MS00-047: Un problema de seguridad de NetBIOS puede producir conflictos por nombres duplicados en la red

Seleccione idioma Seleccione idioma
Id. de artículo: 269239 - Ver los productos a los que se aplica este artículo
IMPORTANTE: este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Microsoft ha lanzado una revisión que mejora la capacidad de los administradores para proteger los equipos basados en Windows NT 4.0 y Windows 2000 frente a ataques de denegación de servicio.

Los protocolos NetBIOS a través de TCP/IP (NBT) no requieren autenticación y, por lo tanto, son vulnerables a la suplantación. Se trata de una característica del diseño. Un usuario malintencionado podría utilizar indebidamente la naturaleza del protocolo, que no realiza ninguna autenticación, para enviar un datagrama con un conflicto de nombres a un equipo de destino y provocar que renuncie a su nombre y que deje de responder a las consultas.

Al recibir un datagrama con un conflicto de nombres no solicitado, el equipo deja de responder al nombre NetBIOS que presenta el conflicto y puede mostrar un mensaje de error donde se indique que existe un nombre duplicado en la red. Asimismo, es posible que el equipo afectado experimente alguno de los siguientes síntomas:

Problemas de conectividad intermitente

Puede que el equipo presente problemas intermitentes al comunicarse con otro equipo.

Conflicto del servicio de nombres NetBIOS

  • Algunas herramientas, como Entorno de red, no funcionan.
  • Los equivalentes del comando net send no funcionan.
  • El servidor afectado no autentica los inicios de sesión del dominio.
  • Quizás no pueda obtener acceso a los recursos compartidos y a los servicios básicos de NetBIOS, como la resolución de nombres NetBIOS.
Asimismo, el comando nbtstat -n puede mostrar el estado "Conflicto" junto al servicio de nombres NetBIOS.

Esta revisión cambia el comportamiento de Windows para aceptar un datagrama con un conflicto de nombres solamente como respuesta directa al intento de registrar un nombre.

Causa

Problemas de conectividad intermitente

Un equipo recibe y, a continuación, almacena en la caché un datagrama del servicio de datagramas de NetBT en su caché de nombres NetBIOS remota con la dirección TCP/IP especificada en el datagrama no solicitado.

Los datagramas del servicio de datagramas se utilizan para transportar datos entre diferentes equipos, que se envían y reciben mediante NetBT solamente a través del puerto UDP 138.

Conflictos del servicio de nombres NetBIOS

Un equipo recibe un datagrama del servicio de nombres con una respuesta de registro de nombre negativa y no solicitada para un nombre que está registrado localmente. Por ejemplo, en la lista siguiente se describen algunos servicios de nombres NetBIOS que pueden verse afectados por este problema:
  • Los conflictos de nombres del servicio Examinador de equipos pueden hacer que herramientas como Entorno de red dejen de funcionar.
  • Los conflictos de nombres del servicio Messenger pueden hacer que los equivalentes del comando net send dejen de funcionar.
  • Los conflictos de nombres del servicio NetLogon pueden denegar servicios de dominio.
  • Los conflictos de nombres de los servicios Server y Workstation pueden denegar el acceso a recursos compartidos.
Los datagramas del servicio de nombres se utilizan principalmente para registrar y resolver nombres en la red, y se envían y reciben mediante NetBT y WINS solamente a través del puerto TCP/UDP 137.

Solución

Para resolver estos problemas, utilice el método apropiado:

Problemas de conectividad intermitente

Aplique la revisión apropiada enumerada más adelante en este artículo para el sistema operativo afectado por este problema. Asimismo, cargue de antemano los nombres NetBIOS confidenciales en el archivo Lmhosts, de manera que NetBIOS descarte los paquetes que intenten sobrescribir la entrada de la caché de los nombres cargados de Lmhosts, preservando su asignación de dirección.

Conflictos en el servicio de nombres NetBIOS

Aplique la revisión correspondiente al sistema operativo afectado por este problema, de manera que se pasen por alto las respuestas de registro de nombres no solicitadas que no se originan en un servidor de Servicio de nombres Internet de Windows (WINS, Windows Internet Name Service) en el que está registrado el equipo.

NOTA: en este problema, la revisión funciona solamente si el equipo afectado está configurado para utilizar WINS.

IMPORTANTE: Microsoft recomienda que esta revisión se aplique sólo a equipos que lo requieran especialmente, es decir, aquéllos que desempeñen una función central en la red y que el administrador considere que podrían ser objeto de un ataque. Microsoft no recomienda aplicar esta revisión a escala global sin antes probarla en un entorno específico.

Siga estos pasos:
  1. Utilice el Editor del Registro (Regedt32.exe) para ver la siguiente clave en el Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. Modifique el siguiente valor del Registro o agréguelo si no existe:
    Nombre del valor: NoNameReleaseOnDemand
    Tipo de valor: REG_DWORD; booleano
    Información del valor: 0, 1 (falso o verdadero)
    Valor predeterminado: 0 (falso)
    Recomendación: 1
    Descripción: este parámetro determina si el equipo libera su nombre NetBIOS cuando recibe una solicitud de liberación de nombre procedente de la red. Se agregó para permitir a los administradores proteger el equipo frente a ataques malintencionados de liberación de nombre.

Windows 2000

Para resolver este problema, obtenga el Service Pack más reciente para Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000
El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargar Q269239_W2K_SP2_x86_en.exe ahora
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes u otros posteriores:
   Fecha       Hora       Versión        Tamaño   Nombre de archivo
   ----------------------------------------------------------------
   07/20/2000  4:09:13pm  5.0.2195.2103  142.832  Netbt.sys
				

Para obtener información adicional acerca de cómo instalar Windows 2000 y revisiones de Windows 2000 al mismo tiempo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
249149 Instalar Microsoft Windows 2000 y revisiones para Windows 2000

Windows NT 4.0

Para resolver este problema, obtenga el paquete individual al que se hace referencia a continuación o bien obtenga el paquete de continuación de seguridad (SRP, Security Rollup Package) de Windows 4.0. Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
299444 Paquete de continuación de seguridad (SRP) posterior al Service Pack 6a de Windows NT 4.0
El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargar Q269239i.exe ahora
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes u otros posteriores:
   Fecha       Hora    Tamaño   Nombre de archivo  Plataforma
   ----------------------------------------------------------
   08/29/2000  4:39pm  123.600  Netbt.sys          x86
				

Windows NT Server 4.0, Terminal Server Edition

Para solucionar este problema, obtenga la revisión a la que se hace referencia en esta sección o el paquete de continuación de seguridad (SRP) de Windows NT Server 4.0, Terminal Server Edition. Para obtener información adicional acerca del SRP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package
Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a equipos que experimenten este problema específico.

Para resolver el problema, póngase en contacto con los Servicios de soporte técnico de Microsoft con el fin de obtener la revisión. Para obtener una lista completa de números de teléfono del Servicio de soporte técnico de Microsoft e información acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;ES-ES;CNTACTMS
NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargar Q269239i.exe ahora
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes u otros posteriores:
   Fecha       Hora    Tamaño   Nombre de archivo  Plataforma
   ----------------------------------------------------------
   08/29/2000  06:23p  123.536  Netbt.sys          x86
				

Windows Millennium Edition

Desde el 14 de agosto de 2000, no hay ninguna revisión disponible para este sistema operativo.

Para evitar estos problemas, configure un servidor de seguridad para que bloquee los puertos 137 a 139 e impedir que usuarios externos exploten esta vulnerabilidad de NetBIOS.

También puede evitar el problema relativo al conflicto en el servicio de nombres NetBIOS si realiza una operación que provoque que la pila TCP/IP quite y, a continuación, vuelva a enviar la notificación de las direcciones TCP/IP. Para ello, puede usar alguno de los métodos siguientes:
  • Si el equipo afectado es un cliente del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol), libere y posteriormente renueve la dirección TCP/IP.
  • Haga que se desconecte un medio en el adaptador de red afectado y, a continuación, vuelva a conectarlo.
  • Reinicie el equipo.

Windows 95, Windows 95 OSR 2, Windows 98 y Windows 98 Segunda edición

La versión en inglés de esta revisión debe tener los atributos de archivo siguientes u otros posteriores:
  Fecha      Hora    Versión    Tamaño  Nombre de archivo  Plataforma
  -------------------------------------------------------------------
  07/31/2000 11:11a  4.10.1659  87.769  Vnbt.386           Windows 95, todas las versiones
  07/10/2000 11:23a  4.10.1721  87.749  Vnbt.386           Windows 98
  07/10/2000 11:36a  4.10.2149  90.893  Vnbt.386           Windows 98 Segunda edición
				

Estado

Este problema se corrigió por primera vez en Windows 2000 Service Pack 2.

Más información

Para obtener más información, consulte el siguiente boletín de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-047.asp
Los protocolos NetBIOS a través de TCP/IP no requieren autenticación y, por lo tanto, son vulnerables a la suplantación. Se trata de una característica del diseño. Esta vulnerabilidad no se deriva de un error del producto en ninguno de los sistemas operativos afectados; se trata simplemente de un resultado de la naturaleza del protocolo estándar del sector utilizado. Un usuario malintencionado podría utilizar de forma indebida la naturaleza del protocolo, que no realiza autenticación, para enviar un datagrama de servicio de nombres a un equipo de destino y provocar que renuncie a su nombre y que deje de responder a las consultas.

Los conflictos de nombres NetBIOS especificados en el documento RFC 1001 (sección 15.1.3.5) se producen cuando hay más de un nodo que registra un nombre NetBIOS único. En circunstancias habituales, los conflictos de nombres se detectan durante el proceso de descubrimiento de nombres NetBIOS; un nombre NetBIOS solamente debería marcarse como en conflicto cuando un nodo final está resolviendo de manera activa un nombre NetBIOS.

La entrega de un datagrama del servicio de nombres NetBIOS no solicitado a un equipo que ejecute alguno de los sistemas operativos de Microsoft Windows enumerado anteriormente en este artículo hace que un nombre NetBIOS registrado entre en un estado de conflicto. Los nombres NetBIOS en conflicto se cierran en efecto porque no son capaces de responder a las solicitudes de descubrimiento de nombres, que se utilizan para el establecimiento de una sesión, o que se emplean para enviar y recibir datagramas NetBIOS.

Para los nombres no protegidos (que no están precargados en el archivo Lmhosts), solamente se ve afectada la comunicación con el nombre cuya dirección TCP/IP haya sido modificada por el datagrama no solicitado; este nombre se vacía de la caché NetBIOS en el plazo de cinco segundos. Para mantener la caché de nombres remota dañada, el supuesto atacante necesita enviar un flujo de datagramas no solicitados, arriesgándose de este modo a que se desvele su identidad.

Los clientes que necesitan una protección totalmente eficaz frente a los ataques de suplantación pueden considerar la utilización de un Protocolo de seguridad IP (IPSec) en Windows 2000 para establecer sesiones autenticadas a través de los puertos 137 a 139.

En determinadas circunstancias, esta revisión puede provocar varios errores 4320 que NetBT graba en el registro de sucesos del sistema, lo que puede resultar confuso para el usuario. El motivo son las solicitudes de liberación para nombres de grupo comunes que se difunden a la subred desde otros equipos durante el apagado, si los equipos de "nodo b" o de "nodo h" configurados de manera incorrecta se encuentran en la misma subred.

Para obtener información adicional acerca de las revisiones de Windows 95, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
161020 Implementing Windows 95 Updates
Para obtener información adicional acerca de las revisiones de Windows 98 y Windows 98 Segunda edición, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
206071 Información general acerca de las revisiones de Windows 98 y Windows 98 Segunda edición

Propiedades

Id. de artículo: 269239 - Última revisión: miércoles, 11 de octubre de 2006 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palabras clave: 
kbbug kbfix kbgraphxlinkcritical kbnetwork kbsecbulletin kbsecurity kbsecvulnerability kbwin2000presp2fix KB269239

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com