la actualización
- Microsoft Small Business Server 2000 (que incluye Microsoft Internet Security and Acceleration Server 2000): descargar la actualización
- Microsoft Small Business Server 2003 (que incluye Microsoft Internet Security and Acceleration Server 2000): descargar la actualización
Software no afectado:
- Microsoft Proxy Server 2.0
El software enumerado anteriormente se ha probado para determinar si las versiones se ven afectadas. Otras versiones ya no incluyen compatibilidad con revisiones de seguridad o pueden no verse afectadas. Revise el sitio web de ciclo de vida de Soporte técnico de Microsoft para determinar el ciclo de vida de soporte técnico para el producto y la versión.
Información general
Detalles técnicos
Descripción técnica:
Existe una vulnerabilidad de seguridad en el filtro H.323 para Microsoft Internet Security and Acceleration Server 2000 que podría permitir que un atacante desbordase un búfer en el servicio Firewall de Microsoft en Microsoft Internet Security and Acceleration Server 2000. Un atacante que aprovechara correctamente esta vulnerabilidad podría intentar ejecutar código de su elección en el contexto de seguridad del servicio Microsoft Firewall. Esto daría al atacante un control completo sobre el sistema. El filtro H.323 está habilitado de forma predeterminada en servidores que ejecutan equipos isa Server 2000 instalados en modo integrado o de firewall.
Factores de mitigación:
- Los usuarios pueden evitar el riesgo de ataque deshabilitando el filtro H.323.
- Los servidores ISA que se ejecutan en modo de caché no son vulnerables porque el servicio Firewall de Microsoft está deshabilitado de forma predeterminada
Clasificación de gravedad:
| Microsoft Internet Security and Acceleration Server 2000 | Crítico |
La evaluación anterior se basa en los tipos de sistemas afectados por la vulnerabilidad, sus patrones de implementación típicos y el efecto que la vulnerabilidad tendría en ellos.
Identificador de vulnerabilidad:CAN-2003-0819
Soluciones alternativas
Microsoft ha probado las siguientes soluciones alternativas. Estas soluciones alternativas no corregirán la vulnerabilidad subyacente, pero ayudan a bloquear vectores de ataque conocidos. Las soluciones alternativas pueden provocar una reducción de la funcionalidad en algunos casos: en tales situaciones se identifica a continuación.
Deshabilite el filtro H.323.
Para deshabilitar el filtro H.323, siga estos pasos:
- Abra la herramienta de administración de ISA. Expanda el contenedor Extensiones y expanda el contenedor Filtros de aplicación.
- Seleccione el filtro H.323 y haga clic en Deshabilitar.
- Reinicie los componentes de Windows del servicio Firewall de Microsoft.
Impacto de la solución alternativa:
Si el filtro H.323 está deshabilitado, el servicio Microsoft Firewall bloquea el tráfico H.323. Esto impide que las aplicaciones que usen el protocolo H.323 para la telefonía del Protocolo de Internet (IP) o la colaboración de datos se comuniquen a través del isa sever. Si el tráfico H.323 no está en la red con el servidor ISA, se recomienda deshabilitar este filtro y otros filtros sin usar para mejorar la seguridad y el rendimiento.
Bloquee el puerto TCP 1720 en un enrutador perimetral o de puerta de enlace.
De forma predeterminada, el filtro H.323 escucha en el puerto 1720 del Protocolo de control de transmisión externo (TCP). Bloquear este puerto en un enrutador perimetral ayudará a proteger el servidor ISA de un ataque basado en Internet.
Nota: Al hacer clic para desactivar la casilla Permitir llamadas entrantes en la pestaña Control de llamadas de la configuración del filtro H.323, no se configura el filtro para dejar de escuchar en el puerto TCP externo 1720 y no es una solución alternativa eficaz. Este comportamiento se ha cambiado en esta actualización de seguridad y se documenta además en la sección "Preguntas más frecuentes" de este boletín de seguridad.
Impacto de la solución alternativa:
Si se bloquea el tráfico del puerto 1720, las aplicaciones que usan el protocolo H.323 para la colaboración de datos o telefonía IP ya no podrán comunicarse a través de Internet.
Preguntas más frecuentes
¿Cuál es el ámbito de la vulnerabilidad?
Se trata de una vulnerabilidad de desbordamiento del búfer. Un atacante que aprovechara correctamente esta vulnerabilidad podría provocar que el código se ejecute en el contexto de seguridad del servicio Microsoft Firewall en ISA Server 2000. Un atacante que aprovechara correctamente esta vulnerabilidad también podría obtener un control completo sobre el sistema.
¿Qué causa la vulnerabilidad?
Esta vulnerabilidad resulta debido a la forma en que el filtro H.323 comprueba los límites en el tráfico H.323 especialmente diseñado.
¿Cuál es el filtro H.323?
El filtro H.323 es un filtro de aplicación que ISA Server 2000 usa para supervisar y controlar el tráfico mediante protocolos H.323 y T.120. El protocolo H.323 se usa en aplicaciones de telefonía IP para transferir comunicaciones de audio y vídeo. El protocolo T.120 se usa en aplicaciones de telefonía IP para transferir datos como pizarra, transferencia de archivos o datos de Escritorio remoto. El filtro H.323 está habilitado de forma predeterminada en ISA Server 2000.
¿Qué es el servicio Firewall de Microsoft?
El servicio Microsoft Firewall de ISA Server permite que las aplicaciones de Internet funcionen como si estuvieran conectadas directamente a Internet. Estos servicios redirigen las funciones de comunicaciones necesarias a un servidor ISA, estableciendo una ruta de comunicación desde la aplicación interna a Internet a través del equipo servidor.
El servicio elimina la necesidad de una puerta de enlace específica para cada protocolo, como protocolo simple de transferencia de correo (SMTP), Telnet, protocolo de transferencia de archivos (FTP) o protocolo H.323.
¿Qué podría hacer un atacante para usar la vulnerabilidad?
Un atacante que aprovechara correctamente esta vulnerabilidad podría provocar que el código se ejecute en el contexto de seguridad del servicio Microsoft Firewall en ISA Server 2000. Un atacante que aprovechara correctamente esta vulnerabilidad podría tener un control completo sobre el sistema.
¿Esta actualización contiene otros cambios de seguridad?
Sí. La actualización también corrige un problema con la pestaña Control de llamadas de la configuración de filtro H.323. Antes de esta actualización, si ha hecho clic para desactivar la casilla Permitir llamadas entrantes en la pestaña Control de llamadas de la configuración del filtro H.323, el filtro no se configuraría para dejar de escuchar en el puerto TCP externo 1720. Esta actualización corrige este problema. Después de la actualización, al hacer clic para seleccionar esta opción, se configura correctamente el filtro para dejar de escuchar en el puerto TCP externo 1720. El servicio Firewall de Microsoft debe reiniciarse para que esta configuración surta efecto.
Si la red que el filtro H.323 ayuda a proteger pretende usar solo el tráfico H.323 saliente, se recomienda deshabilitar Permitir llamadas entrantes para mejorar la seguridad.
¿Qué hace la actualización?
La actualización quita la vulnerabilidad modificando la forma en que el filtro H.323 valida el tráfico H.323.
He instalado el servicio H.323 Gatekeeper. ¿Es vulnerable el servicio de gatekeeper H.323?
No. El servicio H.323 Gatekeeper no contiene la vulnerabilidad asociada a esta actualización. Sin embargo, si el servicio H.323 Gatekeeper se ha instalado en el sistema, se instalará una versión actualizada de gksvc.dll con esta actualización. El servicio H.323 Gatekeeper no está instalado de forma predeterminada.
Si instaló el servicio H.323 Gatekeeper después de aplicar esta actualización, ¿necesito volver a aplicar la actualización?
Sí. Si los componentes de instalación se vuelven a instalar, se deben volver a aplicar todas las actualizaciones.
Información de actualización de seguridad
ISA Server 2000, ISA Server 2000 Feature Pack 1, Small Business Server 2000, Small Business Server 2000 Service Pack 1, Small Business Server 2003
Requisitos previos
Esta actualización de seguridad requiere ISA Server Service Pack 1 (SP1).
Para obtener información adicional sobre cómo obtener el service pack de ISA Server más reciente, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
313139 Cómo obtener el Service Pack de seguridad y aceleración de Internet Más reciente
Inclusión en futuros Service Packs:
La corrección de este problema se incluirá en ISA Server 2000 Service Pack 2.
Información de instalación
Esta actualización de seguridad admite los siguientes modificadores de configuración:
-? : Muestra la lista de modificadores de instalación.
/q: Usar el modo silencioso (sin interacción del usuario).
-UHF <X> : quite el número <de revisión X> (donde <X> es el número de la revisión).
-nostart: No iniciar los servicios detenidos
Información de implementación
Para instalar la actualización de seguridad sin intervención del usuario, use la siguiente línea de comandos:
ISA2000-KB816458-x86.exe -q
Requisito de reinicio
No tiene que reiniciar el equipo después de aplicar esta actualización. Los servicios ISA se reinician al aplicar esta actualización.
Información de eliminación
Para quitar esta actualización, use la herramienta Agregar o quitar programas en Panel de control. Para ello, haga clic en ISA Server 2000 Novedades, haga clic en Cambiar, en Corrección activa isa 291 y, a continuación, haga clic en Quitar.
Información del archivo
La versión en inglés de esta corrección tiene los atributos de archivo (o posterior) que se enumeran en la tabla siguiente. Las fechas y horas de estos archivos se enumeran en la hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre hora UTC y hora local, use la pestaña Zona horaria de la herramienta Fecha y hora en Panel de control.
| Fecha | Hora | Versión | Size | Nombre de archivo | |
|---|---|---|---|---|---|
| 16-dic-2003 | 17:16 | 3.0.1200.291 | 140,560 | Gksvc.dll | X86 |
| 16-dic-2003 | 17:16 | 3.0.1200.291 | 209,168 | H323asn1.dll | X86 |
| 16-dic-2003 | 17:16 | 3.0.1200.291 | 86,800 | H323fltr.dll | X86 |
Nota: Gksvc.dll solo se instalará si el servicio H.323 Gatekeeper está instalado en el servidor ISA. Si el servicio H.323 Gatekeeper no está instalado, gksvc.dll no se instalará y no existirá en el sistema. Este servicio no está instalado de forma predeterminada.
La versión en inglés de esta corrección se puede usar para todos los idiomas del producto.
Comprobación de la instalación de actualizaciones
Es posible que pueda comprobar los archivos que instaló esta actualización de seguridad revisando la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\291
Otra información
Confirmaciones
Microsoft agradece lo siguiente por trabajar con nosotros para ayudar a proteger a los clientes:
- El Centro nacional de coordinación de la seguridad de la infraestructura del Reino Unido (NISCC) para notificar el problema descrito en MS04-001.
Obtener otras actualizaciones de seguridad:
Novedades para otros problemas de seguridad están disponibles en las siguientes ubicaciones:
- Las actualizaciones de seguridad están disponibles en el Centro de descarga de Microsoft y se pueden encontrar con más facilidad mediante una búsqueda de palabras clave para "security_patch".
- Novedades para plataformas de consumidor están disponibles en Sitio web windowsUpdate.
Soporte técnico:
- El soporte técnico está disponible en los Servicios de soporte técnico de Microsoft en 1-866-PCSAFETY para los clientes de Estados Unidos y Canadá. No hay ningún cargo por las llamadas de soporte técnico asociadas a las actualizaciones de seguridad.
- Los clientes internacionales pueden obtener soporte técnico de sus subsidiarias locales de Microsoft. No hay ningún cargo por el soporte técnico asociado a las actualizaciones de seguridad. La información sobre cómo ponerse en contacto con el soporte técnico de Microsoft está disponible en el sitio web de soporte técnico internacional.
Recursos de seguridad:
- El sitio web de seguridad de Microsoft TechNet proporciona información adicional sobre la seguridad en los productos de Microsoft.
- Microsoft Software Update Services
- Analizador de seguridad de línea de base de Microsoft (MBSA): consulte el artículo 306460 de Knowledge Base para obtener una lista de las actualizaciones de seguridad que tienen limitaciones de detección con la herramienta MBSA.
- Windows Update
- Catálogo de Windows Update: vea el artículo de Knowledge Base 323166 para obtener más información sobre el catálogo de Windows Update.
- Office Update
Servidor de administración de sistemas (SMS):
Systems Management Server puede proporcionar ayuda para implementar esta actualización de seguridad. Para obtener información sobre Systems Management Server, visite el sitio web de SMS. SMS también proporciona varias herramientas adicionales para ayudar a los administradores a implementar actualizaciones de seguridad como SMS 2.0 Software Update Services Feature Pack y SMS 2.0 Administración istration Feature Pack. El Feature Pack de SERVICIOS de actualización de software sms 2.0 utiliza el Analizador de seguridad de línea de base de Microsoft y la herramienta de detección de Microsoft Office para proporcionar una amplia compatibilidad con la corrección del boletín de seguridad. Algunas actualizaciones de software pueden requerir derechos administrativos después de reiniciar el equipo
Nota: Las funcionalidades de inventario del Feature Pack de servicios de actualización de software sms 2.0 se pueden usar para dirigir las actualizaciones a equipos específicos y se puede usar la herramienta de implementación de derechos elevados de SMS 2.0 Administración istration feature Pack para la instalación. Esto proporciona una implementación óptima para las actualizaciones que requieren un destino explícito mediante Systems Management Server y derechos administrativos después de reiniciar el equipo.
Renuncia:
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones:
- V1.0 (13 de enero de 2004): Boletín publicado
Compilado en 2014-04-18T13:49:36Z-07:00