Cómo protegerse contra un problema de seguridad relacionado con WINS


INTRODUCCIÓN


Microsoft está investigando informes sobre un problema de seguridad relacionado con el Servicio de nombres Internet de Microsoft Windows (WINS). Este problema de seguridad afecta a Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server y Microsoft Windows Server 2003. Microsoft Windows 2000 Professional, Microsoft Windows XP o Microsoft Windows Millennium Edition no resultan afectados por esta vulnerabilidad.

Más información


De manera predeterminada, WINS no se instala en Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003. De manera predeterminada, WINS se instala y se ejecuta en Microsoft Small Business Server 2000 y Microsoft Windows Small Business Server 2003. De manera predeterminada, en todas las versiones de Microsoft Small Business Server, los puertos de comunicación del componente WINS se bloquean desde Internet y WINS sólo está disponible en la red local.


Este problema de seguridad puede permitir que un atacante comprometa de forma remota la seguridad de un servidor WINS si se cumple alguna de las condiciones siguientes:
  • Ha cambiado la configuración predeterminada para instalar la función de servidor WINS en Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003.
  • Está ejecutando Microsoft Small Business Server 2000 o Microsoft Windows Small Business Server 2003 y un atacante tiene acceso a su red local.
Para ayudar a proteger el equipo de esta posible vulnerabilidad, los usuarios deben dar los pasos siguientes:
  1. Bloquear el puerto 42 de TCP y el puerto 42 de UDP en el servidor de seguridad.

    Estos puertos se utilizan para iniciar una conexión con un servidor WINS remoto. Si bloquea estos puertos en el servidor de seguridad, ayudará a prevenir que los sistemas que están detrás de ese servidor de seguridad intenten explotar esta vulnerabilidad. El puerto 42 de TCP y el puerto 42 de UDP son los puertos de replicación predeterminados de WINS. Recomendamos que se bloqueen todas las comunicaciones entrantes no solicitadas procedentes de Internet.
  2. Utilizar la seguridad del Protocolo Internet (IPSec) para ayudar a proteger el tráfico entre los asociados de replicación del servidor WINS. Para ello, utilice una de las opciones siguientes.

    Precaución
    Como cada infraestructura de WINS es única, estos cambios podrían producir resultados inesperados. Le recomendamos que realice un análisis de riesgo antes de decidir si implementa esta mitigación. También le recomendamos que realice una comprobación completa antes de poner en producción esta mitigación.
    • Opción 1: configurar manualmente los filtros IPSec
      Configure manualmente los filtros IPSec y siga después las instrucciones de este artículo de Microsoft Knowledge Base para agregar un filtro que bloquee todos los paquetes que vayan desde cualquier dirección IP a la dirección IP de su sistema:
      813878 Cómo bloquear determinados protocolos de red y puertos mediante IPSec
      Si usa IPSec en su entorno de dominio de Active Directory de Windows 2000 e implementa su directiva de IPSec utilizando la Directiva de grupo, la directiva de dominio se impone sobre cualquier directiva definida localmente. Esto impide que esta opción bloquee los paquetes que desea.

      Para determinar si los servidores reciben una directiva IPSec desde un dominio de Windows 2000 o de una versión posterior, consulte la sección sobre cómo averiguar si se ha asignado una directiva en el artículo 813878 de Knowledge Base.

      Cuando haya determinado que puede crear una directiva IPSec local efectiva, descargue las herramientas IPSeccmd.exe o IPSecpol.exe.

      Los comandos siguientes bloquean el acceso de entrada y de salida a los puertos 42 de TCP y de UDP.

      Nota
      En estos comandos, %ComandoIPSEC% hace referencia a Ipsecpol.exe (en Windows 2000) o a Ipseccmd.exe (en Windows Server 2003).
      %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
      Los comandos siguientes hacen efectiva inmediatamente la directiva IPSec siempre que no haya un conflicto de directivas. Este comando empezará a bloquear todos los paquetes de entrada y de salida a los puertos 42 de TCP y de UDP. Ello impide eficazmente que se produzca la replicación de WINS entre el servidor en el que se ejecutaron los comandos y cualquier asociado de replicación WINS.
      %ComandoIPSEC% -w REG -p "Block WINS Replication" –x 
      Si experimenta problemas en la red después de habilitar esta directiva IPSec, puede desasignar la directiva y eliminarla con los comandos siguientes:
      %ComandoIPSEC% -w REG -p "Block WINS Replication" -y %ComandoIPSEC% -w REG -p "Block WINS Replication" -o 
      Para permitir que la replicación WINS funcione entre asociados de replicación WINS específicos, debe invalidar estas reglas de bloqueo con reglas de permiso. Las reglas de permiso deberían especificar sólo las direcciones IP de sus asociados de replicación WINS de confianza.

      Puede utilizar los comandos siguientes para actualizar la directiva IPSec Block WINS Replication para permitir que direcciones IP específicas se comuniquen con el servidor que está utilizando esa directiva.

      Nota
      En estos comandos, %ComandoIPSEC% hace referencia a Ipsecpol.exe (en Windows 2000) o a Ipseccmd.exe (en Windows Server 2003), e %IP% hace referencia a la dirección IP del servidor WINS remoto con el que desea realizar la replicación.
      %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %ComandoIPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
      Para asignar inmediatamente la directiva, utilice el comando siguiente:
      %ComandoIPSEC% -w REG -p "Block WINS Replication" -x
    • Opción 2: ejecutar una secuencia de comandos para configurar automáticamente los filtros IPSec
      Descargue y ejecute la secuencia de comandos WINS Replication Blocker que crea una directiva IPSec para bloquear los puertos. Para ello, siga estos pasos:
      1. Para descargar y extraer los archivos .exe, siga estos pasos:
        1. Descargue la secuencia de comandos WINS Replication Blocker.

          El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:

          Descargar Descargue ahora el paquete de secuencia de comandos WINS Replication Blocker.

          Fecha de publicación: 2 de diciembre de 2004

          Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
          119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
          Microsoft exploró este archivo en busca de virus con el software de detección de virus más reciente disponible en la fecha de publicación del archivo. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.
          Si descarga la secuencia de comandos (script) WINS Replication Blocker en un disco, use un disco vacío con formato. Si descarga la secuencia de comandos WINS Replication Blocker en el disco duro, cree una carpeta nueva para guardar temporalmente el archivo y extraerlo.

          Precaución
          No descargue los archivos directamente en la carpeta de Windows. Esta acción podría sobrescribir los archivos que necesita el equipo para funcionar correctamente.
        2. Busque el archivo en la carpeta en la que lo descargó y haga doble clic en el archivo .exe para extraer el contenido en una carpeta temporal. Por ejemplo, extraiga el contenido en
          C:\Temp.
      2. Abra un símbolo del sistema y muévalo al directorio en donde se extrajeron los archivos.
      3. Advertencia
        • Si sospecha que los servidores WINS pueden estar infectados, pero no está seguro de qué servidores WINS tienen la seguridad comprometida o de si lo está en el servidor WINS actual, no introduzca direcciones IP en el paso 3. Sin embargo, desde noviembre de 2004 no sabemos de ningún usuario que se haya visto afectado por este problema. Por tanto, si sus servidores funcionan como se esperaba, siga tal como se describe.
        • Si configura IPSec de forma incorrecta, puede provocar problemas graves de replicación WINS en una red corporativa. Para obtener información adicional acerca de cuestiones de seguridad de IPsec, visite el siguiente sitio Web de Microsoft:
        Ejecute el archivo Block_Wins_Replication.cmd. Para crear las reglas de bloqueo del acceso entrante y saliente en los puertos TCP y UDP 42, escriba 1 y presione Entrar para seleccionar la opción 1 cuando se le pida.
        Después de seleccionar la opción 1, la secuencia de comandos (script) le pide que especifique las direcciones IP de los servidores de replicación WINS de confianza.

        Cada dirección IP que incluye queda exenta de la directiva de bloqueo de los puertos 42 de TCP y UDP. Está en un bucle y puede introducir tantas direcciones IP como sea necesario. Si no conoce todas las direcciones IP de los asociados de replicación de WINS, puede ejecutar de nuevo la secuencia de comandos en el futuro. Para empezar a introducir las direcciones IP de los asociados de replicación de WINS, escriba 2 y presione Entrar para seleccionar la opción 2 cuando se le pida que seleccione la opción que desea.

        Después de implementar la actualización de seguridad, puede quitar la directiva IPSec. Para ello, ejecute la secuencia de comandos. Escriba 3 y presione Entrar para seleccionar la opción 3 cuando se le pida.

        Para obtener información adicional acerca de IPsec y del modo de aplicar los filtros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        313190 Cómo utilizar listas de filtros IP de IPSec en Windows 2000
  3. Quite WINS si no lo necesita.

    Si ya no necesita WINS, siga estos pasos para quitarlo. Estos pasos se aplican a Windows 2000, Windows Server 2003 y las versiones posteriores de estos sistemas operativos. Para Windows NT Server 4.0, siga el procedimiento que se incluye en la documentación del producto.

    Importante
    En muchas organizaciones se requiere WINS para realizar funciones de registro de nombres y resolución de nombres de etiqueta única en la red. Los administradores no deben quitar WINS a menos que se cumpla una de las siguientes condiciones:
    • El administrador entiende perfectamente las consecuencias que quitar WINS tendrá en su red.
    • El administrador ha configurado DNS para que proporcione la funcionalidad equivalente utilizando nombres de dominio completos y sufijos de dominio de DNS.
    Además, si un administrador quita la funcionalidad de WINS de un servidor que va a continuar proporcionando recursos compartidos en la red, deberá reconfigurar correctamente el sistema para que utilice los servicios de resolución de nombres restantes, como DNS, en la red local.


    Para obtener más información acerca de WINS, visite el siguiente sitio Web de Microsoft: Para obtener más información acerca de cómo averiguar si necesita la resolución de nombres NETBIOS o WINS, y la configuración de DNS, visite el siguiente sitio Web de Microsoft: Para quitar WINS, siga estos pasos:
    1. En el Panel de control, abra Agregar o quitar programas.
    2. Haga clic en Agregar o quitar componentes de Windows.
    3. En la página Asistente para componentes de Windows, bajo Componentes, haga clic en Servicios de red y, después, en Detalles.
    4. Desactive la casilla de verificación Servicio de nombres Internet de Windows (WINS) para quitar WINS.
    5. Siga las instrucciones que aparecerán en pantalla para finalizar el Asistente para componentes de Windows.
Estamos trabajando en una actualización para resolver este problema de seguridad como parte de nuestro proceso de actualización habitual. Cuando la actualización haya llegado al nivel de calidad apropiado, la proporcionaremos mediante Windows Update.

Si cree que ha resultado afectado por esta vulnerabilidad, póngase en contacto con el Servicio de soporte técnico. Use el siguiente número de teléfono de PC Safety para ponerse en contacto (en inglés) con el Servicio de soporte técnico desde Norteamérica para obtener ayuda con respecto a problemas de actualizaciones de seguridad o de virus:
1-866-PCSAFETY
Nota
No se le cargarán costos por esta llamada.

Los clientes internacionales deben ponerse en contacto con el Servicio de soporte técnico mediante cualquiera de los métodos enumerados en el siguiente sitio Web de Microsoft: