MS03-026: Búfer en RPC podría permitir la ejecución de código

Actualización técnica

  • 10 de septiembre de 2003: Se realizaron los siguientes cambios a este artículo:
    • Se actualizaron las secciones "Información de reemplazo de la revisión de seguridad" para indicar que esta revisión ha sido sustituida por la 824146 (MS03-039).
      Para obtener más información acerca de la revisión de 824146 seguridad (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      824146 MS03-039: un saturación del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados

    • Se actualizaron las secciones "Información de instalación" para indicar que Microsoft ha lanzado una herramienta que los administradores de red pueden usar para examinar una red y para identificar los equipos que no tienen la 823980 (MS03-026) y las revisiones de seguridad 824146 (MS03-039) instalan.
      Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      827363 cómo utilizar los KB 824146 herramienta de análisis para identificar los equipos que no tienen la 823980 (MS03-026) y 824146 (MS03-039) revisiones de seguridad instaladas

    • Actualizada la sección "Información de reemplazo de la revisión de seguridad" para Windows NT 4.0 indicar que esta revisión de seguridad reemplaza a la revisión 305399 (MS01-048) para equipos basados en Windows NT 4.0.
  • 19 de agosto de 2003: Se actualizó la sección "Más información" para incluir una referencia al artículo 826234 de Microsoft Knowledge Base. Este artículo contiene información acerca del virus gusano Nachi que intenta explotar la vulnerabilidad que se corrige con esta revisión de seguridad.
    826234 alerta de virus acerca del gusano Nachi

  • 14 de agosto de 2003: Se realizaron los siguientes cambios a este artículo:
    • Se actualizó la sección "Más información" para incluir una referencia al artículo 826955 de Microsoft Knowledge Base. Este artículo contiene información acerca del virus gusano Blaster que intenta explotar la vulnerabilidad que se corrige con esta revisión de seguridad.
      826955 alerta de virus acerca del gusano Blaster y sus variantes

    • Actualizada la sección "Información de instalación" para indicar que Microsoft ha lanzado una herramienta que los administradores de red pueden usar para examinar una red buscando los sistemas que no tienen instalada esta revisión de seguridad.
    • Se actualizaron las secciones "Información de reemplazo de la revisión de seguridad" para indicar que esta revisión de seguridad sustituye a la 331953 (MS03-010) para equipos basados en Windows 2000 y equipos basados en Windows XP. Equipos basados en Windows NT 4.0 y equipos basados en Windows Server 2003, esta revisión de seguridad no sustituye a otras revisiones de seguridad.
    • Se actualizó la sección "Prerrequisitos" de Windows 2000 para incluir información acerca del soporte técnico de Windows 2000 Service Pack 2 de esta revisión.
    • Actualizada la sección "Solución temporal" para proporcionar información adicional de solución.
  • 18 de julio de 2003: Actualiza la sección "Factores atenuantes" y la sección "Síntomas". Se agregó una nota a la sección "Prerrequisitos" de Windows 2000. Se agregó una nota a la sección "Requisitos previos" de Windows NT 4.0. En la sección "Windows NT 4.0", cambió la clave del registro "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" a "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980". En la sección "Solución", cambió el texto de la primera viñeta ("bloque puerto 135 en el servidor de seguridad"). En las secciones siguientes, se cambiaron las tablas de información de archivo: Windows Server 2003, edición de 32 bits; Windows Server 2003, 64-Bit Edition; Windows XP Professional y Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 18 de agosto de 2003: Se actualizó la sección "Requisitos previos".

Síntomas

Originalmente, Microsoft publicó este boletín y la revisión de 16 de julio de 2003 para corregir una vulnerabilidad de seguridad en una interfaz de llamada a procedimiento remoto (RPC) modelo de objetos componentes distribuido (DCOM). La revisión era y sigue siendo efectiva para eliminar la vulnerabilidad de seguridad. Sin embargo, la "factores atenuantes" y discusiones de "soluciones" en el boletín de seguridad original no identificaban claramente todos los puertos que potencialmente podría aprovecharse la vulnerabilidad. Microsoft ha actualizado este boletín para enumerar con más claridad los puertos en que RPC se pueden invocar los servicios y para asegurarse de que los clientes que eligen implementar una solución temporal antes de instalar la revisión tengan la información que deben tener que proteger sus sistemas. Los clientes que ya han instalado la revisión están protegidos contra los intentos de aprovechar esta vulnerabilidad y no es necesario realizar ninguna acción adicional.

Llamada a procedimiento remoto (RPC) es un protocolo utilizado por el sistema operativo Windows. RPC proporciona un mecanismo de comunicación entre procesos que permite a un programa que se ejecuta en un equipo ejecute fácilmente código en un equipo remoto. Este protocolo se deriva del protocolo RPC de Open Software Foundation (OSF). El protocolo RPC utilizado por Windows incluye algunas extensiones específicas de Microsoft adicionales.

Existe una vulnerabilidad en la parte de RPC que se ocupa del intercambio de mensajes sobre TCP/IP. Este error se produce debido al tratamiento incorrecto de los mensajes mal formados. Esta vulnerabilidad concreta afecta a una interfaz de modelo de objetos componentes distribuido (DCOM) con RPC, que escucha en los puertos habilitados para RPC. Esta interfaz controla las solicitudes de activación de objetos DCOM que son enviadas por los equipos cliente (por ejemplo, solicitudes de ruta de acceso de convención de nomenclatura Universal [UNC]) al servidor. Un atacante que aprovechara esta vulnerabilidad sería capaz de ejecutar código con privilegios de sistema Local en un sistema afectado. El atacante podrá realizar cualquier acción en el sistema, como instalar programas, ver datos, cambiar datos, eliminar datos o crear cuentas nuevas con privilegios completos.

Para aprovechar esta vulnerabilidad, un atacante tendría que enviar una solicitud especialmente formada al equipo remoto en los puertos RPC específicos.

Factores atenuantes de la
  • Para aprovechar esta vulnerabilidad, el atacante debe ser capaz de enviar una solicitud especialmente diseñada al puerto 135, el puerto 139, el puerto 445 o cualquier otro puerto RPC configurado específicamente en el equipo remoto. En entornos de intranet, estos puertos son habitualmente accesibles, pero en los equipos conectados a Internet, estos puertos suelen estar bloqueados por un firewall. Si estos puertos no estén bloqueados o en un entorno de intranet, el atacante no ha de tener privilegios adicionales.
  • Las prácticas recomendadas incluyen el bloqueo de todos los puertos TCP/IP que no se utilizan. De forma predeterminada, la mayoría de firewalls, incluyendo el Firewall de Windows de conexión a Internet (ICF), bloquean esos puertos. Por este motivo, la mayoría de los equipos que están conectados a Internet deben tener RPC sobre TCP o UDP bloqueados. RPC sobre UDP o TCP no está pensado para utilizarse en entornos hostiles, como Internet. Se proporcionan protocolos más sólidos, como RPC sobre HTTP, para entornos hostiles.

Solución

Información acerca de la revisión de seguridad

Para obtener más información acerca de cómo resolver esta vulnerabilidad, haga clic en el vínculo apropiado de la lista siguiente:

Windows Server 2003 (todas las versiones)

Información de descarga
Los archivos siguientes están disponibles para su descarga desde Centro de descarga de Microsoft:


Windows Server 2003, edición de 32 bitsWindows Server 2003 64-Bit Edition y Windows XP 64-Bit Edition versión 2003Fecha de lanzamiento: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar archivos de Microsoft Support, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a impedir cambios no autorizados en el archivo.
Requisitos previos
Esta revisión de seguridad requiere la versión comercial de Windows Server 2003.
Información de instalación
Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / n : no incluyen los archivos para la desinstalación.
  • /o : sobrescribir los archivos OEM sin preguntar.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
  • / l : enumera las revisiones instaladas.
  • / x : extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha publicado una herramienta que los administradores de red pueden usar para examinar una red buscando la presencia de sistemas que no tienen instalada esta revisión de seguridad.
Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 cómo utilizar los KB 824146 herramienta de análisis para identificar los equipos que no tienen la 823980 (MS03-026) y 824146 (MS03-039) revisiones de seguridad instaladas

También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo en el equipo a la lista de archivos en la sección "Información sobre archivos" de este artículo o confirmando que existe la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Para comprobar que se ha instalado esta actualización, utilice Microsoft Baseline Security Analyzer (MBSA). Para obtener información adicional acerca de MBSA, consulte el siguiente sitio Web de Microsoft:
Información sobre la implementación
Para instalar la revisión de seguridad sin intervención del usuario, utilice el comando siguiente:
WindowsServer2003-KB823980-x86-ENU /u /q
Para instalar la revisión de seguridad sin forzar al equipo a reiniciarse, utilice el comando siguiente:
WindowsServer2003-KB823980-x86-ENU /z
Nota: Puede combinar estos modificadores en un comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
Requisito de reinicio
Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación
Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas en Panel de Control.

Los administradores de sistema pueden utilizar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
Información de sustitución de revisión de seguridad
Equipos basados en Windows Server 2003, esta revisión de seguridad no sustituye a otras revisiones de seguridad.

Esta revisión de seguridad es sustituida por la 824146 (MS03-039).
Para obtener más información acerca de la revisión de 824146 seguridad (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824146 MS03-039: un saturación del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados

Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o posterior) que figuran en la tabla siguiente. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.


Windows Server 2003, edición de 32 bits:
   Date         Time   Version            Size    File name    Folder
-------------------------------------------------------------------
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Ole32.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.59 657,920 Rpcrt4.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.68 217,088 Rpcss.dll \rtmgdr
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Ole32.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.63 658,432 Rpcrt4.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.68 217,600 Rpcss.dll \rtmqfe



Windows Server 2003 64-Bit Edition y Windows XP 64-Bit Edition versión 2003:
   Date         Time   Version            Size    File name                Folder
----------------------------------------------------------------------------------
05-Jul-2003 18:05 5.2.3790.68 3,549,184 Ole32.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.59 2,127,872 Rpcrt4.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.68 660,992 Rpcss.dll (IA64) \Rtmgdr
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.59 539,648 Wrpcrt4.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.68 3,548,672 Ole32.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.63 2,128,384 Rpcrt4.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.68 662,016 Rpcss.dll (IA64) \Rtmqfe
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmqfe\Wow
05-Jul-2003 18:01 5.2.3790.63 539,648 Wrpcrt4.dll (X86) \Rtmqfe\Wow

Nota: Cuando instala esta revisión de seguridad en un equipo que ejecuta Windows Server 2003 o a Windows XP 64-Bit Edition versión 2003, el programa de instalación comprueba si alguno de los archivos que están siendo actualizados en el equipo habían sido actualizado anteriormente por un hotfix de Microsoft. Si instaló anteriormente un hotfix para actualizar uno de estos archivos, el programa de instalación copia los archivos de revisión en el equipo. De lo contrario, el instalador copia los archivos GDR en el equipo.
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824994 descripción del contenido de un paquete de actualización de producto de Windows Server 2003

También puede comprobar los archivos que instala esta revisión de seguridad revisando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (todas las versiones)

Información de descarga
Los archivos siguientes están disponibles para su descarga desde Centro de descarga de Microsoft:


Windows XP Professional y Windows XP Home EditionWindows XP 64-Bit Edition versión 2002Fecha de lanzamiento: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar archivos de Microsoft Support, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a impedir cambios no autorizados en el archivo.
Requisitos previos
Esta revisión de seguridad requiere la versión comercial de Windows XP o Windows XP Service Pack 1 (SP1). Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322389 cómo obtener el Service Pack más reciente para Windows XP
Información de instalación
Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / n : no incluyen los archivos para la desinstalación.
  • /o : sobrescribir los archivos OEM sin preguntar.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
  • / l : enumera las revisiones instaladas.
  • / x : extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha publicado una herramienta que los administradores de red pueden usar para examinar una red buscando la presencia de sistemas que no tienen instalada esta revisión de seguridad.
Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 cómo utilizar los KB 824146 herramienta de análisis para identificar los equipos que no tienen la 823980 (MS03-026) y 824146 (MS03-039) revisiones de seguridad instaladas

También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo en el equipo a la lista de archivos en la sección "Información sobre archivos" de este artículo o confirmando que existe la siguiente clave del registro:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP con Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Para obtener información adicional acerca de Microsoft Baseline Security Analyzer (MBSA), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 ya está disponible Microsoft Baseline Security Analyzer (MBSA) versión 1.1.1

Información sobre la implementación
Para instalar la revisión de seguridad sin intervención del usuario, utilice el comando siguiente:
WindowsXP-KB823980-x86-ENU /u /q
Para instalar la revisión de seguridad sin forzar al equipo a reiniciarse, utilice el comando siguiente:
WindowsXP-KB823980-x86-ENU /z
Nota: Puede combinar estos modificadores en un comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
Requisito de reinicio
Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación
Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas en Panel de Control.

Los administradores de sistema pueden utilizar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
Información de sustitución de revisión de seguridad
Para equipos basados en Windows XP, esta revisión de seguridad sustituye a la 331953 (MS03-010).

Esta revisión ha sido sustituida por la 824146 (MS03-039).
Para obtener más información acerca de la revisión de 824146 seguridad (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824146 MS03-039: un saturación del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados

Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o posterior) que figuran en la tabla siguiente. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.


Windows XP Professional y Windows XP Home Edition:

   Date         Time   Version            Size    File name
-------------------------------------------------------------------
05-Jul-2003 19:14 5.1.2600.115 1,092,096 Ole32.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.109 439,296 Rpcrt4.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.115 203,264 Rpcss.dll pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 1,120,256 Ole32.dll with SP1
05-Jul-2003 19:12 5.1.2600.1230 504,320 Rpcrt4.dll with SP1
05-Jul-2003 19:12 5.1.2600.1243 202,752 Rpcss.dll with SP1

Windows XP 64-Bit Edition, versión 2002:

   Date         Time   Version            Size    File name
--------------------------------------------------------------------------------
05-Jul-2003 19:15 5.1.2600.115 4,191,744 Ole32.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.109 2,025,472 Rpcrt4.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.115 737,792 Rpcss.dll (IA64) pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 4,292,608 Ole32.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1230 2,292,224 Rpcrt4.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1243 738,304 Rpcss.dll (IA64) with SP1
05-Jul-2003 18:37 5.1.2600.115 1,092,096 Wole32.dll (X86) pre-SP1
03-Jan-2003 02:06 5.1.2600.109 440,320 Wrpcrt4.dll (X86) pre-SP1
05-Jul-2003 18:07 5.1.2600.1243 1,120,256 Wole32.dll (X86) with SP1
04-Jun-2003 17:35 5.1.2600.1230 505,344 Wrpcrt4.dll (X86) with SP1


Nota: Las versiones de Windows XP de esta revisión se empaquetan como paquetes de modo dual.
Para obtener información adicional acerca de los paquetes de modo dual, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Descripción de 328848 de paquetes de actualización de modo dual para Windows XP


También puede comprobar los archivos que instala esta revisión de seguridad revisando la siguiente clave del registro:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP con Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (todas las versiones)

Información de descarga
El siguiente archivo está disponible para su descarga desde el Centro de descarga de Microsoft:

Fecha de lanzamiento: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar archivos de Microsoft Support, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a impedir cambios no autorizados en el archivo.


Nota: Esta revisión no se admite en Windows 2000 Datacenter Server. Para obtener información sobre cómo obtener una revisión de seguridad para Windows 2000 Datacenter Server, póngase en contacto con su proveedor OEM participante.
Para obtener información adicional acerca de Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173 el programa Datacenter y el producto Windows 2000 Datacenter Server

Requisitos previos
Esta revisión de seguridad requiere Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) o Service Pack 4 (SP4) de Windows 2000.

Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910 cómo obtener el Service Pack más reciente para Windows 2000

Información de instalación
Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / n : no incluyen los archivos para la desinstalación.
  • /o : sobrescribir los archivos OEM sin preguntar.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
  • / l : enumera las revisiones instaladas.
  • / x : extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha publicado una herramienta que puede utilizar para examinar una red buscando la presencia de sistemas que no tienen instalada esta revisión de seguridad.
Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 cómo utilizar los KB 824146 herramienta de análisis para identificar los equipos que no tienen la 823980 (MS03-026) y 824146 (MS03-039) revisiones de seguridad instaladas

También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo en el equipo a la lista de archivos en la sección "Información sobre archivos" de este artículo o confirmando que existe la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Para obtener información adicional acerca de Microsoft Baseline Security Analyzer (MBSA), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 ya está disponible Microsoft Baseline Security Analyzer (MBSA) versión 1.1.1

Información sobre la implementación
Para instalar la revisión de seguridad sin intervención del usuario, utilice el comando siguiente:
Windows2000-KB823980-x86-ENU /u /q
Para instalar la revisión de seguridad sin forzar al equipo a reiniciarse, utilice el comando siguiente:
Windows2000-KB823980-x86-ENU /z
Nota: Puede combinar estos modificadores en un comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
Requisito de reinicio
Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación
Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas en Panel de Control.

Los administradores de sistema pueden utilizar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
Información de sustitución de revisión de seguridad
Para equipos basados en Windows 2000, esta revisión de seguridad sustituye a la 331953 (MS03-010).

Esta revisión ha sido sustituida por la 824146 (MS03-039).
Para obtener más información acerca de la revisión de 824146 seguridad (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824146 MS03-039: un saturación del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados

Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o posterior) que figuran en la tabla siguiente. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.


   Date         Time   Version            Size    File name
--------------------------------------------------------------
05-Jul-2003 17:15 5.0.2195.6769 944,912 Ole32.dll
05-Jul-2003 17:15 5.0.2195.6753 432,400 Rpcrt4.dll
05-Jul-2003 17:15 5.0.2195.6769 188,688 Rpcss.dll

También puede comprobar los archivos que instala esta revisión de seguridad revisando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Ahora está disponible en Microsoft un hotfix compatible, pero sólo se diseñó para corregir el problema que describe este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Para resolver este problema, póngase en contacto con los servicios de soporte técnico de Microsoft para obtener la revisión. Para obtener una lista completa de números de teléfono de servicios de soporte técnico de Microsoft e información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:Nota: En casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con la actualización en cuestión.

Windows NT 4.0 (todas las versiones)

Información de descarga
Los archivos siguientes están disponibles para su descarga desde Centro de descarga de Microsoft:


Windows NT 4.0 Server:Windows NT 4.0 Server, Terminal Server Edition:Fecha de lanzamiento: 16 de julio de 2003

Para obtener información adicional acerca de cómo descargar archivos de Microsoft Support, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a impedir cambios no autorizados en el archivo.
Requisitos previos
Esta revisión de seguridad requiere Windows NT 4.0 Service Pack 6a (SP6a) o Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Nota: Esta revisión de seguridad se instalará en Windows NT 4.0 Workstation. Sin embargo, Microsoft ya no admite esta versión, según la directiva Microsoft Lifecycle Support. Además, esta revisión de seguridad no se ha probado en Windows NT 4.0 Workstation. Para obtener información acerca de la directiva Microsoft Lifecycle Support, visite el siguiente sitio Web de Microsoft:Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
152734 cómo obtener el Service Pack más reciente para Windows NT 4.0

Información de instalación
Esta revisión de seguridad admite los siguientes modificadores de instalación:
  • /y : realizar la desinstalación (sólo con /m o/q ).
  • / f : obligar a los programas a cerrarse al apagar el equipo.
  • / n : crear una carpeta de desinstalación.
  • / z : no reiniciar cuando se completa la actualización.
  • / q : modo de uso silencioso o desatendido sin interfaz de usuario (este modificador es un superconjunto de/m ).
  • / m : utiliza el modo desatendido con interfaz de usuario.
  • / l : enumera las revisiones instaladas.
  • / x : extraer los archivos sin ejecutar el programa de instalación.
Microsoft ha publicado una herramienta que puede utilizar para examinar una red buscando la presencia de sistemas que no tienen instalada esta revisión de seguridad.
Para obtener información adicional acerca de esta herramienta, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827363 cómo utilizar los KB 824146 herramienta de análisis para identificar los equipos que no tienen la 823980 (MS03-026) y 824146 (MS03-039) revisiones de seguridad instaladas

También puede comprobar que la revisión de seguridad está instalada en el equipo utilizando Microsoft Baseline Security Analyzer (MBSA), comparando las versiones de archivo en el equipo a la lista de archivos en la sección "Información sobre archivos" de este artículo o confirmando que existe la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Para obtener información adicional acerca de Microsoft Baseline Security Analyzer (MBSA), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
320454 ya está disponible Microsoft Baseline Security Analyzer (MBSA) versión 1.1.1

Información sobre la implementación
Para instalar la revisión de seguridad sin intervención del usuario, utilice el comando siguiente:
Q823980i /q
Para instalar la revisión de seguridad sin forzar al equipo a reiniciarse, utilice el comando siguiente:
Q823980i /z
Nota: Puede combinar estos modificadores en un comando.

Para obtener información acerca de cómo implementar esta revisión de seguridad con Software Update Services, visite el siguiente sitio Web de Microsoft:
Requisito de reinicio
Debe reiniciar el equipo después de aplicar esta revisión de seguridad.
Información de eliminación
Para quitar esta revisión de seguridad, utilice la herramienta Agregar o quitar programas en Panel de Control.

Los administradores de sistema pueden utilizar la utilidad Spuninst.exe para quitar esta revisión de seguridad. La utilidad Spuninst.exe se encuentra en la carpeta %Windir%\$NTUninstallKB823980$\Spuninst. La utilidad admite los siguientes modificadores de instalación:
  • /? : Mostrar la lista de modificadores de instalación.
  • / u : usar el modo desatendido.
  • / f : obliga a otros programas a cerrarse cuando se apaga el equipo.
  • / z : no reiniciar cuando se completa la instalación.
  • / q : usar el modo silencioso (sin interacción del usuario).
Información de sustitución de revisión de seguridad
Para equipos basados en Windows NT 4.0, esta revisión de seguridad sustituye a la revisión de seguridad que se proporciona con el boletín de seguridad de Microsoft MS01-048.

Esta revisión ha sido sustituida por la 824146 (MS03-039).
Para obtener más información acerca de la revisión de 824146 seguridad (MS03-039), haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824146 MS03-039: un saturación del búfer en RPCSS podría permitir que un atacante ejecute programas malintencionados

Información de archivo
La versión en inglés de esta revisión tiene los atributos de archivo (o posterior) que figuran en la tabla siguiente. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.


Windows NT 4.0 Server:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
05-Jul-2003 5:26 4.0.1381.7224 701,200 Ole32.dll
05-Jul-2003 5:26 4.0.1381.7219 345,872 Rpcrt4.dll
05-Jul-2003 5:26 4.0.1381.7224 107,280 Rpcss.exe

Windows NT 4.0 Server, Terminal Server Edition:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
07-Jul-2003 3:29 4.0.1381.33549 701,712 Ole32.dll
07-Jul-2003 3:29 4.0.1381.33474 345,360 Rpcrt4.dll
07-Jul-2003 3:29 4.0.1381.33549 109,328 Rpcss.exe

Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que todos los archivos que se enumeran en la tabla están presentes en el equipo.

Solución alternativa

Aunque Microsoft pide a todos los clientes que apliquen la revisión de seguridad lo antes posible, hay varias soluciones alternativas que puede utilizar mientras tanto para prevenir el vector que se usa para explotar esta vulnerabilidad.

Estas soluciones son temporales. Sólo ayudan a bloquear las rutas de ataque. No corrigen la vulnerabilidad subyacente.

Las secciones siguientes proporcionan información que puede utilizar para ayudar a proteger su equipo contra los ataques. Cada sección describe las soluciones temporales que puede usar, dependiendo de la configuración del equipo y según el nivel de funcionalidad que requiera.
  • UDP de bloquear los puertos 135, 137, 138 y 445 y los puertos TCP 135, 139, 445 y 593 en su servidor de seguridad y deshabilitar servicios de Internet COM (CIS) y RPC sobre HTTP, que escuchan en los puertos 80 y 443, en las máquinas afectadas. Estos puertos se utilizan para iniciar una conexión RPC con un equipo remoto. Bloquear estos puertos en el firewall ayudará a impedir que los sistemas situados detrás de dicho servidor de seguridad sean atacados con intentos de explotar estas vulnerabilidades. También debe bloquear cualquier otro puerto RPC configurado específicamente en el equipo remoto.

    Si habilita esta opción, CIS y RPC sobre HTTP permiten que las llamadas DCOM operen sobre los puertos TCP 80 (y el puerto 443 en Windows XP y Windows Server 2003). Asegúrese de que CIS y RPC sobre HTTP están deshabilitados en todos los equipos afectados.

    Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825819 cómo quitar COM Internet Services (CIS) y RPC sobre HTTP Proxy apoyo

    Para obtener información adicional acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:Además, los clientes pueden tener configurados protocolos o servicios que usan RPC que también puede ser accesible desde Internet. Los administradores de sistemas se recomienda para examinar los puertos RPC que están expuestos a Internet y que bloqueen estos puertos en su servidor de seguridad o para aplicar la revisión inmediatamente.
  • Uso Firewall de conexión a Internet y deshabilitar servicios de Internet COM (CIS) y RPC sobre HTTP, que escuchan en los puertos 80 y 443, en las máquinas afectadas. Si utiliza la característica servidor de seguridad de conexión a Internet en Windows XP o en Windows Server 2003 para ayudar a proteger su conexión a Internet, de forma predeterminada bloqueará RPC entrante el tráfico de Internet. Asegúrese de que CIS y RPC sobre HTTP están deshabilitados en todos los equipos afectados.
    Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825819 cómo quitar COM Internet Services (CIS) y RPC sobre HTTP Proxy apoyo

    Para obtener información adicional acerca de RPC sobre HTTP, visite el siguiente sitio Web de Microsoft:
  • Bloquear los puertos afectados utilizando un filtro IPSEC y deshabilitar servicios de Internet COM (CIS) y RPC sobre HTTP, que escuchan en los puertos 80 y 443, en las máquinas afectadas Puede proteger las comunicaciones de red en equipos basados en Windows 2000 si usa seguridad de protocolo Internet (IPSec).
    Para obtener información adicional acerca de IPSec y de cómo aplicar filtros, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
    313190 Cómo: listas de usar el filtro IP de IPSec en Windows 2000

    813878 cómo bloquear determinados protocolos de red y puertos mediante IPSec

    Asegúrese de que CIS y RPC sobre HTTP están deshabilitados en todos los equipos afectados. Para obtener información adicional acerca de cómo deshabilitar CIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825819 cómo quitar COM Internet Services (CIS) y RPC sobre HTTP Proxy apoyo

  • Deshabilitar DCOM en todos los equipos afectados: Cuando un equipo forma parte de una red, el protocolo alámbrico DCOM habilita los objetos COM de ese equipo para comunicarse con objetos COM de otros equipos.

    Puede deshabilitar DCOM para un equipo determinado para ayudar a proteger contra esta vulnerabilidad, pero entonces deshabilita toda comunicación entre los objetos de ese equipo y en otros equipos. Si deshabilita DCOM en un equipo remoto, no tendrá acceso remoto a ese equipo para rehabilitar DCOM. Para volver a habilitar DCOM, debe tener acceso físico a ese equipo.
    Para obtener información adicional acerca de cómo deshabilitar DCOM, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    825750 de cómo deshabilitar la compatibilidad DCOM en Windows

    Nota: Para Windows 2000, los métodos descritos en Microsoft Knowledge Base artículo 825750 deshabilitar DCOM será sólo funcionan en equipos que ejecutan Windows 2000 Service Pack 3 o posterior. Quienes usen Service Pack 2 o anterior deben actualizarse a un service pack posterior o usar alguna de las otras soluciones.

Estado

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de seguridad en los productos de Microsoft enumerados al principio de este artículo.

Más información

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de cómo proteger RPC para clientes y servidores, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de los puertos que usa RPC, visite el siguiente sitio Web de Microsoft:Para obtener información adicional acerca del virus gusano Blaster que intenta explotar la vulnerabilidad que se corrige con esta revisión de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
826955 alerta de virus acerca del gusano Blaster y sus variantes

Para obtener información adicional acerca del virus gusano Nachi que intenta explotar la vulnerabilidad que se corrige con esta revisión de seguridad, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
826234 alerta de virus acerca del gusano Nachi

Para obtener información adicional acerca de cómo obtener un hotfix para Windows 2000 Datacenter Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
265173 el programa Datacenter y el producto Windows 2000 Datacenter Server

Propiedades

Id. de artículo: 823980 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios