MS03-026: Un desbordamiento de búfer en la interfaz RPC podría permitir la ejecución de código

Seleccione idioma Seleccione idioma
Id. de artículo: 823980 - Ver los productos a los que se aplica este artículo

Actualización técnica

  • 10 de septiembre de 2003: se hicieron los siguientes cambios en este artículo:
    • Se actualizó la sección "Información acerca de la sustitución de la revisión de seguridad" para indicar que esta revisión ha sido sustituida por la 824146 (MS03-039). Para obtener más información acerca de la revisión de seguridad 824146 (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      824146 MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
    • Se actualizaron las secciones de "Información de la instalación" para indicar que Microsoft ha lanzado una herramienta que los administradores de red pueden usar para identificar equipos host que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039). Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      827363 Cómo utilizar la herramienta de análisis KB 824146 para identificar los equipos que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039)
    • Actualiza la sección "Información acerca de la sustitución de la revisión de seguridad" para Windows NT 4.0, para indicar que esta revisión de seguridad reemplaza a la revisión 305399 (MS01-048) en los equipos basados en Windows NT 4.0.
  • 19 de agosto de 2003: se actualizó la sección "Más información" para incluir una referencia al artículo 826234 de Microsoft Knowledge Base. Este artículo contiene información acerca del virus gusano Nachi que intenta explotar la vulnerabilidad que corrige esta revisión de seguridad.
    826234 Alerta de virus acerca del gusano Nachi
  • 14 de agosto de 2003: se hicieron los siguientes cambios en este artículo:
    • Se actualizó la sección "Más información" para incluir una referencia al artículo 826955 de Microsoft Knowledge Base. Este artículo contiene información acerca del virus gusano Blaster que intenta explotar la vulnerabilidad que corrige esta revisión de seguridad.
      826955 Alerta de virus acerca del gusano Blaster y sus variantes
    • Se actualizó la sección "Información de la instalación" para indicar que Microsoft ha lanzado una herramienta que los administradores de red pueden usar para examinar una red buscando los sistemas que no tienen instalada esta revisión de seguridad.
    • Se actualizaron las secciones "Información acerca de la sustitución de la revisión de seguridad" para indicar que esta revisión de seguridad sustituye a la 331953 (MS03-010) en los equipos basados en Windows 2000 y Windows XP. En los equipos con Windows NT 4.0 y Windows Server 2003, esta revisión de seguridad no sustituye a ninguna otra.
    • Se actualizó la sección "Prerrequisitos" de Windows 2000 para incluir información acerca de la compatibilidad de Windows 2000 Service Pack 2 con esta revisión.
    • Se actualizó la sección "Solución temporal" para proporcionar información adicional acerca de cómo evitar el problema.
  • 18 de julio de 2003: se actualizaron las secciones "Síntomas" y "Factores atenuantes". Se agregó una nota a la sección "Prerrequisitos" de Windows 2000. Se agregó una nota a la sección "Prerrequisitos" de Windows NT 4.0. En la sección "Windows NT 4.0", se cambió la clave del Registro "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" a "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980". En la sección "Soluciones temporales", se cambió el texto de la primera viñeta ("Bloquee el puerto 135 en el servidor de seguridad"). En las secciones siguientes, se cambiaron las tablas de información de archivo: Windows Server 2003, 32-Bit Edition; Windows Server 2003, 64-Bit Edition; Windows XP Professional y Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 18 de agosto de 2003: se actualizó la sección "Prerrequisitos".
Expandir todo | Contraer todo

En esta página

Síntomas

Originalmente, Microsoft publicó este boletín y la revisión el 16 de julio de 2003 para corregir una vulnerabilidad de seguridad en una interfaz de llamada a procedimiento remoto (RPC) de Modelo de objetos componentes distribuido (DCOM). La revisión era y sigue siendo efectiva para eliminar la vulnerabilidad a la seguridad. Sin embargo, los análisis de "factores atenuantes" y de "soluciones temporales" no identificaban claramente todos los puertos en los que había posibilidad de explotar la vulnerabilidad. Microsoft ha actualizado este boletín para enumerar con mayor claridad los puertos en los que se pueden invocar los servicios RPC, así como para garantizar que los clientes que eligen para implementar una solución temporal antes de instalar la revisión tengan la información que deben tener para proteger sus sistemas. Los clientes que ya han instalado la revisión están protegidos contra los intentos de explotar esta vulnerabilidad y no necesitan adoptar medidas adicionales.

Llamada a procedimiento remoto (RPC) es un protocolo que utiliza el sistema operativo Windows. RPC proporciona un mecanismo de comunicación entre procesos que permite que un programa que se está ejecutando en un equipo ejecute fácilmente código en un equipo remoto. El protocolo deriva del protocolo RPC de Open Software Foundation (OSF). El protocolo RPC utilizado por Windows incluye algunas extensiones adicionales específicas de Microsoft.

Hay una vulnerabilidad en la parte de RPC que se ocupa del intercambio de mensajes por TCP/IP. Este error se produce por causa del tratamiento incorrecto de los mensajes mal formados. Esta vulnerabilidad particular afecta a una interfaz de Modelo de objetos componentes distribuido (DCOM) con RPC, que escucha en los puertos habilitados para RPC. Esta interfaz controla las solicitudes de activación de objetos DCOM que son enviadas al servidor por los equipos cliente (por ejemplo, solicitudes de ruta de acceso Convención de nomenclatura universal [UNC, Universal Naming Convention). Un atacante que explotara esta vulnerabilidad podría ejecutar código con privilegios de Sistema local en un sistema afectado. El atacante podría realizar cualquier acción en el sistema, como instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con todos los privilegios.

Para explotar esta vulnerabilidad, un atacante tendría que enviar una solicitud especialmente formada al equipo remoto en los puertos RPC específicos.

Factores atenuantes
  • Para explotar esta vulnerabilidad, el atacante debe ser capaz de enviar una solicitud elaborada especialmente a los puertos 135, 139, 445 o a cualquier otro puerto RPC configurado de forma específica que esté en el equipo remoto. En los entornos de intranet, estos puertos son habitualmente accesibles, pero en los equipos conectados a Internet estos puertos suelen estar bloqueados por un servidor de seguridad. Si estos puertos no estás bloqueados, o en un entorno de intranet, el atacante no ha de tener ningún privilegio adicional.
  • Las prácticas recomendadas incluyen el bloqueo de todos los puertos TCP/IP que no se estén utilizando realmente. Casi todos los servidores de seguridad, incluido el Servidor de seguridad de conexión a Internet (ICF) de Windows, bloquean de manera predeterminada estos puertos. Por esta razón, casi todos los equipos que están conectados a Internet deberían tener bloqueado RPC sobre TCP o UDP. RPC sobre UDP o TCP no se debe utilizar en entornos hostiles, como es el caso de Internet. Para esos entornos hostiles se proporcionan protocolos más sólidos, como RPC sobre HTTP.

Solución

Información de la revisión de seguridad

Para obtener más información acerca de cómo resolver esta vulnerabilidad, haga clic en el vínculo apropiado de la lista siguiente:

Windows Server 2003 (todas las versiones)

Información de descarga
Los archivos siguientes pueden descargarse desde el Centro de descarga de Microsoft:

Windows Server 2003, 32-Bit Edition
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Windows Server 2003 64-Bit Edition y Windows XP 64-Bit Edition versión 2003
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Fecha de publicación: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.
Requisitos previos

Esta revisión de seguridad requiere la versión comercial de Windows Server 2003.
Información de instalación

Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /n: no hacer copia de seguridad de los archivos para la desinstalación.
  • /o: sobrescribir los archivos OEM sin solicitar confirmación.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
  • /l: Mostrar hotfix instalados.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha lanzado una herramienta que pueden usar los administradores de red para examinar una red buscando la presencia de sistemas que no tienen instalada de la revisión de seguridad. Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 Cómo utilizar la herramienta de análisis KB 824146 para identificar los equipos que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039)
También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo del equipo con la lista de archivos de la sección "Información de archivos" de este artículo o confirmando que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980

Para comprobar que esta actualización se ha instalado, use Microsoft Baseline Security Analyzer (MBSA). Para obtener información adicional acerca de MBSA, consulte el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/herramientas/default.mspx
Información de implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice el comando siguiente:
WindowsServer2003-KB823980-x86-ESN /u /q
Para instalar la revisión de seguridad sin forzar el reinicio del equipo, utilice el comando siguiente:
WindowsServer2003-KB823980-x86-ESN /z
Nota
Puede combinar estos modificadores en un único comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. El archivo de programa Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Información de sustitución de la revisión de seguridad

En los equipos con Windows Server 2003, esta revisión de seguridad no sustituye a ninguna otra.

Esta revisión de seguridad ha sido sustituida por la 824146 (MS03-039). Para obtener más información acerca de la revisión de seguridad 824146 (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824146 MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
Información sobre archivos

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows Server 2003, 32-Bit Edition:
   Fecha         Hora   Versión     Tamaño    Nombre de archivo  Carpeta
   -------------------------------------------------------------------
   05-Jul-2003  18:03  5.2.3790.68     1.182.720  Ole32.dll    \rtmgdr    
   05-Jul-2003  18:03  5.2.3790.59       657.920  Rpcrt4.dll   \rtmgdr    
   05-Jul-2003  18:03  5.2.3790.68       217.088  Rpcss.dll    \rtmgdr    
   05-Jul-2003  18:01  5.2.3790.68     1.182.720  Ole32.dll    \rtmqfe   
   05-Jul-2003  18:01  5.2.3790.63       658.432  Rpcrt4.dll   \rtmqfe    
   05-Jul-2003  18:01  5.2.3790.68       217.600  Rpcss.dll    \rtmqfe    


Windows Server 2003 64-Bit Edition y Windows XP 64-Bit Edition versión 2003:
   Fecha         Hora   Versión     Tamaño    Nombre de archivo  Carpeta
   ----------------------------------------------------------------------------------
   05-Jul-2003  18:05  5.2.3790.68     3.549.184  Ole32.dll       (IA64)   \Rtmgdr
   05-Jul-2003  18:05  5.2.3790.59     2.127.872  Rpcrt4.dll      (IA64)   \Rtmgdr
   05-Jul-2003  18:05  5.2.3790.68       660.992  Rpcss.dll       (IA64)   \Rtmgdr
   05-Jul-2003  18:03  5.2.3790.68     1.182.720  Wole32.dll      (X86)    \Rtmgdr\Wow
   05-Jul-2003  18:03  5.2.3790.59       539.648  Wrpcrt4.dll     (X86)    \Rtmgdr\Wow
   05-Jul-2003  18:03  5.2.3790.68     3.548.672  Ole32.dll       (IA64)   \Rtmqfe
   05-Jul-2003  18:03  5.2.3790.63     2.128.384  Rpcrt4.dll      (IA64)   \Rtmqfe
   05-Jul-2003  18:03  5.2.3790.68       662.016  Rpcss.dll       (IA64)   \Rtmqfe
   05-Jul-2003  18:01  5.2.3790.68     1.182.720  Wole32.dll      (X86)    \Rtmqfe\Wow
   05-Jul-2003  18:01  5.2.3790.63       539.648  Wrpcrt4.dll     (X86)    \Rtmqfe\Wow
Nota
Cuando instala esta revisión de seguridad en un equipo que está ejecutando Windows Server 2003 o Windows XP 64-Bit Edition versión 2003, el programa de instalación comprueba si alguno de los archivos que están siendo actualizados en el equipo habían sido actualizados anteriormente por una revisión rápida de Microsoft. Si instaló anteriormente un hotfix para actualizar uno de estos archivos, el programa de instalación copia en el equipo los archivos del hotfix. En otro caso, el programa de instalación copia los archivos GDR en el equipo. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824994 Descripción del contenido del paquete de actualización del producto de Windows Server 2003
Puede comprobar los archivos instalados por esta revisión de seguridad si examina la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (todas las versiones)

Información de descarga

Los archivos siguientes pueden descargarse desde el Centro de descarga de Microsoft:

Windows XP Professional y Windows XP Home Edition
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Windows XP 64-Bit Edition, versión 2002
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Fecha de publicación: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.
Requisitos previos

Esta revisión de seguridad requiere la versión comercial de Windows XP o del Service Pack 1 (SP1) de Windows XP. Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322389 Cómo obtener el Service Pack más reciente para Windows XP
Información de instalación

Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /n: no hacer copia de seguridad de los archivos para la desinstalación.
  • /o: sobrescribir los archivos OEM sin solicitar confirmación.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
  • /l: Mostrar hotfix instalados.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha lanzado una herramienta que pueden usar los administradores de red para examinar una red buscando la presencia de sistemas que no tienen instalada de la revisión de seguridad. Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 Cómo utilizar la herramienta de análisis KB 824146 para identificar los equipos que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039)
También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo del equipo con la lista de archivos de la sección "Información de archivos" de este artículo o confirmando que existe la siguiente clave del Registro:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP con Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Para obtener información adicional acerca de Microsoft Baseline Security Analyzer (MBSA), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 Ya está disponible la versión 1.1.1. de Microsoft Baseline Security Analyzer (MBSA)
Información de implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice el comando siguiente:
WindowsXP-KB823980-x86-ESN /u /q
Para instalar la revisión de seguridad sin forzar el reinicio del equipo, utilice el comando siguiente:
WindowsXP-KB823980-x86-ESN /z
Nota
Puede combinar estos modificadores en un único comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. El archivo de programa Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Información de sustitución de la revisión de seguridad

En los equipos con Windows XP, esta revisión de seguridad sustituye a la 331953 (MS03-010).

Esta revisión ha sido sustituida por la revisión 824146 (MS03-039). Para obtener más información acerca de la revisión de seguridad 824146 (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824146 MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
Información sobre archivos

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows XP Professional y Windows XP Home Edition:

   Fecha       Hora   Versión        Tamaño   Nombre de archivo
   -------------------------------------------------------------------
   05-Jul-2003  19:14  5.1.2600.115    1.092.096  Ole32.dll    pre-SP1
   05-Jul-2003  19:14  5.1.2600.109      439.296  Rpcrt4.dll   pre-SP1
   05-Jul-2003  19:14  5.1.2600.115      203.264  Rpcss.dll    pre-SP1
   05-Jul-2003  19:12  5.1.2600.1243   1.120.256  Ole32.dll    con SP1
   05-Jul-2003  19:12  5.1.2600.1230     504.320  Rpcrt4.dll   con SP1
   05-Jul-2003  19:12  5.1.2600.1243     202.752  Rpcss.dll    con SP1
Windows XP 64-Bit Edition versión 2002:

   Fecha       Hora   Versión        Tamaño   Nombre de archivo
   --------------------------------------------------------------------------------
   05-Jul-2003  19:15  5.1.2600.115    4.191.744  Ole32.dll        (IA64)  pre-SP1
   05-Jul-2003  19:15  5.1.2600.109    2.025.472  Rpcrt4.dll       (IA64)  pre-SP1
   05-Jul-2003  19:15  5.1.2600.115      737.792  Rpcss.dll        (IA64)  pre-SP1
   05-Jul-2003  19:12  5.1.2600.1243   4.292.608  Ole32.dll        (IA64)  con SP1
   05-Jul-2003  19:12  5.1.2600.1230   2.292.224  Rpcrt4.dll       (IA64)  con SP1
   05-Jul-2003  19:12  5.1.2600.1243     738.304  Rpcss.dll        (IA64)  con SP1
   05-Jul-2003  18:37  5.1.2600.115    1.092.096  Wole32.dll       (X86)   pre-SP1
   03-Ene-2003  02:06  5.1.2600.109      440.320  Wrpcrt4.dll      (X86)   pre-SP1
   05-Jul-2003  18:07  5.1.2600.1243   1.120.256  Wole32.dll       (X86)   con SP1
   04-Jun-2003  17:35  5.1.2600.1230     505.344  Wrpcrt4.dll      (X86)   con SP1

Nota
Las versiones para Windows XP de esta revisión se empaquetan como paquetes de modo dual. Para obtener información adicional acerca de los paquetes de modo dual, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
328848 Descripción de los paquetes de actualización de modo dual para Windows XP

Puede comprobar los archivos instalados por esta revisión de seguridad si examina la siguiente clave del Registro:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP con Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (todas las versiones)

Información de descarga

El siguiente archivo se puede descargar desde el Centro de descarga de Microsoft:

Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Fecha de publicación: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Nota
Esta revisión no es compatible con Windows 2000 Datacenter Server. Para obtener información acerca de cómo obtener una revisión de seguridad para Windows 2000 Datacenter Server, póngase en contacto con su proveedor OEM participante. Para obtener información adicional acerca de Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173 El programa Datacenter y el producto Windows 2000 Datacenter Server
Requisitos previos

Esta revisión de seguridad requiere el Service Pack 2 (SP2), el Service Pack 3 (SP3) o el Service Pack 4 (SP4) de Windows 2000.

Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 Cómo obtener el Service Pack más reciente de Windows 2000
Información de instalación

Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /n: no hacer copia de seguridad de los archivos para la desinstalación.
  • /o: sobrescribir los archivos OEM sin solicitar confirmación.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
  • /l: Mostrar hotfix instalados.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha lanzado una herramienta que puede usar para examinar una red buscando la presencia de sistemas que no tienen instalada de la revisión de seguridad. Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 Cómo utilizar la herramienta de análisis KB 824146 para identificar los equipos que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039)
También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo del equipo con la lista de archivos de la sección "Información de archivos" de este artículo o confirmando que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Para obtener información adicional acerca de Microsoft Baseline Security Analyzer (MBSA), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 Ya está disponible la versión 1.1.1. de Microsoft Baseline Security Analyzer (MBSA)
Información de implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice el comando siguiente:
Windows2000-KB823980-x86-ESN /u /q
Para instalar la revisión de seguridad sin forzar el reinicio del equipo, utilice el comando siguiente:
Windows2000-KB823980-x86-ESN /z
Nota
Puede combinar estos modificadores en un único comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. El archivo de programa Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Información de sustitución de la revisión de seguridad

En los equipos con Windows 2000, esta revisión de seguridad sustituye a la 331953 (MS03-010).

Esta revisión ha sido sustituida por la revisión 824146 (MS03-039). Para obtener más información acerca de la revisión de seguridad 824146 (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824146 MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
Información sobre archivos

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

   Fecha       Hora   Versión        Tamaño   Nombre de archivo
   --------------------------------------------------------------
   05-Jul-2003  05:15  5.0.2195.6769     944.912  Ole32.dll        
   05-Jul-2003  17:15  5.0.2195.6753     432.400  Rpcrt4.dll       
   05-Jul-2003  17:15  5.0.2195.6769     188.688  Rpcss.dll 
Puede comprobar los archivos instalados por esta revisión de seguridad si examina la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Ahora hay disponible un hotfix para el que Microsoft proporciona soporte técnico, pero sólo se diseñó para corregir el problema que describe este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Para resolver este problema, póngase en contacto con los Servicios de soporte técnico de Microsoft con el fin de obtener el hotfix. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota
En casos especiales, los costos derivados de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Windows NT 4.0 (todas las versiones)

Información de descarga

Los archivos siguientes pueden descargarse desde el Centro de descarga de Microsoft:

Windows NT 4.0 Server:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Windows NT 4.0 Server, Terminal Server Edition:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete 823980.
Fecha de publicación: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.
Requisitos previos

Esta revisión de seguridad requiere el Service Pack 6a (SP6a) de Windows NT 4.0 o el Service Pack 6 (SP6) de Windows NT Server 4.0, Terminal Server Edition.

Nota
Esta revisión de seguridad puede instalarse en Windows NT 4.0 Workstation. Sin embargo, Microsoft ya no proporciona soporte técnico para esta versión, de acuerdo con la directiva Microsoft Lifecycle Support. Además, se debe tener en cuenta que esta revisión de seguridad no ha sido probada en Windows NT 4.0 Workstation. Para obtener información acerca de la directiva Microsoft Lifecycle Support, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle
Para obtener información adicional al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
152734 Cómo obtener el Service Pack más reciente de Windows NT 4.0
Información de instalación

Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /y: realizar la desinstalación (sólo con /m o /q).
  • /f: exigir el cierre de los programas al apagar el equipo.
  • /n: no crear una carpeta de desinstalación.
  • /z: no reiniciar al completar la actualización.
  • /q: utilizar el modo silencioso o desatendido sin interfaz de usuario (este modificador es un superconjunto de /m).
  • /m: utilizar el modo desatendido con interfaz de usuario.
  • /l: Mostrar hotfix instalados.
  • /x: extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha lanzado una herramienta que puede usar para examinar una red buscando la presencia de sistemas que no tienen instalada la revisión de seguridad. Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 Cómo utilizar la herramienta de análisis KB 824146 para identificar los equipos que no tienen instaladas las revisiones de seguridad 823980 (MS03-026) y 824146 (MS03-039)
También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo del equipo con la lista de archivos de la sección "Información de archivos" de este artículo o confirmando que existe la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Para obtener información adicional acerca de Microsoft Baseline Security Analyzer (MBSA), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 Ya está disponible la versión 1.1.1. de Microsoft Baseline Security Analyzer (MBSA)
Información de implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice el comando siguiente:
Q823980i /q
Para instalar la revisión de seguridad sin forzar el reinicio del equipo, utilice el comando siguiente:
Q823980i /z
Nota
Puede combinar estos modificadores en un único comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Requisito de reinicio

Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. El archivo de programa Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • /u: utilizar el modo desatendido.
  • /f: exigir el cierre de otros programas cuando se apaga el equipo.
  • /z: no reiniciar cuando se completa la instalación.
  • /q: utilizar el modo silencioso (sin intervención del usuario).
Información de sustitución de la revisión de seguridad

En los equipos con Windows NT 4.0, esta revisión de seguridad sustituye a la revisión de seguridad que se proporciona con el Boletín de seguridad de Microsoft MS01-048.

Esta revisión ha sido sustituida por la revisión 824146 (MS03-039). Para obtener más información acerca de la revisión de seguridad 824146 (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824146 MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados
Información sobre archivos

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows NT 4.0 Server:
   Fecha       Hora   Versión        Tamaño   Nombre de archivo
   --------------------------------------------------------------
   05-Jul-2003  05:26  4.0.1381.7224     701.200  Ole32.dll        
   05-Jul-2003  5:26  4.0.1381.7219     345.872  Rpcrt4.dll       
   05-Jul-2003  05:26  4.0.1381.7224     107.280  Rpcss.exe   
Windows NT 4.0 Server, Terminal Server Edition:
   Fecha       Hora   Versión        Tamaño   Nombre de archivo
   --------------------------------------------------------------
   07-Jul-2003  03:29  4.0.1381.33549    701.712  Ole32.dll        
   07-Jul-2003  03:29  4.0.1381.33474    345.360  Rpcrt4.dll       
   07-Jul-2003  03:29  4.0.1381.33549    109.328  Rpcss.exe   
Para comprobar que la revisión de seguridad ha sido instalada en su equipo, confirme que todos los archivos enumerados en la tabla están presentes en el equipo.

Solución

Aunque Microsoft pide a todos los clientes que apliquen la revisión de seguridad lo antes posible, entretanto hay varias maneras de evitar el problema que puede usar para prevenir el vector que se usa para explotar esta vulnerabilidad.

Estas soluciones son temporales. Sólo ayudan a bloquear las rutas por las que se produce el ataque. No corrigen la vulnerabilidad subyacente.

Las secciones siguientes proporcionan información que puede usar para ayudar a proteger el equipo contra los ataques. Cada sección describe las soluciones temporales que puede usar, dependiendo de la configuración del equipo y del nivel de funcionalidad que requiere.
  • Bloquear los puertos UDP 135, 137, 138 y 445, y los puertos TCP 135, 139, 445 y 593 del servidor de seguridad, y deshabilitar Servicios Internet COM (CIS) y RPC sobre HTTP, que escucha en los puertos 80 y 443, en las máquinas afectadas.Estos puertos se usan para iniciar una conexión RPC con un equipo remoto. Bloquear estos puertos en el servidor de seguridad ayudará a prevenir que los sistemas que están detrás del servidor sean atacados con intentos de explotar estas vulnerabilidades. También debería bloquear en la máquina remota cualquier puerto RPC específicamente configurado.

    Si están habilitados, CIS y RPC sobre HTTP permiten que las llamadas DCOM operen sobre los puertos TCP 80 (y el puerto 443 en Windows XP y Windows Server 2003). Compruebe que CIS y RPC sobre HTTP están deshabilitados en todas las máquinas afectadas. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825819 Cómo quitar los Servicios Internet COM (CIS) y el soporte de RPC sobre HTTP Proxy
    Para obtener información adicional acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
    Además, los clientes pueden tener configurados protocolos o servicios que usan RPC que también pueden ser accesibles desde Internet. Se solicita encarecidamente a los administradores del sistema que examinen los puertos RPC que están expuestos a Internet y que bloqueen estos puertos en su servidor de seguridad o apliquen la revisión inmediatamente.
  • Usar Servidor de seguridad de conexión a Internet y deshabilitar Servicios Internet COM (CIS) y RPC sobre HTTP, que escuchan en los puertos 80 y 443, en los equipos afectados. Si usa la característica Servidor de seguridad de conexión a Internet de Windows XP o Windows Server 2003 para ayudar a proteger la conexión a Internet, bloqueará de manera predeterminada el tráfico RPC que entra desde Internet. Compruebe que CIS y RPC sobre HTTP están deshabilitados en todas las máquinas afectadas. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825819 Cómo quitar los Servicios Internet COM (CIS) y el soporte de RPC sobre HTTP Proxy
    Para obtener información adicional acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Bloquear los puertos afectados utilizando un filtro IPSEC y deshabilitar Servicios Internet COM (CIS) y RPC sobre HTTP, que escucha en los puertos 80 y 443, en las máquinas afectadasPuede asegurar las comunicaciones de red en los equipos con Windows 2000 si usa Seguridad de protocolo Internet (IPSec). Para obtener información adicional acerca de IPSec y el modo de aplicar los filtros, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
    313190 CÓMO: Utilizar listas de filtros IP de IPSec en Windows 2000
    813878 Cómo bloquear determinados protocolos de red y puertos mediante IPSec
    Compruebe que CIS y RPC sobre HTTP están deshabilitados en todas las máquinas afectadas. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825819 Cómo quitar los Servicios Internet COM (CIS) y el soporte de RPC sobre HTTP Proxy
  • Deshabilite DCOM en todos los equipos afectados: cuando un equipo forma parte de una red, el protocolo alámbrico DCOM habilita los objetos COM en ese equipo para comunicar con los objetos COM de los otros equipos.

    Puede deshabilitar DCOM para un equipo particular para protegerse de esta vulnerabilidad, pero entonces deshabilita toda comunicación entre los objetos de ese equipo y los de los otros equipos. Si deshabilita DCOM en un equipo remoto, no tendrá acceso remoto a ese equipo para rehabilitar DCOM. Para rehabilitar DCOM, debe tener acceso físico a ese equipo. Para obtener información adicional acerca de cómo deshabilitar DCOM, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825750 Cómo deshabilitar la compatibilidad DCOM en Windows
    Nota
    Para Windows 2000, los métodos descritos en el artículo 825750 de Microsoft Knowledge Base para deshabilitar DCOM sólo funcionarán en los equipos que están ejecutando Windows 2000 Service Pack 3 o una versión posterior. Quienes usen Service Pack 2 o una versión anterior deberían actualizarse a un Service Pack posterior o usar algunas de las soluciones temporales.

Estado

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.

Más información

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-026-IT.asp
Para obtener información adicional acerca de cómo proteger RPC para los clientes y los servidores, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
Para obtener más información acerca de los puertos utilizados por RPC, visite el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true
Para obtener información adicional acerca del virus gusano Blaster que intenta aprovechar la vulnerabilidad que se corrige con esta revisión de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
826955 Alerta de virus acerca del gusano Blaster y sus variantes
Para obtener información adicional acerca del virus gusano Nachi que intenta aprovechar la vulnerabilidad que se corrige con esta revisión de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
826234 Alerta de virus acerca del gusano Nachi
Para obtener información adicional acerca de cómo obtener una revisión para Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173 El programa Datacenter y el producto Windows 2000 Datacenter Server

Propiedades

Id. de artículo: 823980 - Última revisión: viernes, 16 de febrero de 2007 - Versión: 18.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Palabras clave: 
kbhotfixserver atdownload kbwinxpsp2fix kbbug kbfix kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbwinserv2003presp1fix kbwinxppresp2fix kbwinnt400presp7fix KB823980

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com