Cómo evitar la vulnerabilidad de suplantación de caché de DNS en ISA Server 2000 y Proxy Server 2.0 descrita en el boletín de seguridad de Microsoft MS04-039

Seleccione idioma Seleccione idioma
Id. de artículo: 889189 - Ver los productos a los que se aplica este artículo

Importante: este artículo contiene información sobre cómo modificar el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si ocurre algún problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

Microsoft Internet Security and Acceleration (ISA) Server 2000 y Microsoft Proxy Server 2.0 se ven afectados por la vulnerabilidad de la seguridad que se describe en el boletín de seguridad MS04-039 de Microsoft. En esta situación se puede suplantar la caché de DNS en el Service Pack 1 (SP1) de ISA Server 2000, el Service Pack 2 (SP2) de ISA Server 2000 o el Service Pack 1 (SP1) de Proxy Server 2.0.

Esta vulnerabilidad se describe en el boletín de seguridad MS04-039 de Microsoft. El boletín de seguridad también contiene los vínculos para la descarga de las actualizaciones de seguridad que tratan este problema. Este artículo contiene las instrucciones que puede usar para proteger sus sistemas de este problema hasta que pueda instalar la actualización de seguridad.

Boletín de seguridad de Microsoft MS04-039

INTRODUCCIÓN

En este artículo se describe cómo evitar la vulnerabilidad de caché de DNS que se describe en el siguiente boletín de seguridad MS04-039 de Microsoft:
Boletín de seguridad de Microsoft MS04-039

Más información

Este boletín describe una vulnerabilidad con la que un usuario malintencionado podría suplantar contenido de confianza en Internet. En esa situación, los usuarios podrían creer que están visitando un sitio de Internet de confianza, cuando en realidad es un sitio que se ha creado con fines maliciosos. Para explotar esa vulnerabilidad, un atacante tendría que convencer primero a un usuario para que viera sus contenido malintencionado o para que hiciera clic en él.

Para resolver este problema, instale la actualización de seguridad que se describe en el boletín de seguridad MS04-039 de Microsoft.
Boletín de seguridad de Microsoft MS04-039


Como solución alternativa para este problema, utilice uno de los métodos siguientes.

Con Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition instalado en una matriz

Advertencia Si utiliza el complemento ADSI Edit, la utilidad LDP o cualquier otro cliente de LDAP versión 3, y modifica los atributos de los objetos de Active Directory incorrectamente, puede provocar problemas graves. Debido a estos problemas, puede ser necesario reinstalar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 o Windows y Exchange (ambos). Microsoft no garantiza que los problemas derivados de la modificación incorrecta de los atributos de los objetos de Active Directory puedan resolverse. Modifique estos atributos bajo su responsabilidad.

Para evitar este problema para el Service Pack 1 (SP1) de ISA Server 2000 o el Service Pack 2 (SP2) de ISA Server 2000 en una matriz de empresa, siga estos pasos:
  1. Inicie la herramienta LDP. Para ello, haga clic en Inicio, en Ejecutar, escriba ldp.exe y, a continuación, haga clic en Aceptar.

    Nota: Ldp.exe se incluye con las Herramientas de soporte técnico de Microsoft Windows. Para instalar las Herramientas de soporte técnico de Windows en Windows 2000, haga doble clic en Setup.exe en la carpeta Support\Tools del CD de Windows 2000. Para instalar las Herramientas de soporte técnico de Windows en Windows Server 2003, haga doble clic en Supptools.msi en la carpeta Support\Tools del CD de Windows Server 2003.
  2. Conecte con el servicio de directorio Active Directory. Para ello, siga estos pasos:
    1. En el menú Conexión, haga clic en Conectar, deje vacíos el cuadro Servidor y haga clic en Aceptar.
    2. En el menú Conexión, haga clic en Enlazar.
    3. En el cuadro Usuario, escriba el nombre de una cuenta de usuario con acceso de escritura a los objetos de ISA Server en Active Directory. Normalmente es una cuenta de administrador de dominio.
    4. En el cuadro Contraseña, escriba la contraseña que corresponde a una cuenta de usuario con acceso de escritura a los objetos de ISA Server en Active Directory.
    5. En el cuadro Dominio, escriba el dominio en el que está ubicado el equipo con ISA Server y haga clic en Aceptar.
    6. En el panel de la derecha, compruebe que aparece el mensaje siguiente:
      Authenticated as dn:'nombreDeUsuario'.


      Nota: si este mensaje no aparece, no está autenticado. No podrá continuar hasta que se haya autenticado correctamente en Active Directory.
  3. Obtenga acceso al árbol de Active Directory. Para ello, siga estos pasos:
    1. En el menú Ver, haga clic en Árbol y, después, en Aceptar.
    2. En el panel izquierdo, expanda DC=ejemplo,DC=com, donde ejemplo.com es el nombre de su dominio.
    3. Haga doble clic en CN=System,DC=ejemplo,DC=com para expandir este objeto.
    4. Haga doble clic en CN=Fpc,CN=System,DCejemplo,DC=com para expandir este objeto.
    5. Haga doble clic en CN=Arrays,CN=Fpc,CN=System,DC=ejemplo,DC=com para expandir este objeto.
  4. Obtenga acceso a cada objeto de directiva de matriz. Para ello, siga estos pasos:
    1. En cada objeto de matriz, haga doble clic en CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=ejemplo,DC=com para expandir este objeto.

      Reemplace ArrayGUID con un GUID que aparezca bajo el objeto Matrices. Este GUID es similar al siguiente:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Haga doble clic en CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=ejemplo,DC=com para expandir este objeto.
  5. Modificar el tamaño de la caché DNS del Servicio de firewall. Para ello, siga estos pasos:
    1. En CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=ejemplo,DC=com, haga clic con el botón secundario del mouse (ratón) en CN=Proxy-WSP,CN=ArrayPolicy,CN=ArrayGUID,CN=Arrays,CN=Fpc,CN=System,DC=ejemplo,DC=com y, a continuación, haga clic en Modificar.
    2. Deje el valor predeterminado en el cuadro Dn, escriba msFPCDnsCacheSize en el cuadro Atributo y escriba 0 (cero) en el cuadro Valores.
    3. En Operación, haga clic en Reemplazar, haga clic en Introducir y, a continuación, haga clic en Ejecutar.
    Si la operación se realiza correctamente, aparece en el panel derecha una información similar a la siguiente:
    ***Call Modify...
    	ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=example,DC=com',[1] attrs);
    	Modified 
  6. Modificar el tamaño de la caché DNS del Servicio Web Proxy. Para ello, siga las instrucciones del paso 5. Sin embargo, en este paso sustituya todas las instancias de CN=Proxy-WSP por CN=WebProxy.
  7. Siga los pasos 4 a 6 para modificar el tamaño de la caché DNS del Servicio firewall y del Servicio Web Proxy en cada uno de los objetos CN=ArrayGUID que aparecen bajo el objeto CN=Arrays.
  8. Cierre LDP.
  9. Reinicie los servicios ISA Server en su empresa. Para ello, siga estos pasos:
    1. Inicie la herramienta Administración de ISA. Para ello, haga clic en Inicio, seleccione Programas, seleccione Microsoft ISA Server y, a continuación, haga clic en Administración de ISA.
    2. Expanda Servidores y matrices, expanda la matriz, expanda Supervisión y haga clic en Servicios.
    3. Haga clic con el botón secundario del mouse en un servicio Web Proxy de ISA Server y, después, haga clic en Detener.
    4. Cuando el servicio se haya detenido correctamente, haga clic con el botón secundario del mouse en ese mismo servicio y haga clic en Iniciar.
    5. Haga clic con el botón secundario del mouse en un servicio Firewall de ISA Server y, después, haga clic en Detener.
    6. Cuando el servicio se haya detenido correctamente, haga clic con el botón secundario del mouse en ese mismo servicio y haga clic en Iniciar.
    7. Siga los pasos c a f para reiniciar los servicios de todos los servidores ISA de su matriz.
    8. Siga los pasos b a g para reiniciar los servicios de todos los servidores ISA de las otras matrices.
  10. Cierre el complemento Microsoft Management Console (MMC) de Administración de ISA.

Para Microsoft Internet Security and Acceleration Server 2000 Standard Edition o ISA Server 2000 Enterprise Edition en modo independiente

Advertencia: la utilización incorrecta del Editor del Registro puede provocar problemas graves que hagan necesario volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para evitar este problema en un equipo que ejecuta el SP1 de ISA Server 2000 Standard Edition o el SP2 de ISA Server 2000 Standard Edition, siga estos pasos:
  1. Inicie el Editor del Registro. Para ello, haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<ArrayGUID>\ArrayPolicy
    Reemplace ArrayGUID por el GUID que aparece bajo la subclave Arrays del Registro. Este GUID es similar al siguiente:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Cambie a cero el valor del tamaño de la caché DNS del Servicio Web Proxy. Para ello, siga estos pasos:
    1. Bajo ArrayPolicy, haga clic en WebProxy.
    2. En el panel derecho, haga clic con el botón secundario del mouse en msFPCDnsCacheSize y, a continuación, haga clic en Modificar.
    3. En el cuadro Información del valor, escriba 0 (cero) y, después, haga clic en Aceptar.
  4. Cambie a cero el valor del tamaño de la caché DNS del Servicio firewall. Para ello, siga estos pasos:
    1. Bajo ArrayPolicy, haga clic en Proxy-WSP.
    2. En el panel derecho, haga clic con el botón secundario del mouse en msFPCDnsCacheSize y, a continuación, haga clic en Modificar.
    3. En el cuadro Información del valor, escriba 0 (cero) y, después, haga clic en Aceptar.
  5. Salga del Editor del Registro.
  6. Inicie la herramienta Administración de ISA. Para ello, haga clic en Inicio, seleccione Programas, seleccione Microsoft ISA Server y, a continuación, haga clic en Administración de ISA.
  7. Expanda Servidores y matrices, expanda su servidor, expanda Supervisión y haga clic en Servicios.
  8. En el menú Ver, haga clic en Avanzadas.
  9. Haga clic con el botón secundario del mouse (ratón) en el Servicio Web Proxy y, a continuación, haga clic en Detener.
  10. Cuando el servicio se haya detenido correctamente, haga clic con el botón secundario del mouse en ese mismo servicio y haga clic en Iniciar.
  11. Haga clic con el botón secundario del mouse (ratón) en el Servicio firewall y, a continuación, haga clic en Detener.
  12. Cuando el servicio se haya detenido correctamente, haga clic con el botón secundario del mouse en ese mismo servicio y haga clic en Iniciar.

Para Microsoft Proxy Server 2.0

Advertencia: la utilización incorrecta del Editor del Registro puede provocar problemas graves que hagan necesario volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para evitar este problema en un equipo que ejecuta el Service Pack 1 (SP1) de Microsoft Proxy Server 2.0, siga estos pasos:
  1. Inicie el Editor del Registro. Para ello, haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Cambie a cero el valor del tamaño de la caché DNS del Servicio Web Proxy. Para ello, siga estos pasos:
    1. En el panel derecho, haga clic con el botón secundario del mouse en DnsCacheSize y, a continuación, haga clic en Modificar.
    2. En el cuadro Información del valor, escriba 0 (cero) y, después, haga clic en Aceptar.
  4. Salga del Editor del Registro.
  5. Inicie la herramienta Administración de Proxy. Para ello, haga clic en Inicio, seleccione Programas, seleccione Microsoft Proxy Server y, a continuación, haga clic en Microsoft Management Console.
  6. Expanda el nodo del equipo que está ejecutando Proxy Server 2.0 SP1.
  7. Haga clic en Winsock proxy y, después, haga clic en Detener en el menú Acción.
  8. Cuando el servicio se haya detenido correctamente, haga clic en Inicio en el menú Acción.
  9. Haga clic en Web proxy y, después, haga clic en Detener en el menú Acción.
  10. Cuando el servicio se haya detenido correctamente, haga clic en Inicio en el menú Acción.
Nota: hay un archivo de comandos para automatizar los pasos que se describen en este artículo. Este archivo de comandos se ha diseñado para ISA Server 2000 y Proxy Server 2.0. Microsoft Internet Security and Acceleration (ISA) Server 2004 no se ve afectado por esta vulnerabilidad y por eso el archivo de comandos no se ha diseñado para que se ejecute en ISA Server 2004. Para obtener este archivo de comandos, visite el siguiente sitio Web:
http://isatools.org
Para eliminar la caché de proxy Web de ISA Server 2000 , use la herramienta Clrcache.cmd. Para obtener esta herramienta, visite el siguiente sitio Web:
http://isatools.org
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.

Para obtener información adicional acerca de cómo eliminar la caché de proxy Web de ISA Server 2.0 haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
811086 Cómo eliminar la memoria caché en Microsoft Proxy Server 2.0


Para obtener información adicional acerca del ciclo de vida de soporte técnico del producto en Proxy Server 2.0, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Propiedades

Id. de artículo: 889189 - Última revisión: lunes, 3 de diciembre de 2007 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Palabras clave: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com