MS03-039: Un desbordamiento del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados

Llamada a procedimiento remoto (RPC) es un protocolo que utiliza Windows. RPC proporciona un mecanismo de comunicación entre procesos que permite que un programa que se está ejecutando en un equipo tenga acceso a los servicios de otro equipo. El protocolo deriva del protocolo RPC de Open Software Foundation (OSF), pero incluye algunas extensiones específicas de Microsoft.

En las funciones del servicio RPC de Windows (RPCSS) que están relacionadas con los mensajes de RPC para la activación de DCOM se han identificado tres vulnerabilidades. Dos de ellas podrían permitir a un atacante la ejecución arbitraria de código, mientras que la otra podría permitir ataques por denegación de servicio. Estos errores se producen por causa del tratamiento incorrecto de los mensajes mal formados. Las vulnerabilidades afectan a la interfaz DCOM (Modelo de objetos componentes distribuido) en RPCSS. Esta interfaz maneja las solicitudes de activación de objetos DCOM que los equipos cliente envían al servidor.

Si un atacante logra aprovechar estas vulnerabilidades, podría ejecutar código con derechos de la cuenta local del sistema en el equipo afectado, o podría lograr que RPCSS dejase de funcionar. Después, el atacante podría realizar cualquier acción en el equipo, como instalar programas, ver, cambiar o eliminar datos, o crear cuentas nuevas con todos los derechos.

Para aprovechar estas vulnerabilidades, un atacante podría crear un programa que enviase un mensaje RPC malformado dirigido a RPCSS en un servidor vulnerable.

Factores atenuantes

• La aplicación de las prácticas recomendadas respecto a los servidores de seguridad y la utilización de, como mínimo, las configuraciones predeterminadas estándar de los mismos, pueden proteger las redes internas ante ataques remotos con origen fuera del perímetro empresarial. Las prácticas recomendadas consisten en bloquear todos los puertos que no se estén utilizando realmente. Por tanto, la mayoría de los equipos conectados a Internet tendrán al menos alguno de sus puertos expuestos al riesgo de un ataque. Para obtener más información acerca de los puertos utilizados por RPC, visite el siguiente sitio Web de Microsoft:
  http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true

  (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true)

Nota
Microsoft ha realizado pruebas en Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP y Windows Server 2003 para comprobar si las vulnerabilidades afectan a estos productos. Microsoft Windows Millennium Edition (Me) no incluye las características asociadas con estas vulnerabilidades. Las versiones anteriores de Windows ya no reciben soporte técnico, y pueden o no verse afectadas por estas vulnerabilidades. Para obtener información acerca de la duración del soporte técnico de Microsoft, visite el siguiente sitio Web de Microsoft: Nota
Las características asociadas con estas vulnerabilidades no están incluidas en los siguientes productos, incluso aunque esté instalado DCOM: Microsoft Windows 95, Microsoft Windows 98 y Microsoft Windows 98 Segunda edición.

Información de la revisión de seguridad

Para obtener más información acerca de cómo resolver esta vulnerabilidad, haga clic en el vínculo apropiado:

• Windows Server 2003 (todas las versiones)
• Windows XP (todas las versiones)
• Windows 2000 (todas las versiones)
• Windows NT 4.0 (todas las versiones)

Windows Server 2003 (todas las versiones)

Información de descarga

Los archivos siguientes se pueden descargar desde el Centro de descarga de Microsoft:

Windows Server 2003, Enterprise Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Web Edition; y Windows Server 2003, Datacenter Edition Windows Server 2003, 64-Bit Enterprise Edition y Windows Server 2003, 64-Bit Datacenter Edition Fecha de aparición: 10 de septiembre de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Esta revisión de seguridad requiere la versión comercial de Windows Server 2003.

Información de la instalación

Esta revisión de seguridad admite los siguientes modificadores para la instalación:

• /?: mostrar la lista de modificadores de instalación.
• /u: utilizar el modo desatendido.
• /f: exigir el cierre de otros programas cuando se apaga el equipo.
• /n: no hacer copia de seguridad de los archivos para la desinstalación.
• /o: sobrescribir los archivos OEM sin pedir confirmación.
• /z: no reiniciar cuando finaliza la instalación.
• /q: utilizar el modo silencioso (sin intervención del usuario).
• /l: mostrar las revisiones instaladas.
• /x: extraer los archivos sin ejecutar el programa de instalación.

Para comprobar si la revisión de seguridad está instalada en un equipo, utilice la herramienta de análisis KB 824146 (KB824146scan.exe) o la herramienta Microsoft Baseline Security Analyzer (MBSA). Para obtener información adicional acerca de la herramienta KB824146scan.exe, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de MBSA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Nota
Si en su entorno se usan las versiones RTMQFE de los archivos de esta revisión de seguridad, entonces MBSA Versión 1.1.1 informa incorrectamente que 824146 no está instalado.

También podrá comprobar si la revisión está instalada verificando la existencia de las siguientes claves del Registro:

Información de la implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice la siguiente línea de comandos: Para instalar la revisión sin forzar al equipo a que se reinicie, utilice la siguiente línea de comandos: Nota
Puede combinar estos modificadores en un mismo comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Microsoft Software Update Services, visite el siguiente sitio Web de Microsoft:

Requisito de reinicio

Debe reiniciar el equipo una vez aplicada esta revisión de seguridad.

Información de la desinstalación

Para quitar esta actualización, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La herramienta Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB824146$\Spuninst y admite los siguientes modificadores de instalación:

• /?: mostrar la lista de modificadores de instalación.
• /u: utilizar el modo desatendido.
• /f: exigir el cierre de otros programas cuando se apaga el equipo.
• /z: no reiniciar cuando finaliza la instalación.
• /q: utilizar el modo silencioso (sin intervención del usuario).

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad sustituye a la revisión MS03-026 (823980). Para obtener información adicional acerca de MS03-026 (823980), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información sobre archivos

La versión en inglés de esta revisión tiene los atributos de archivo mostrados en la tabla siguiente u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows Server 2003, Enterprise Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Web Edition; y Windows Server 2003, Datacenter Edition:

Windows Server 2003, Enterprise Edition de 64 bits y Windows Server 2003, Datacenter Edition de 64 bits:

Nota
Cuando instala esta revisión de seguridad en un equipo basado en Windows Server 2003 o en Windows XP 64-Bit Edition versión 2003, el programa de instalación comprueba si alguno de los archivos que se están actualizando en el equipo habían sido actualizados anteriormente por un hotfix de Microsoft. Si instaló anteriormente un hotfix para actualizar uno de estos archivos, el programa de instalación copia en el equipo los archivos de RTMQFE. En caso contrario, el programa de instalación copiará los archivos RTMGDR en el equipo. Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: También podrá comprobar los archivos instalados por esta revisión de seguridad si examina la siguiente clave del Registro: Nota
Es posible que la clave del Registro no se cree correctamente cuando un administrador o un OEM integra o incluye la revisión de seguridad 824146 en los archivos de origen de la instalación de Windows.

Windows XP (todas las versiones)

Información de descarga

Los archivos siguientes se pueden descargar desde el Centro de descarga de Microsoft:

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition y Windows XP Media Center Edition Windows XP 64-Bit Edition Versión 2002Windows XP 64-Bit Edition Versión 2003Nota
Esta revisión de seguridad es la misma para Windows XP 64-Bit Edition, Versión 2003, que para las versiones de 64 bits de Windows Server 2003. Fecha de aparición: 10 de septiembre de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Esta revisión de seguridad requiere la versión comercial de Windows XP o el Service Pack 1 (SP1) de Windows XP. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de instalación

Esta revisión de seguridad admite los modificadores de instalación siguientes:

• /?: mostrar la lista de modificadores de instalación.
• /u: utilizar el modo desatendido.
• /f: exigir el cierre de otros programas cuando se apaga el equipo.
• /n: no hacer copia de seguridad de los archivos para la desinstalación.
• /o: sobrescribir los archivos OEM sin pedir confirmación.
• /z: no reiniciar cuando finaliza la instalación.
• /q: utilizar el modo silencioso (sin intervención del usuario).
• /l: mostrar las revisiones instaladas.
• /x: extraer los archivos sin ejecutar el programa de instalación.

Para comprobar si la revisión de seguridad está instalada en un equipo, utilice la herramienta de análisis KB 824146 (KB824146scan.exe) o la herramienta Microsoft Baseline Security Analyzer (MBSA). Para obtener información adicional acerca de la herramienta KB824146scan.exe, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de MBSA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Nota
si en un equipo que está ejecutando Windows XP 64-Bit Edition, Versión 2003, se usan las versiones RTMQFE de los archivos de esta revisión de seguridad, entonces MBSA Versión 1.1.1 informa incorrectamente que 824146 no está instalado.

También podrá comprobar si la revisión está instalada en el equipo verificando la existencia de las siguientes claves del Registro:

Windows XP Windows XP con el Service Pack 1 (SP1) Windows XP 64-Bit Edition Versión 2003

Información de la implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice la línea de comandos siguiente: Para instalar la revisión sin forzar al equipo a que se reinicie, utilice la siguiente línea de comandos: Nota
Puede combinar estos modificadores en un mismo comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:

Requisito de reinicio

Debe reiniciar el equipo una vez aplicada esta revisión de seguridad.

Información de la desinstalación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La herramienta Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB824146$\Spuninst y admite los siguientes modificadores de instalación:

• /?: mostrar la lista de modificadores de instalación.
• /u: utilizar el modo desatendido.
• /f: exigir el cierre de otros programas cuando se apaga el equipo.
• /z: no reiniciar cuando finaliza la instalación.
• /q: utilizar el modo silencioso (sin intervención del usuario).

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad sustituye a la revisión MS03-026 (823980). Para obtener información adicional acerca de MS03-026 (823980), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de archivos

La versión en inglés de esta revisión tiene los atributos de archivo mostrados en la siguiente tabla (u otros posteriores). Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition y Windows XP Media Center Edition:

Windows XP 64-Bit Edition versión 2002:

Windows XP 64-Bit Edition versión 2003:

Notas

• Cuando instala la revisión de seguridad para Windows XP 64-Bit Edition versión 2003, el programa de instalación comprueba si alguno de los archivos que están siendo actualizados en el equipo habían sido actualizados anteriormente por un hotfix de Microsoft. Si instaló anteriormente un hotfix para actualizar uno de estos archivos, el programa de instalación copia en el equipo los archivos de RTMQFE. En caso contrario, el programa de instalación copiará los archivos RTMGDR en el equipo. Para obtener más información al respecto, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  824994

  (http://support.microsoft.com/kb/824994/ )

  Descripción del contenido de los paquetes de actualización de software de Windows Server 2003 y del Service Pack 2 de Windows XP
• Las versiones de esta revisión de seguridad de Windows XP 64-Bit y Windows XP 64-Bit Edition versión 2002 se empaquetan como paquetes de modo dual. Los paquetes de modo dual contienen tanto los archivos correspondientes a la versión original de Windows XP como los correspondientes a Windows XP Service Pack 1 (SP1). Para obtener información adicional acerca de los paquetes de modo dual, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  328848

  (http://support.microsoft.com/kb/328848/ )

  Descripción de los paquetes de actualización de modo dual para Windows XP

También podrá comprobar los archivos instalados por esta revisión de seguridad si examina las siguientes claves del Registro:

Para el SP1 de Windows XP Home Edition; SP1 de Windows XP Professional; SP1 de Windows XP 64-Bit Edition, Versión 2002; Windows XP Tablet PC Edition; Windows XP Media Center Edition:Para Windows XP Home Edition; Windows XP Professional; Windows XP 64-Bit Edition, Versión 2002:Para Windows XP 64-Bit Edition, Versión 2003:Nota
Esta clave del registro no se puede crear correctamente cuando un administrador o un OEM integra o incluye la revisión de seguridad 824146 en los archivos de origen de la instalación de Windows.
Para resolver este problema, instale el Paquete 1 de continuación de las actualizaciones para el Service Pack 4 de Windows 2000. Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Windows 2000

Información de descarga

El siguiente archivo se puede descargar desde el Centro de descarga de Microsoft:

Fecha de aparición: 10 de septiembre de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Para Windows 2000 Datacenter Server, esta revisión de seguridad requiere el Service Pack 3 (SP3) de Windows 2000. Para otras versiones de Windows 2000, esta revisión de seguridad requiere el Service Pack 2 (SP2), Service Pack 3 (SP3) o Service Pack 4 (SP4).

Nota
Como indicamos anteriormente, el ciclo de vida de soporte técnico del Service Pack 2 de Windows 2000 ha finalizado, por lo que Microsoft no suele proporcionar ya revisiones de seguridad para este producto. Sin embargo, debido a la naturaleza de esta vulnerabilidad, a que el ciclo finalizó recientemente y a que muchos clientes aún utilizan Windows 2000 Service Pack 2, Microsoft ha decidido considerar esta vulnerabilidad como un caso excepcional.

Es probable que Microsoft no repita esta actuación con otras vulnerabilidades, pero se reserva el derecho a producir y a poner a disposición de los usuarios otras revisiones de seguridad cuando lo considere necesario. Microsoft recomienda a los clientes que aún utilicen equipos basados en Windows 2000 Service Pack 2 que los actualicen a una versión de Windows para la que aún proporcione soporte técnico, a fin de evitar la exposición a posibles vulnerabilidades en el futuro. Para obtener más información acerca del ciclo de vida de los productos de escritorio Windows, visite el siguiente sitio Web de Microsoft: Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de la instalación

Esta revisión de seguridad admite los siguientes modificadores de instalación:

• /?: mostrar la lista de modificadores de instalación.
• /u: utilizar el modo desatendido.
• /f: exigir el cierre de otros programas cuando se apaga el equipo.
• /n: no hacer copia de seguridad de los archivos para la desinstalación.
• /o: sobrescribir los archivos OEM sin pedir confirmación.
• /z: no reiniciar cuando finaliza la instalación.
• /q: utilizar el modo silencioso (sin intervención del usuario).
• /l: mostrar las revisiones instaladas.
• /x: extraer los archivos sin ejecutar el programa de instalación.

Para comprobar si la revisión de seguridad está instalada en un equipo, utilice la herramienta de análisis de KB 824146 (KB824146scan.exe) o la herramienta Microsoft Baseline Security Analyzer (MBSA). Para obtener información adicional acerca de la herramienta KB824146scan.exe, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de MBSA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: También podrá comprobar si la revisión de seguridad está instalada en el equipo verificando la existencia de la siguiente clave del Registro:

Información de la implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice la siguiente línea de comandos: Para instalar la revisión sin forzar al equipo a que se reinicie, utilice la siguiente línea de comandos: Nota
Puede combinar estos modificadores en un mismo comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:

Requisito de reinicio

Debe reiniciar el equipo una vez aplicada esta revisión de seguridad.

Información de la desinstalación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores del sistema pueden usar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La herramienta Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB824146$\Spuninst y admite los siguientes modificadores para la instalación:

• /?: mostrar la lista de modificadores de instalación.
• /u: utilizar el modo desatendido.
• /f: exigir el cierre de otros programas cuando se apaga el equipo.
• /z: no reiniciar cuando finaliza la instalación.
• /q: utilizar el modo silencioso (sin intervención del usuario).

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad sustituye a la revisión MS03-026 (823980). Para obtener información adicional acerca de MS03-026 (823980), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de archivos

La versión en inglés de esta revisión tiene los atributos de archivo mostrados en la siguiente tabla (u otros posteriores). Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

También podrá comprobar los archivos instalados por esta revisión de seguridad si examina la siguiente clave del Registro: Nota
Esta clave del Registro no se puede crear correctamente cuando un administrador o un OEM integra o incluye la revisión de seguridad 824146 en los archivos de origen de la instalación de Windows.

Windows NT 4.0 (todas las versiones)

Información de descarga

Los archivos siguientes se pueden descargar desde el Centro de descarga de Microsoft:

Windows NT Workstation 4.0 Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Fecha de aparición: 10 de septiembre de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Esta revisión de seguridad requiere el Service Pack 6a (SP6a) de Windows NT Server 4.0, el Service Pack 6a (SP6a) de Windows NT Workstation 4.0 o el Service Pack 6 (SP6) de Windows NT Server 4.0, Terminal Server Edition.

Nota
Como indicamos anteriormente, el ciclo de vida de soporte técnico de Windows NT Workstation 4.0 ha finalizado, por lo que Microsoft no suele proporcionar ya revisiones de seguridad para este producto. Sin embargo, debido a la naturaleza de esta vulnerabilidad, a que el ciclo finalizó recientemente y a que muchos clientes aún utilizan Windows NT Workstation 4.0, Microsoft ha decidido considerar esta vulnerabilidad como un caso excepcional.

Es probable que Microsoft no repita esta actuación con otras vulnerabilidades, pero se reserva el derecho a producir y a poner a disposición de los usuarios otras revisiones de seguridad cuando lo considere necesario. Microsoft recomienda a los clientes que aún utilicen equipos basados en Windows NT Workstation 4.0 que los actualicen a una versión de Windows para la que aún proporcione soporte técnico, a fin de evitar la exposición a posibles vulnerabilidades en el futuro. Para obtener más información acerca del ciclo de vida de los productos de escritorio Windows, visite el siguiente sitio Web de Microsoft: Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de la instalación

Esta revisión de seguridad admite los siguientes modificadores para la instalación:

• /y: realizar la desinstalación (sólo con /m o /q).
• /f: forzar a los programas a cerrarse durante el proceso de apagado.
• /n: no crear una carpeta de desinstalación.
• /z: no se reinicia al completar la actualización.
• /q: utilizar el modo silencioso o desatendido sin interfaz de usuario (este modificador es un superconjunto de /m).
• /m: usar el modo desatendido con una interfaz de usuario.
• /l: mostrar las revisiones instaladas.
• /x: extraer los archivos sin ejecutar el programa de instalación.

Para comprobar si la revisión de seguridad está instalada en un equipo, utilice la herramienta de análisis de KB 824146 (KB824146scan.exe) o la herramienta Microsoft Baseline Security Analyzer (MBSA). Para obtener información adicional acerca de la herramienta KB824146scan.exe, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: Para obtener más información acerca de MBSA, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base: También podrá comprobar si la revisión de seguridad está instalada en el equipo verificando la existencia de la siguiente clave del Registro:

Información de la implementación

Para instalar la revisión de seguridad sin la intervención del usuario, utilice la siguiente línea de comandos: Para instalar la revisión sin forzar al equipo a que se reinicie, utilice la siguiente línea de comandos: Nota
Puede combinar estos modificadores en un mismo comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:

Requisito de reinicio

Debe reiniciar el equipo una vez aplicada esta revisión de seguridad.

Información de la desinstalación

Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas del Panel de control.

Los administradores de sistema pueden usar la utilidad Hotfix.exe para quitar esta revisión de seguridad. El archivo Hotfix.exe se ubica en la carpeta %Windir%\$NTUninstallKB824146$. La utilidad admite los siguientes modificadores para la instalación:

• /y: realizar la desinstalación (sólo con el modificador /m o /q).
• /f: forzar a los programas a cerrarse durante el proceso de apagado.
• /n: no crear una carpeta de desinstalación.
• /z: no reiniciar cuando se completa la instalación.
• /q: usar el modo silencioso o desatendido sin interfaz de usuario (este modificador es un superconjunto del modificador /m).
• /m: usar el modo desatendido con una interfaz de usuario.
• /l: mostrar las revisiones instaladas.

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad sustituye a la revisión MS03-026 (823980). Para obtener información adicional acerca de MS03-026 (823980), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Información de archivos

La versión en inglés de esta revisión tiene los atributos de archivo mostrados en la siguiente tabla (u otros posteriores). Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Windows NT Server 4.0:

Windows NT Server 4.0, Terminal Server Edition:

Windows NT Workstation 4.0:

También podrá comprobar los archivos instalados por esta revisión de seguridad si examina la siguiente clave del Registro: Nota
Es posible que la clave del Registro no se cree correctamente cuando un administrador o un OEM integra o incluye la revisión de seguridad 824146 en los archivos de origen de la instalación de Windows.

Aunque Microsoft pide a todos los clientes que apliquen la revisión de seguridad lo antes posible, entretanto hay algunas maneras de evitar el problema que puede usar para prevenir el vector que se usa para explotar esta vulnerabilidad. No es posible garantizar que estos métodos para evitar la vulnerabilidad bloqueen todos los posibles ataques al vector.

Nota
Estas soluciones son temporales porque sólo ayudan a bloquear las formas de ataque, y en realidad no corrigen la vulnerabilidad subyacente.

• Bloquear en el servidor de seguridad los puertos UDP 135, 137, 138y 445, y los puertos TCP 135, 139, 445 y 593. Deshabilitar también los Servicios Internet COM (CIS) y RPC sobre HTTP. CIS y RPC sobre HTTP escuchan en los puertos 80 y 443 en los equipos afectados por esta vulnerabilidad.
  
  Estos puertos se utilizan para iniciar una conexión RPC con un equipo remoto. Bloquear estos puertos en el servidor de seguridad ayuda a prevenir que los equipos que están detrás del servidor de seguridad sean atacados con intentos de explotar esta vulnerabilidad. También debería bloquear en el equipo remoto remota cualquier puerto específicamente configurado para RPC.
  
  Si están habilitados, CIS y RPC sobre HTTP permiten que las llamadas DCOM operen sobre los puertos TCP 80 (y el puerto 443 en Windows XP y Windows Server 2003). Asegúrese de que CIS y RPC sobre HTTP estén deshabilitados en todos los equipos afectados. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  825819

  (http://support.microsoft.com/kb/825819/ )

  Cómo quitar los Servicios Internet COM (CIS) y el soporte de RPC sobre HTTP Proxy
  Para obtener más información acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp

  (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Utilizar Servidor de seguridad de conexión a Internet (ICF) y deshabilitar los Servicios Internet COM (CIS) y RPC sobre HTTP. CIS y RPC sobre HTTP escuchan en los puertos 80 y 443 en los equipos afectados por esta vulnerabilidad.
  
  Si usa ICF en Windows XP o Windows Server 2003 para ayudar a proteger la conexión a Internet, ICF bloqueará de manera predeterminada el tráfico RPC que entra desde Internet.
  
  Nota
  ICF está disponible en Windows XP, en Windows Server 2003, Standard Edition y en Windows Server 2003, Enterprise Edition. Servidor de seguridad básico es un componente de Enrutamiento y acceso remoto que puede habilitar para cualquier interfaz pública en cualquier equipo que ejecute Enrutamiento y acceso remoto y que además sea miembro de la familia Windows Server 2003.
  
  Asegúrese de que CIS y RPC sobre HTTP estén deshabilitados en todos los equipos afectados. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  825819

  (http://support.microsoft.com/kb/825819/ )

  Cómo quitar los Servicios Internet COM (CIS) y el soporte de RPC sobre HTTP Proxy
  Para obtener más información acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp

  (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Utilice un filtro IPSec (Seguridad de Protocolo de Internet) para bloquear los puertos afectados y deshabilite Servicios de Internet COM (CIS) y RPC sobre HTTP. CIS y RPC sobre HTTP escuchan en los puertos 80 y 443 en los equipos afectados por esta vulnerabilidad.
  
  Puede ayudar a mejorar la seguridad de las comunicaciones de red en equipos basados en Windows 2000 si utiliza IPSec. Para obtener información adicional acerca de IPSec y cómo utilizar las listas de filtros IP en Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
  313190

  (http://support.microsoft.com/kb/313190/ )

  Cómo utilizar listas de filtros IP de IPSec en Windows 2000
  813878

  (http://support.microsoft.com/kb/813878/ )

  Cómo bloquear determinados protocolos de red y puertos mediante IPSec
  Asegúrese de que CIS y RPC sobre HTTP estén deshabilitados en todos los equipos afectados. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  825819

  (http://support.microsoft.com/kb/825819/ )

  Cómo quitar los Servicios Internet COM (CIS) y el soporte de RPC sobre HTTP Proxy
  Para obtener más información acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp

  (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Deshabilite DCOM en todos los equipos afectados. Cuando un equipo forma parte de una red, el protocolo alámbrico DCOM permite que los objetos COM de ese equipo se comuniquen con los objetos COM de los otros equipos.
  
  Puede deshabilitar DCOM para un equipo determinado para protegerse de esta vulnerabilidad, pero entonces deshabilita toda comunicación entre los objetos de ese equipo y los de los otros equipos. Si deshabilita DCOM en un equipo remoto, no tendrá acceso remoto a ese equipo para rehabilitar DCOM de nuevo. Para rehabilitar DCOM debe tener acceso físico a ese equipo. Para obtener información adicional acerca de cómo deshabilitar DCOM, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  825750

  (http://support.microsoft.com/kb/825750/ )

  Cómo deshabilitar la compatibilidad DCOM en Windows
  Nota
  Para Windows 2000, los métodos descritos en el artículo 825750 de Microsoft Knowledge Base sólo funcionarán en los equipos que están ejecutando Windows 2000 Service Pack 3 o una versión posterior. Quienes usen Service Pack 2 o una versión anterior deberían actualizarse a un Service Pack posterior u otra solución temporal.

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo. Este problema se corrigió por primera vez en el Service Pack 4 de Windows 2000.

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft: Para obtener más información acerca de cómo facilitar la protección de RPC en equipos cliente y servidor, visite el siguiente sitio Web de Microsoft: Para obtener más información acerca de los puertos usados por RPC, visite el siguiente sitio Web de Microsoft: