MS03-007: Un búfer sin comprobar en un componente de Windows puede poner en peligro el servidor Web

Seleccione idioma Seleccione idioma
Id. de artículo: 815021 - Ver los productos a los que se aplica este artículo
Microsoft publicó originalmente este artículo el 17 de marzo de 2003. En esa fecha, Microsoft era consciente de una explotación públicamente disponible que se estaba utilizando para atacar servidores Windows 2000 que ejecutaban IIS 5.0. En este caso, el vector de ataque era WebDAV, aunque la vulnerabilidad subyacente estaba en un componente esencial del sistema operativo, Ntdll.dll. Microsoft lanzó una revisión para proteger a los clientes de Windows 2000 poco después, pero también siguió investigando la vulnerabilidad subyacente. Windows NT 4.0 contiene también la vulnerabilidad subyacente en Ntdll.dll, sin embargo no da soporte a WebDAV y, por tanto, la explotación conocida no era efectiva contra Windows NT 4.0. Microsoft ha publicado ahora las revisiones para Windows NT 4.0. Además, Microsoft se enteró recientemente de que esta vulnerabilidad se daba en Windows XP. Sin embargo, lo mismo que Windows NT 4.0, Windows XP no instala Internet Information Services (IIS) de manera predeterminada. El 28 de mayo de 2003, Microsoft publicó una revisión para Windows XP y Windows XP Service Pack 1.

Advertencia: si está ejecutando el Service Pack 2 (SP2) de Windows 2000, debe comprobar la versión del archivo Ntoskrnl.exe que hay en su equipo antes de instalar esta revisión. Para ello:
  1. Abra la carpeta %Windir%\System32.
  2. Haga clic con el botón secundario del mouse (ratón) en el archivo Ntoskrnl.exe, haga clic en Propiedades y, después, en la ficha Versión.
Las versiones 5.0.2195.4797 a 5.0.2195.4928 del archivo Ntoskrnl.exe no son compatibles con esta revisión. Estas versiones sólo se distribuyeron con las revisiones del servicio de soporte técnico de Microsoft. Si instala la revisión que se describe en este artículo en un equipo con una versión de la 5.0.2195.4797 a la 5.0.2195.4928 del archivo Ntoskrnl.exe, el equipo dejará de responder y presentará un mensaje "Stop 0x00000071" cuando lo reinicie. Si es así, debe recuperar la instalación de Windows desde la Consola de recuperación de Windows 2000 y la copia de seguridad del archivo Ntdll.dll que se almacena en la carpeta Winnt\$NTUninstallQ815021$.

Para actualizar un equipo que tenga una versión de Ntoskrnl.exe distribuida por el servicio de soporte técnico de Microsoft, primero debe ponerse en contacto con ese servicio antes de aplicar la revisión. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/selectassist
O bien, puede actualizarse al Service Pack 3 (SP3) de Windows 2000 antes de instalar esta revisión.
Expandir todo | Contraer todo

En esta página

Síntomas

Windows 2000 es compatible con el protocolo Creación y control de versiones distribuidos en World Wide Web (WebDAV). WebDAV, tal como se describía en RFC 2518, es un conjunto de extensiones al Protocolo de transferencia de hipertexto (HTTP) que proporciona un estándar para la modificación y administración de archivos entre equipos en Internet. Para ver RFC 2518, visite el siguiente sitio Web de RFC:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Hay una vulnerabilidad de la seguridad en un componente de Windows que utilizó WebDAV. Esta vulnerabilidad se produce debido a que el componente contiene un búfer sin comprobar.

Un atacante puede explotar la vulnerabilidad enviando una solicitud HTTP especialmente formada a un equipo que ejecuta Servicios de Microsoft Internet Information Server (IIS). La solicitud puede hacer que el servidor falle o que ejecute código seleccionado por el atacante. El código se ejecutaría en el contexto de seguridad del servicio IIS. (De manera predeterminada, el servicio IIS se ejecuta en el contexto LocalSystem).

Aunque Microsoft ha suministrado una revisión para esta vulnerabilidad y recomienda que la instale inmediatamente, se proporcionan herramientas adicionales y medidas preventivas que puede usar para impedir que se explote esta vulnerabilidad, mientras valora el impacto y compatibilidad de la revisión. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
816930 MS03-007: How to Work Around the Vulnerability That Is Discussed in Microsoft Knowledge Base Article 815021

Factores atenuantes

  • La configuración predeterminada de URLScan impide que se explote la vulnerabilidad. URLScan forma parte de la herramienta IIS Lockdown. Para obtener más información acerca de URLScan, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/technet/security/URLScan.asp
    Para obtener más información acerca de la herramienta IIS Lockdown, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
  • Esta vulnerabilidad sólo se puede explotar remotamente si un atacante puede establecer una sesión Web con un servidor afectado.

Solución

Información del Service Pack

Windows 2000

Para resolver este problema, consiga el Service Pack más reciente para Microsoft Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000

Información de la revisión de seguridad

Windows XP

Información de la descarga
Los archivos siguientes pueden descargarse del Centro de descarga de Microsoft:

Windows XP (todos los idiomas)
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Windows XP 64-Bit Edition
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Fecha de aparición: 28 de mayo de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. El archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.
Requisitos previos

Esta revisión requiere la versión comercial de Windows XP o el Service Pack 1 (SP1) de Windows XP. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322389 Cómo obtener el Service Pack más reciente para Windows XP
Información acerca de la instalación

Esta revisión admite los siguientes parámetros de instalación:
  • /?: mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /n: no hacer copia de seguridad de los archivos para la desinstalación.
  • /o: sobrescribir los archivos OEM sin solicitar confirmación.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
  • /l: mostrar las revisiones instaladas.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Por ejemplo, para instalar la revisión sin intervención del usuario y para no forzar el reinicio del equipo, use la línea de comandos siguiente:
q815021_wxp_sp2_x86_enu /u /q /z
Para comprobar que la revisión está instalada en el equipo, confirme que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Información acerca de cómo quitar

Para quitar esta actualización, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden emplear la utilidad Spuninst.exe para quitar esta revisión. Spuninst.exe está en la carpeta %WinDir%\$NTUninstallQ815021$\Spuninst y admite los siguientes modificadores de la configuración:
  • /?: mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión, porque Ntdll.dll es un archivo binario del sistema esencial que se carga durante el inicio del sistema. El equipo seguirá siendo vulnerable hasta que lo reinicie.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows XP
   Fecha        Hora   Versión           Tamaño  Ruta de acceso y nombre de archivo
   --------------------------------------------------------------------------------
   02-May-2003  15:03  5.1.2600.114     651.264  %Windir%\System32\Ntdll.dll  anterior al Service Pack 1
   01-May-2003  20:56  5.1.2600.1217    654.336  %Windir%\System32\Ntdll.dll  con el Service Pack 1

Windows XP 64-Bit Edition
   Fecha        Hora   Versión           Tamaño  Ruta de acceso y nombre de archivo
   --------------------------------------------------------------------------------
   02-May-2003  15:03  5.1.2600.114   1.498.112  %WinDir%\System32\Ntdll.dll  anterior al Service Pack 1
   01-May-2003  14:57  5.1.2600.114     654.336  %WinDir%\System32\Wntdll.dll anterior al Service Pack 1
   01-May-2003  20:56  5.1.2600.1217  1.508.864  %WinDir%\System32\Ntdll.dll  con el Service Pack 1
   30-Abr-2003  21:43  5.1.2600.1217    657.408  %WinDir%\System32\Wntdll.dll con el Service Pack 1
También puede comprobar los archivos que instaló esta actualización revisando la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Descargar información

Los archivos siguientes pueden descargarse del Centro de descarga de Microsoft:

Todos los idiomas salvo japonés NEC
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Japonés NEC
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Fecha de aparición: 17 de marzo de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. El archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.
Requisitos previos


Esta revisión requiere el Service Pack 2 (SP2) o el Service Pack 3 (SP3) de Windows 2000. Para obtener información adicional acerca de cómo conseguir el Service Pack más reciente, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente para Windows 2000
Nota Si está utilizando Windows 2000 Service Pack 2 (SP2), vea la advertencia del principio de este artículo antes de aplicar la revisión.

Información acerca de la instalación

Esta revisión admite los siguientes parámetros de instalación:
  • /?: mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /n: no hacer copia de seguridad de los archivos para la desinstalación.
  • /o: sobrescribir los archivos OEM sin solicitar confirmación.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
  • /l: mostrar las revisiones instaladas.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Por ejemplo, la línea de comandos siguiente instala la revisión sin la intervención del usuario y no exige que se reinicie el equipo:
q815021_w2k_sp4_x86_en /u /q /z
Para comprobar que la revisión está instalada en el equipo, confirme que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Información acerca de cómo quitar

Puede quitar la revisión utilizando la herramienta Agregar o quitar programas del Panel de control, para quitar "Windows 2000 Hotfix (SP4) Q815021".

Los administradores del sistema pueden emplear la utilidad Spuninst.exe para quitar esta revisión. Spuninst.exe está en la carpeta %Windir%\$NTUninstallQ815021$\Spuninst y admite los siguientes modificadores de la configuración:
  • /?: mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión, porque Ntdll.dll es un binario del sistema esencial que se carga durante el inicio del sistema. El equipo seguirá siendo vulnerable hasta que lo reinicie.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

   Fecha        Hora   Versión        Tamaño   Ruta de acceso y nombre de archivo
   ------------------------------------------------------------------------------
   15-Mar-2003  01:23  5.0.2195.6685  476.944  %Windir%\System32\Ntdll.dll

También puede comprobar los archivos instalados por esta revisión si examina la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (todas las versiones)

Microsoft Internet Information Server (IIS) no está destinado para su uso en Windows NT Server 4.0, Terminal Server Edition, y no es compatible. Microsoft recomienda que los clientes que ejecuten IIS 4.0 en Windows NT Server 4.0, Terminal Server Edition, protejan el sistema quitando IIS 4.0.

Información de descarga

Los archivos siguientes pueden descargarse del Centro de descarga de Microsoft:

Windows NT 4.0:

Todos los idiomas salvo japonés NEC y chino de Hong Kong:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
NEC Japonés:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Chino de Hong Kong:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Windows NT Server 4.0, Terminal Server Edition:

Todos los idiomas:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 815021.
Fecha de aparición: 23 de abril de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. El archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Esta revisión requiere el Service Pack 6a (SP6a) de Windows NT 4.0 o el Service Pack 6 (SP6) de Windows NT Server 4.0, Terminal Server Edition. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
152734 Cómo obtener el Service Pack más reciente de Windows NT 4.0


Información acerca de la instalación

Esta revisión admite los siguientes parámetros de instalación:
  • /y: realizar la desinstalación (sólo con /m o /q).
  • /f: exigir el cierre de los programas al apagar el equipo.
  • /n: no crear una carpeta de desinstalación.
  • /z: no reiniciar al completar la actualización.
  • /q: utilizar el modo silencioso o desatendido sin interfaz de usuario. (Este modificador es un superconjunto de /m).
  • /m: utilizar el modo desatendido con interfaz de usuario.
  • /l: mostrar las revisiones instaladas.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Para comprobar que la revisión está instalada en el equipo, confirme que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Por ejemplo, la línea de comandos siguiente instala la revisión sin la intervención del usuario y no exige que se reinicie el equipo:
q815021i /q /z
Información acerca de cómo quitar

Para quitar esta revisión, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden emplear la utilidad Spuninst.exe para quitar esta revisión. Spuninst.exe está en la carpeta %Windir%\$NTUninstallQ815021$\Spuninst y admite los siguientes modificadores de la configuración:
  • /?: mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión, porque Ntdll.dll es un binario del sistema esencial que se carga durante el inicio del sistema. El equipo seguirá siendo vulnerable hasta que lo reinicie.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

   Fecha        Hora   Versión         Tamaño   Ruta y nombre de archivo     SO
   ----------------------------------------------------------------------------
   24-Mar-2003  10:38  4.0.1381.7212   367.376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-Mar-2003  07:12  4.0.1381.33546  369.936  %WinDir%\System32\Ntdll.dll  TSE

Estado

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.

Sólo Windows 2000

Este problema se corrigió por primera vez en el Service Pack 4 de Microsoft Windows 2000.

Más información

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp


Si el equipo tiene varios procesadores, debe ejecutar la herramienta Microsoft Baseline Security Analyzer (MBSA) con el modificador /nosum para deshabilitar las comprobaciones de la suma de comprobación. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 Ya está disponible la versión 1.1 de Microsoft Baseline Security Analyzer (MBSA)

Propiedades

Id. de artículo: 815021 - Última revisión: sábado, 1 de diciembre de 2007 - Versión: 13.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
Palabras clave: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix KB815021

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com