MS16-101: Descripción de la actualización de seguridad para los métodos de autenticación de Windows: 9 de agosto de 2016

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3167679
Resumen
Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada en un sistema unido al dominio.

Para obtener más información acerca de la vulnerabilidad, consulte Boletín de seguridad de Microsoft MS16-101.
Más información
Importante:
  • Todas las futuras actualizaciones de seguridad y no son de seguridad para Windows 8.1 y R2 de Windows Server 2012 requieren actualización 2919355 para instalarse. Recomendamos que instale la actualización 2919355 en el equipo basado en Windows Server 2012 R2 o Windows 8.1 para que reciban actualizaciones futuras.
  • Si instala un paquete de idioma después de instalar esta actualización, debe reinstalar esta actualización. Por lo tanto, se recomienda que instale cualquier paquete de idioma necesario antes de la instalación de esta actualización. Para obtener más información, vea Agregar paquetes de idioma para Windows.

Soluciones no relacionadas con la seguridad incluidas en esta actualización de seguridad

Esta actualización de seguridad también corrige los siguientes problemas no relacionados con la seguridad:
  • Se produce un error en la autenticación en un Servidor de archivos de escalabilidad horizontal (SoFS) unido a un dominio en un clúster sin dominios, cuando un cliente SMB que está ejecutando Windows 8.1 o Windows Server 2012 R2 se conecta a un nodo que está inactivo. Cuando esto ocurre, recibirá un mensaje de error similar al siguiente:

    STATUS_NO_TGT_REPLY

Problemas conocidos en esta actualización de seguridad

  • Problema conocido 1

    Las actualizaciones de seguridad que se proporcionan en MS16-101 y las actualizaciones más recientes deshabilitar la capacidad del proceso de negociación de recurrir a NTLM cuando se produce un error en la autenticación Kerberos para las operaciones de cambio de contraseña con el código de error STATUS_NO_LOGON_SERVERS (0xc000005e) . En esta situación, puede recibir uno de los siguientes códigos de error.

    HexadecimalDecimalSimbólicoDescriptivo
    0xc00003881073740920STATUS_DOWNGRADE_DETECTEDEl sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
    0x4f11265ERROR_DOWNGRADE_DETECTEDEl sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.


    Solución alternativa

    Si fallan los cambios de contraseña que previamente se realizaron correctamente después de la instalación de MS16-101, es probable que los cambios de contraseña se basaran anteriormente en la reserva NTLM porque estaba fallando Kerberos. Para poder cambiar las contraseñas con éxito mediante protocolos de Kerberos, siga estos pasos:

    1. Configurar una comunicación abierta en el puerto TCP 464 entre los clientes que tienen instalado MS16-101 y el controlador de dominio que está dando servicio a los restablecimientos de contraseña.

      Los controladores de dominio de sólo lectura (RODC) pueden atender a los restablecimientos de contraseña sin intervención del administrador si el usuario está autorizado por la directiva de replicación de contraseñas de RODC. Los usuarios no autorizados por la directiva de contraseñas RODC requieren conectividad de red con un controlador de dominio de lectura y escritura (RWDC) en el dominio de la cuenta de usuario.

      Nota: Para comprobar si está abierto el puerto TCP 464, siga estos pasos:

      1. Crear un filtro de presentación equivalente para el analizador de monitor de red. Por ejemplo:
        ipv4.address== <ip address of client> && tcp.port==464
      2. En los resultados, busque el marco "TCP: [SynReTransmit".

        Marco
    2. Asegúrese de que los nombres de Kerberos de destino son válidos. (Las direcciones IP no son válidas para el protocolo Kerberos. Kerberos admite nombres cortos y nombres de dominio completos).
    3. Asegúrese de que los nombres principales de servicio (SPN) están registrados correctamente.

      Para obtener más información, vea Kerberos y restablecimiento de contraseña sin intervención del administrador.
  • Problema conocido 2

    Sabemos acerca de un problema en el que los restablecimientos de contraseña mediante programación de usuario de dominio fallan y devuelven el código de error STATUS_DOWNGRADE_DETECTED (0x800704F1) , si dicho error es uno de los siguientes:

    • ERROR_INVALID_PASSWORD
    • ERROR_PWD_TOO_SHORT (raro)
    • STATUS_WRONG_PASSWORD
    • STATUS_PASSWORD_RESTRICTION

    La tabla siguiente muestra la asignación completa del error.

    HexadecimalDecimalSimbólicoDescriptivo
    0x5686ERROR_INVALID_PASSWORDLa contraseña de red especificada no es correcta.
    0x267615ERROR_PWD_TOO_SHORTLa contraseña que proporcionó es demasiado corta para cumplir las directivas de su cuenta de usuario. Proporcione una contraseña más larga.
    0xc000006a-1073741718STATUS_WRONG_PASSWORDAl intentar actualizar una contraseña, este estado de retorno indica que el valor proporcionado como contraseña actual es incorrecto.
    0xc000006c-1073741716STATUS_PASSWORD_RESTRICTIONAl intentar actualizar una contraseña, este estado de retorno indica que se ha infringido alguna regla de actualización de la contraseña. Por ejemplo, la contraseña puede no satisfacer los criterios de longitud.
    0x800704F11265STATUS_DOWNGRADE_DETECTEDEl sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.
    0xc0000388-1073740920STATUS_DOWNGRADE_DETECTEDEl sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.


    Solución

    MS16-101 se ha vuelto a publicar para tratar este problema. Instale la versión más reciente de las actualizaciones de este boletín resolver este problema.

  • Problema conocido 3

    Sabemos acerca de un problema en el que los reinicios de programación de los cambios de contraseña de cuenta de usuario local pueden producir errores y devolver el código de error STATUS_DOWNGRADE_DETECTED (0x800704F1) .

    La tabla siguiente muestra la asignación completa del error.

    HexadecimalDecimalSimbólicoDescriptivo
    0x4f11265ERROR_DOWNGRADE_DETECTEDEl sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.


    Solución

    MS16-101 se ha vuelto a publicar para tratar este problema. Instale la versión más reciente de las actualizaciones de este boletín resolver este problema.

  • Problema conocido 4

    No se puede cambiar las contraseñas de cuentas de usuario deshabilitadas y bloqueadas.

    Solución alternativa

    Estas cuentas requieren un administrador para realizar los restablecimientos de contraseña. Este comportamiento es por diseño después de instalar revisiones MS16-101 y posteriores.

  • Problema conocido 5

    Aplicaciones que utilizan la API NetUserChangePassword y que pase el nombre del servidor en el nombreDeDominio parámetro dejará de funcionar después de instalan MS16-101 y actualizaciones posteriores.

    Documentación de Microsoft establece que proporcionar un nombre de servidor remoto en el nombreDeDominio se admite el parámetro de la función NetUserChangePassword . Por ejemplo, el Función NetUserChangePassword Tema MSDN indica lo siguiente:

    nombreDeDominio [in]
    El puntero a una cadena constante que especifica el nombre DNS o NetBIOS de un servidor remoto o dominio en el que ejecutar la función. Si este parámetro es NULL, se utiliza el dominio de inicio de sesión del llamador.
    No obstante, esta guía se ha sustituido por MS16-101, a menos que restablezca la contraseña de una cuenta local en el equipo local. MS16 POST-101, en orden de cambios de contraseña de usuario de dominio funcione, debe pasar un nombre de dominio DNS válido a la API NetUserChangePassword.
  • Problema conocido 6

    Después de instalar esta actualización, pueden producirse errores de autenticación NTLM de 0xC0000022. Para resolver este problema, consulte Autenticación NTLM no funciona con el error 0xC0000022 para Windows Server 2012, Windows 8.1 y 2012 R2 de Windows Server una vez aplicada la actualización.
Cómo obtener e instalar la actualización

Método 1: Windows Update

Esta actualización está disponible a través de Windows Update. Cuando active actualizaciones automáticas, esta actualización se descargará y se instalará automáticamente. Para obtener más información acerca de cómo activar actualizaciones automáticas, consulteObtener actualizaciones de seguridad automáticamente.

Método 2: Catálogo de Microsoft Update

Para obtener el paquete independiente de esta actualización, vaya a la Catálogo de Microsoft Update .

Método 3: Centro de descarga de Microsoft

Puede obtener el paquete de actualización independiente a través del Centro de descarga de Microsoft. Siga las instrucciones de instalación en la página de descarga para instalar la actualización.

Haga clic en el vínculo de descarga Boletín de seguridad de Microsoft MS16-101 que corresponde a la versión de Windows que esté ejecutando.
Más información

Obtención de ayuda y soporte técnico para esta actualización de seguridad

Ayuda para la instalación de actualizaciones: Compatibilidad con Microsoft Update

Soluciones de seguridad para profesionales de TI: Soporte y solución de problemas de seguridad de TechNet

Ayuda para proteger un equipo basado en Windows de virus y malware: Solución antivirus y el centro de seguridad

Soporte local según tu país: Soporte internacional
Información de archivo

Información de hash de archivo

Nombre del archivoHash SHA1Hash SHA256
Windows6.0-KB3167679-v2-ia64.msuF3E96631261EEC8CC532D17116185D82B8C5EC7F97FEB0CF0AEF4E098689FD05E86E94876C4051943983458F250E114107944DAE
Windows6.0-KB3167679-v2-x86.msuAF2B19E84D0E58C9EF4243F9BCEE6AF6642737F02F97DD85E073A5A9A6F32C6CF7DA98F7CEB6F13BBBFF992E612FCD6DE828CE00
Windows6.0-KB3167679-v2-x64.msu17FAEE7E981AB717C566360F7B7FE173C201D4DB9B81F7193CE5D66B9609CA09A690F98AFC96B2A928783788BDBDBC58D41861D4

Información de archivo

La versión en inglés (Estados Unidos) de esta actualización de software instala archivos que tienen los atributos enumerados en las tablas siguientes.

Información de archivos de Windows Vista y Windows Server 2008

Notas:
  • Los archivos que se aplican a un producto, hito (RTM, SPn), y la rama de servicio (LDR, GDR) se puede identificar examinando los números de versión de archivo como se muestra en la siguiente tabla:
    Versión Producto Hito Tipo de servicio
    6.0.600 2.19xxxWindows Vista o Windows Server 2008SERVICE PACK 2GDR
    6.0.600 2.23xxxWindows Vista o Windows Server 2008SERVICE PACK 2LDR
  • Las ramas del servicio GDR contienen solo correcciones de amplia distribución para solucionar problemas críticos extendidos. Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
  • Los archivos MANIFEST (.manifest) y archivos MUM (.mum) instalados no aparecen.
Para todas las versiones basadas en ia64
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Adsmsext.dll6.0.6002.19693218,62410-Sep-201616:21IA-64
Adsmsext.dll6.0.6002.24017218,62409-Sep-201615:10IA-64
Advapi32.dll6.0.6002.195981,964,54406-Feb-201601:39IA-64
Advapi32.dll6.0.6002.240171,963,52009-Sep-201615:10IA-64
BCrypt.dll6.0.6002.19677583.68010-Ago-201613:07IA-64
BCrypt.dll6.0.6002.24004584,19210-Ago-201613:07IA-64
Ksecdd.sys6.0.6002.196551,030,37611-May-201613:10IA-64
Lsasrv.dll6.0.6002.196933,263,48810-Sep-201616:22IA-64
Lsasrv.MOFNo aplicable13,78003-Abr-200921:34No aplicable
Lsass.exe6.0.6002.1854117,92016-Nov-201114:10IA-64
Secur32.dll6.0.6002.19623202,75218-Mar-201616:34IA-64
Ksecdd.sys6.0.6002.239701,030,88811-May-201613:08IA-64
Lsasrv.dll6.0.6002.240173,268,09609-Sep-201611:15IA-64
Lsasrv.MOFNo aplicable13,78007-Mar-201623:37No aplicable
Lsass.exe6.0.6002.2401717,92009-Sep-201614:28IA-64
Secur32.dll6.0.6002.24017202,75209-Sep-201615:12IA-64
NCrypt.dll6.0.6002.19678524,80010-Ago-201616:08IA-64
NCrypt.dll6.0.6002.24017524,80009-Sep-201611:15IA-64
Rpcrt4.dll6.0.6002.195983,298,81606-Feb-201601:41IA-64
Rpcrt4.dll6.0.6002.240173,289,08809-Sep-201615:12IA-64
Wdigest.dll6.0.6002.19659482,81614-mayo-201615:31IA-64
Wdigest.dll6.0.6002.24017483,32809-Sep-201615:12IA-64
Msv1_0.dll6.0.6002.19431570,88027-Jun-201515:22IA-64
Msv1_0.dll6.0.6002.24017570,36809-Sep-201611:15IA-64
Schannel.dll6.0.6002.19678819,20010-Ago-201616:09IA-64
Schannel.dll6.0.6002.24017821,24809-Sep-201615:12IA-64
Mrxsmb10.sys6.0.6002.19431669,18427-Jun-201514:19IA-64
Mrxsmb10.sys6.0.6002.24017670,20809-Sep-201614:18IA-64
Mrxsmb20.sys6.0.6002.19431270,33627-Jun-201514:19IA-64
Mrxsmb20.sys6.0.6002.24017272,38409-Sep-201614:17IA-64
Mrxsmb.sys6.0.6002.19279323,07209-Ene-201512:00IA-64
Mrxsmb.sys6.0.6002.24017325,63209-Sep-201614:17IA-64
BCrypt.dll6.0.6002.19677275,96810-Ago-201613:14x86
BCrypt.dll6.0.6002.24004275,96809-Sep-201613:14x86
Lsasrv.MOFNo aplicable13,78008-Mar-201600:42No aplicable
Secur32.dll6.0.6002.1969377,31210-Sep-201616:30x86
Lsasrv.MOFNo aplicable13,78007-Mar-201623:37No aplicable
Secur32.dll6.0.6002.2401777,31209-Sep-201615:17x86
Rpcrt4.dll6.0.6002.19598679,42406-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017678,91209-Sep-201615:17x86
Wdigest.dll6.0.6002.19659175,61614-mayo-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Ago-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
NCrypt.dll6.0.6002.19678206,33610-Ago-201615:43x86
NCrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
Para todas las versiones basadas en x86 compatibles
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
BCrypt.dll6.0.6002.19677274,94410-Ago-201613:13x86
BCrypt.dll6.0.6002.24004274,94409-Sep-201613:14x86
Ksecdd.sys6.0.6002.19655440,55211-May-201613:09x86
Lsasrv.dll6.0.6002.196931,261,05610-Sep-201616:28x86
Lsasrv.MOFNo aplicable13,78003-Abr-200921:30No aplicable
Lsass.exe6.0.6002.185419,72816-Nov-201114:12x86
Secur32.dll6.0.6002.1962372,70418-Mar-201617:10x86
Ksecdd.sys6.0.6002.23970440,55211-May-201613:07x86
Lsasrv.dll6.0.6002.240171,263,61609-Sep-201615:16x86
Lsasrv.MOFNo aplicable13,78007-Mar-201623:37No aplicable
Lsass.exe6.0.6002.240179,72809-Sep-201614:23x86
Secur32.dll6.0.6002.2401772,70409-Sep-201615:16x86
NCrypt.dll6.0.6002.19678206,33610-Ago-201615:43x86
NCrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
Rpcrt4.dll6.0.6002.19598783,87206-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017783,87209-Sep-201615:16x86
Wdigest.dll6.0.6002.19659175,61614-mayo-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Ago-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Mrxsmb10.sys6.0.6002.19431217,08827-Jun-201514:21x86
Mrxsmb10.sys6.0.6002.24017217,08809-Sep-201614:17x86
Mrxsmb20.sys6.0.6002.1943181,40827-Jun-201514:21x86
Mrxsmb20.sys6.0.6002.2401782.43209-Sep-201614:17x86
Mrxsmb.sys6.0.6002.19279107,00809-Ene-201517:00x86
Mrxsmb.sys6.0.6002.24017107,52009-Sep-201614:17x86
Para todas las versiones basadas en x64 compatibles
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Adsmsext.dll6.0.6002.19693105,47210-Sep-201616:44x64
Adsmsext.dll6.0.6002.24017105,47209-Sep-201615:33x64
Advapi32.dll6.0.6002.195981,067,00806-Feb-201601:59x64
Advapi32.dll6.0.6002.240171,067,52009-Sep-201615:33x64
BCrypt.dll6.0.6002.19677306,68810-Ago-201613:07x64
BCrypt.dll6.0.6002.24004306,68810-Ago-201613:08x64
Ksecdd.sys6.0.6002.19655516,32811-May-201613:10x64
Lsasrv.dll6.0.6002.196931,690,62410-Sep-201616:45x64
Lsasrv.MOFNo aplicable13,78003-Abr-200921:33No aplicable
Lsass.exe6.0.6002.1854111.26416-Nov-201114:34x64
Secur32.dll6.0.6002.1962394,72018-Mar-201618:15x64
Ksecdd.sys6.0.6002.23970517,35211-May-201613:08x64
Lsasrv.dll6.0.6002.240171,694,20809-Sep-201615:34x64
Lsasrv.MOFNo aplicable13,78007-Mar-201623:37No aplicable
Lsass.exe6.0.6002.2401711.26409-Sep-201614:46x64
Secur32.dll6.0.6002.2401794,72009-Sep-201615:35x64
NCrypt.dll6.0.6002.19678258,04810-Ago-201616:12x64
NCrypt.dll6.0.6002.24017258,04809-Sep-201615:35x64
Rpcrt4.dll6.0.6002.195981,304,57606-Feb-201602:01x64
Rpcrt4.dll6.0.6002.240171,308,16009-Sep-201615:35x64
Wdigest.dll6.0.6002.19659205,82414-mayo-201615:54x64
Wdigest.dll6.0.6002.24017205,82409-Sep-201615:35x64
Msv1_0.dll6.0.6002.19431269,82427-Jun-201515:40x64
Msv1_0.dll6.0.6002.24017269,31209-Sep-201615:35x64
Schannel.dll6.0.6002.19678353,28010-Ago-201616:12x64
Schannel.dll6.0.6002.24017354,30409-Sep-201615:35x64
Mrxsmb10.sys6.0.6002.19431278,01627-Jun-201514:30x64
Mrxsmb10.sys6.0.6002.24017278,52809-Sep-201614:37x64
Mrxsmb20.sys6.0.6002.19431109,05627-Jun-201514:30x64
Mrxsmb20.sys6.0.6002.24017110.08009-Sep-201614:37x64
Mrxsmb.sys6.0.6002.19279136,19209-Ene-201500:28x64
Mrxsmb.sys6.0.6002.24017137,21609-Sep-201614:37x64
BCrypt.dll6.0.6002.19677275,96810-Ago-201613:14x86
BCrypt.dll6.0.6002.24004275,96809-Sep-201613:14x86
Lsasrv.MOFNo aplicable13,78008-Mar-201600:42No aplicable
Secur32.dll6.0.6002.1969377,31210-Sep-201616:30x86
Lsasrv.MOFNo aplicable13,78007-Mar-201623:37No aplicable
Secur32.dll6.0.6002.2401777,31209-Sep-201615:17x86
Rpcrt4.dll6.0.6002.19598679,42406-Feb-201602:12x86
Rpcrt4.dll6.0.6002.24017678,91209-Sep-201615:17x86
Wdigest.dll6.0.6002.19659175,61614-mayo-201615:41x86
Wdigest.dll6.0.6002.24017175,61609-Sep-201615:16x86
Msv1_0.dll6.0.6002.19431218,11227-Jun-201516:02x86
Msv1_0.dll6.0.6002.24017218,11209-Sep-201615:16x86
Schannel.dll6.0.6002.19678284,16010-Ago-201615:44x86
Schannel.dll6.0.6002.24017284,67209-Sep-201615:16x86
Adsmsext.dll6.0.6002.1969375,26410-Sep-201616:27x86
Adsmsext.dll6.0.6002.2401775,26409-Sep-201615:14x86
Advapi32.dll6.0.6002.19598802,30406-Feb-201602:11x86
Advapi32.dll6.0.6002.24017802,81609-Sep-201615:14x86
NCrypt.dll6.0.6002.19678206,33610-Ago-201615:43x86
NCrypt.dll6.0.6002.24017205,31209-Sep-201615:16x86
vulnerabilidad de seguridad que puede aprovechar un atacante malintencionado

Propiedades

Id. de artículo: 3167679 - Última revisión: 10/12/2016 05:09:00 - Revisión: 8.0

Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmt KB3167679 KbMtes
Comentarios