MS12-006: La vulnerabilidad de SSL/TLS podría permitir la divulgación de información: 10 de enero de 2012

Se aplica a
Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows 7 Enterprise Windows 7 Home Premium Windows 7 Professional Windows 7 Ultimate Windows 7 Home Basic Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 Service Pack 2 Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition

INTRODUCCIÓN

Microsoft ha publicado el boletín de seguridad MS12-006. Para ver el boletín de seguridad completo, ve a uno de los siguientes sitios web de Microsoft:

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Ayuda para la instalación de actualizaciones:
Compatibilidad con Microsoft Update

Soluciones de seguridad para profesionales de TI:
Soporte técnico y solución de problemas de seguridad de TechNet

Ayude a proteger un equipo que ejecuta Windows frente a virus y malware:
Centro de seguridad y soluciones para virus

Soporte local según el país:
Soporte internacional

Corregirlo por mí

Hay dos soluciones de Fix it disponibles.

  • Solución para seguridad de la capa de transporte (TLS) 1.1 en Internet Explorer: esta solución habilita TLS 1.1, que no se ve afectada por esta vulnerabilidad, en Windows Internet Explorer. La mayoría de los usuarios suelen instalar esta solución fix it.
  • Solución para TLS 1.1 en servidores basados en Windows: esta solución habilita TLS 1.1, que no se ve afectada por la vulnerabilidad.

Las soluciones de corrección que se describen en esta sección no pretenden reemplazar ninguna actualización de seguridad. Te recomendamos que instales siempre las últimas actualizaciones de seguridad. Sin embargo, ofrecemos estas soluciones fix it como opciones de solución alternativa para algunos escenarios. 

Para obtener más información sobre las soluciones alternativas, consulte el boletín de seguridad MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 El boletín ofrece más información sobre el tema e incluye lo siguiente:

  • Los escenarios en los que podría aplicar o deshabilitar la solución alternativa
  • Factores mitigantes
  • Soluciones
  • Preguntas más frecuentes

En concreto, para ver esta información, busca la sección Información de vulnerabilidad y, a continuación, expande el párrafo Soluciones alternativas en el párrafo Vulnerabilidad de protocolos SSL y TLS: CVE-2011-3389.

Solución para TLS 1.1 en Internet Explorer

Para habilitar o deshabilitar esta solución de corrección, haga clic en el botón o vínculo Corregir en el encabezado Habilitar o Deshabilitar . Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y siga los pasos del Asistente para corrección.

Enable Deshabilitar

Notas

  • Estos asistentes pueden estar solo en inglés. Sin embargo, las correcciones automáticas también funcionan para otras versiones de idioma de Windows.
  • Si no estás en el equipo que tiene el problema, puedes guardar la corrección automática en una unidad flash o un CD y, a continuación, puedes ejecutarla en el equipo que tiene el problema.

Solución para TLS 1.1 en servidores basados en Windows

Para habilitar o deshabilitar esta solución de corrección, haga clic en el botón o vínculo Corregir en el encabezado Habilitar o Deshabilitar . Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y siga los pasos del Asistente para corrección.

Enable Deshabilitar

Notas

  • Estos asistentes pueden estar solo en inglés. Sin embargo, las correcciones automáticas también funcionan para otras versiones de idioma de Windows.
  • Si no estás en el equipo que tiene el problema, puedes guardar la corrección automática en una unidad flash o un CD y, a continuación, puedes ejecutarla en el equipo que tiene el problema.

Problemas conocidos de esta actualización de seguridad

Después de instalar esta actualización de seguridad, es posible que experimente un error de autenticación o pérdida de conectividad a algunos servidores HTTPS. Este problema se produce porque esta actualización de seguridad cambia la forma en que los registros se envían a los servidores HTTPS.

Para deshabilitar temporalmente o volver a habilitar esta actualización de seguridad, haz clic en el botón Corregir o en el vínculo de Deshabilitar la actualización de seguridad o Volver a habilitar la actualización de seguridad . Haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del asistente para corregirlo.

Deshabilitar la actualización de seguridad Volver a habilitar la actualización de seguridad

Notas

  • Estos asistentes pueden estar solo en inglés. Sin embargo, las correcciones automáticas también funcionan para otras versiones de idioma de Windows.
  • Si no estás en el equipo que tiene el problema, puedes guardar la corrección automática en una unidad flash o un CD y, a continuación, puedes ejecutarla en el equipo que tiene el problema.

En la tabla siguiente se muestran los valores que se aplican mediante estas soluciones Fix it a la entrada DWORD del Registro SendExtraRecord:

Encabezado Valor aplicado a la entrada SendExtraRecord
Deshabilitar la actualización de seguridad 2
Volver a habilitar la actualización de seguridad 0

Nota La configuración de SendExtraRecord se incluirá en futuras versiones de Windows.

Problemas conocidos e información adicional acerca de esta actualización de seguridad

En los siguientes artículos podrá encontrar información adicional sobre esta actualización de seguridad relacionada con las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos. Si este es el caso, el problema conocido se enumera a continuación de cada vínculo de artículo:

  • 2585542 MS12-006: Descripción de la actualización de seguridad para Webio, Winhttp y schannel en Windows: 10 de enero de 2012
  • 2638806 MS12-006: Descripción de la actualización de seguridad de Winhttps://Windows Server.Windows Server.2003 y Windows XP Professional x64 Edition: 10 de enero de 2012

Información de Registro

No recomendado No le recomendamos que use el siguiente procedimiento para deshabilitar esta actualización de seguridad. Sin embargo, proporcionamos este procedimiento para escenarios en los que puede estar usando aplicaciones que no son compatibles con esta actualización de seguridad, lo que habilita los registros SSL divididos para todas las aplicaciones.

Importante: esta sección, método o tarea incluye pasos que le indicarán cómo modificar el registro. Pero, si modifica el Registro de forma incorrecta, pueden producirse problemas graves. Por lo tanto, asegúrese de seguir estos pasos con atención. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows

De forma predeterminada, esta actualización de seguridad establece el modo de aceptación en el nivel schannel, debido a problemas de compatibilidad de aplicaciones. Para deshabilitar esta actualización de seguridad para todas las aplicaciones de todo el sistema, debe agregar un valor DWORD denominado SendExtraRecord y que tenga un valor de 2 a la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELPara agregar esta entrada del Registro de entrada schannel, siga estos pasos:

  1. Haga clic en Inicio, Ejecutar, escriba regedit en el cuadro Abrir y, después, haga clic en Aceptar.

  2. Busque la siguiente subclave del Registro y, después, haga clic en ella:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

  3. En el menú Editar, seleccione Nuevo y, después, haga clic en Valor DWORD.

  4. Escriba SendExtraRecord como el nombre del valor DWORD y, después, presione Entrar.

  5. Haga clic con el botón secundario en SendExtraRecord y, a continuación, haga clic en Modificar.

  6. En el cuadro Datos del valor, escriba 2 para deshabilitar el registro dividido en schannel y, a continuación, haga clic en Aceptar.

  7. Salga del Editor del Registro.

Esta entrada del Registro puede tener tres valores y cada valor proporciona diferentes modos de funcionamiento:

Valor de clave de registro Descripción
0 De manera predeterminada, schannel se incluye en "Modo Optin". Esto significa que esta actualización de seguridad funcionará para todos los autores de llamadas que envían la marca segura a schannel. El paquete de seguridad no creará la entrada de registro schannel "SendExtraRecord". Por lo tanto, ninguna entrada de registro schannel significa que el sistema está ejecutando este modo. Si alguien crea esta clave del Registro y establece el valor en 0, schannel se ejecutará de nuevo en este modo.

Esta configuración tiene el mismo efecto que no crear esta entrada del Registro en absoluto. Las aplicaciones que envían una marca segura a schannel durante la inicialización de sesión solo ejercerán la ruta de acceso de código seguro fija. Para otras aplicaciones, no habrá ningún cambio en el comportamiento schannel.

Esta actualización de seguridad también corrige las capas de aplicaciones que participan en la exploración web mediante Internet Explorer para enviar la marca segura, con el fin de ayudar a proteger los escenarios de uso del explorador.

Nota En Windows Server 2003, 2638806 de actualización de seguridad debe instalarse para ayudar a proteger las aplicaciones cliente HTTP que usan las API de WinHTTP. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
2638806 MS12-006: Descripción de la actualización de seguridad de Winhttps://Windows Server.Windows Server.2003 y Windows XP Professional x64 Edition: 10 de enero de 2012
1 Establecer el valor en 1 significa "habilitado para todos". Esto significa que los autores de llamadas no tienen que enviar la marca y el schannel dividirá todos los registros SSL. Con este valor establecido, las aplicaciones no tienen que realizar ningún cambio. Un cliente que está muy preocupado por la seguridad del sistema puede ayudar a proteger su sistema habilitando esta clave del Registro.
2 Establecer el valor en 2 significa "deshabilitado para todos". Esto significa que el schannel no dividirá los registros de cualquier llamada de cifrado que realice la aplicación. Este modo no respeta la marca segura que envía una aplicación.

En función de las pruebas internas, descubrimos que no es factible establecer el valor del Registro en 1 porque puede romper demasiados escenarios en una empresa. Por lo tanto, desaconsejamos a los usuarios su uso.

Problemas conocidos con la habilitación de la entrada del Registro SendExtraRecord

  • Si establece el valor del Registro SendExtraRecord en 1, se exigirá la división de registros en cada llamada para cifrar los datos en schannel. Esto ocurre independientemente de si el autor de la llamada envió la marca segura durante la inicialización de la sesión.
  • Muchas aplicaciones que usan schannel se escriben de modo que el lado del receptor asume que los datos de la aplicación se empaquetan en un único paquete. Esto ocurre aunque la aplicación llama schannel para descifrado. Las aplicaciones ignoran una marca establecida por schannel. La marca indica a la aplicación que el receptor debe descifrar y seleccionar más datos. Este método no sigue el método de uso de schannel prescrito por MSDN. Dado que la actualización de seguridad exige la división de registros, esto rompe dichas aplicaciones.
  • Entre las aplicaciones rotas se incluyen productos de Microsoft y componentes integrados. A continuación se muestran ejemplos de escenarios que pueden romperse cuando el valor del Registro SendExtraRecord se establece en 1:
    • Todos los productos SQL y las aplicaciones que están integradas en SQL.
    • Servidores terminales que tienen activada la autenticación de nivel de red (NLA). De forma predeterminada, NLA está habilitado en Windows Vista y versiones posteriores de Windows.
    • Algunos escenarios del Servicio de acceso remoto de enrutamiento (RRAS).

Si establece el valor del Registro SendExtraRecord en 1, se aplicará la división de registros segura para todas las aplicaciones que usan Windows TLS/SSL. Sin embargo, es probable que esta configuración tenga problemas de compatibilidad con las aplicaciones. Por lo tanto, recomendamos a los clientes que configuren TLS 1.1 y TLS 1.2 en lugar de usar esta configuración del Registro. TLS 1.1 y TLS 1.2 no son vulnerables a este problema.

Si un usuario intenta usar esta configuración del Registro, le recomendamos que pruebe exhaustivamente las pruebas de compatibilidad de aplicaciones antes de implementarla. Algunos productos comunes que se sabe que se ven afectados por esta configuración son los productos de Microsoft SQL, Terminal Windows Server y Windows Remote Access Server.

Preguntas frecuentes

P: ¿Qué puede hacer Microsoft para ayudarme a corregir mi aplicación del lado del servidor?
R: Asegúrese de que la aplicación puede controlar la fragmentación de los registros de aplicación SSL/TLS, como se describe en las siguientes RFCs: