MS16-101: Actualización de seguridad para los métodos de autenticación de Windows: 9 de agosto de 2016

Resumen

Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada en un sistema unido al dominio.

Para obtener más información acerca de la vulnerabilidad, consulte el boletín de seguridad de Microsoft MS16-101.

Más información

Importante:

• Todas las futuras actualizaciones de seguridad y que no son de seguridad para Windows 8.1 y Windows Server 2012 R2 requieren la actualización 2919355 para instalarse. Se recomienda instalar la actualización 2919355 en el equipo basado en Windows Server 2012 R2 o Windows 8.1 para que reciban actualizaciones futuras.

• Si instala un paquete de idioma después de instalar esta actualización, debe reinstalar esta actualización. Por lo tanto, se recomienda que instale cualquier paquete de idioma necesario antes de la instalación de esta actualización. Para obtener más información, vea Agregar paquetes de idioma para Windows.

Información adicional acerca de esta actualización de seguridad

Los artículos siguientes contienen información adicional acerca de esta actualización de seguridad, ya que se refieren a las versiones de productos individuales. Los artículos pueden contener información sobre problemas conocidos.

• 3177108 MS16-101: descripción de la actualización de seguridad para los métodos de autenticación de Windows: 9 de agosto de 2016

• 3167679 MS16-101: descripción de la actualización de seguridad para los métodos de autenticación de Windows: 9 de agosto de 2016

• Actualización de calidad de solo seguridad de octubre de 2016 3192392 para Windows 8.1 y Windows Server 2012 R2

• 3185331 Paquete acumulativo mensual de calidad de seguridad de octubre de 2016 para Windows 8.1 y Windows Server 2012 R2

• Actualización de calidad de solo seguridad de octubre de 2016, 3192393, para Windows Server 2012

• Paquete acumulativo de calidad mensual de seguridad de octubre de 2016, 3185332 para Windows Server 2012

• Actualización de calidad de solo seguridad de octubre de 2016, 3192391, para Windows 7 SP1 y Windows Server 2008 R2 SP1

• 3185330 Paquete acumulativo mensual de calidad de seguridad de octubre de 2016 para Windows 7 SP1 y Windows Server 2008 R2 SP1

• 3192440 Actualización acumulativa para Windows 10: 11 de octubre de 2016

• 3194798 Actualización acumulativa de Windows 10 Versión 1607 y Windows Server 2016: 11 de octubre de 2016

• 3192441 Actualización acumulativa para Windows 10 versión 1511: 11 de octubre de 2016

Actualizaciones de seguridad que se reemplazanSe han reemplazado las actualizaciones de seguridad siguientes:

• 3176492 Actualización acumulativa para Windows 10: 9 de agosto de 2016

• 3176493 Actualización acumulativa para Windows 10 versión 1511: 9 de agosto de 2016

• 3176495 Actualización acumulativa para Windows 10 versión 1607: 9 de agosto de 2016

Las siguientes son las nuevas actualizaciones de seguridad que reemplazan a las actualizaciones de seguridad que se mencionó anteriormente:

• 3192440 Actualización acumulativa para Windows 10: 11 de octubre de 2016

• 3194798 Actualización acumulativa de Windows 10 Versión 1607 y Windows Server 2016: 11 de octubre de 2016

• 3192441 Actualización acumulativa para Windows 10 versión 1511: 11 de octubre de 2016

Problemas conocidos en esta actualización de seguridad

• Problema conocido 1
  
  Las actualizaciones más recientes y las actualizaciones de seguridad que se proporcionan en MS16-101 deshabilitan la capacidad del proceso de negociación de recurrir a NTLM cuando se produce un error en la autenticación Kerberos para las operaciones de cambio de contraseña con el código de error STATUS_NO_LOGON_SERVERS (0xc000005e) . En esta situación, puede recibir uno de los siguientes códigos de error.
  
  

  Hexadecimal	Decimal	Simbólico	Descriptivo
  0xc0000388	1073740920	STATUS_DOWNGRADE_DETECTED	El sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	El sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.

  
  
  Solución alternativa
  
  Si fallan los cambios de contraseña que previamente se realizaron correctamente después de la instalación de MS16-101, es probable que los cambios de contraseña se basaran anteriormente en la reserva NTLM porque estaba fallando Kerberos. Para poder cambiar las contraseñas con éxito mediante protocolos de Kerberos, siga estos pasos:
  
  
  

  1. Configurar una comunicación abierta en el puerto TCP 464 entre los clientes que tienen instalado MS16-101 y el controlador de dominio que está dando servicio a los restablecimientos de contraseña.
     
     Los controladores de dominio de sólo lectura (RODC) pueden atender a los restablecimientos de contraseña sin intervención del administrador si el usuario está autorizado por la directiva de replicación de contraseñas de RODC. Los usuarios no autorizados por la directiva de contraseñas RODC requieren conectividad de red con un controlador de dominio de lectura y escritura (RWDC) en el dominio de la cuenta de usuario.
     
     Nota: Para comprobar si está abierto el puerto TCP 464, siga estos pasos:
     
     
     

     1. Crear un filtro de presentación equivalente para el analizador de monitor de red. Por ejemplo:
        

        ipv4.address== <ip address of client> && tcp.port==464

     2. En los resultados, busque el marco "TCP: [SynReTransmit".
        
        

  2. Asegúrese de que los nombres de Kerberos de destino son válidos. (Las direcciones IP no son válidas para el protocolo Kerberos. Kerberos admite nombres cortos y nombres de dominio completos).

  3. Asegúrese de que los nombres principales de servicio (SPN) están registrados correctamente.
     
     Para obtener más información, vea Kerberos y restablecimiento de contraseña sin intervención del administrador.

• Problema conocido 2
  
  Sabemos acerca de un problema en el que los restablecimientos de contraseña mediante programación de usuario de dominio fallan y devuelven el código de error STATUS_DOWNGRADE_DETECTED (0x800704F1) , si dicho error es uno de los siguientes:
  
  

  • ERROR_INVALID_PASSWORD

  • ERROR_PWD_TOO_SHORT (poco frecuente)

  • STATUS_WRONG_PASSWORD

  • STATUS_PASSWORD_RESTRICTION

  
  La tabla siguiente muestra la asignación completa del error.
  
  

  Hexadecimal	Decimal	Simbólico	Descriptivo
  0x56	86	ERROR_INVALID_PASSWORD	La contraseña de red especificada no es correcta.
  0x267	615	ERROR_PWD_TOO_SHORT	La contraseña que proporcionó es demasiado corta para cumplir las directivas de su cuenta de usuario. Proporcione una contraseña más larga.
  0xc000006a	-1073741718	STATUS_WRONG_PASSWORD	Al intentar actualizar una contraseña, este estado de retorno indica que el valor proporcionado como contraseña actual es incorrecto.
  0xc000006c	-1073741716	STATUS_PASSWORD_RESTRICTION	Al intentar actualizar una contraseña, este estado de retorno indica que se ha infringido alguna regla de actualización de la contraseña. Por ejemplo, la contraseña puede no satisfacer los criterios de longitud.
  0x800704F1	1265	STATUS_DOWNGRADE_DETECTED	El sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.
  0xc0000388	-1073740920	STATUS_DOWNGRADE_DETECTED	El sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.

  
  
  Solución
  
  MS16-101 se ha vuelto a publicar para tratar este problema. Instale la versión más reciente de las actualizaciones de este boletín resolver este problema.
  
  

• Problema conocido 3
  
  Sabemos acerca de un problema en el que los reinicios de programación de los cambios de contraseña de cuenta de usuario local pueden producir errores y devolver el código de error STATUS_DOWNGRADE_DETECTED (0x800704F1) .
  
  La tabla siguiente muestra la asignación completa del error.
  
  

  Hexadecimal	Decimal	Simbólico	Descriptivo
  0x4f1	1265	ERROR_DOWNGRADE_DETECTED	El sistema no puede ponerse en contacto con un controlador de dominio para atender la solicitud de autenticación. Vuelva a intentarlo más tarde.

  
  
  Solución
  
  MS16-101 se ha vuelto a publicar para tratar este problema. Instale la versión más reciente de las actualizaciones de este boletín resolver este problema.
  
  

• Problema conocido 4
  
  No se pueden cambiar las contraseñas de cuentas de usuario deshabilitadas y bloqueadas mediante el paquete de negociación.
  
  
  Los cambios de contraseña para cuentas deshabilitadas y bloqueadas seguirán funcionando cuando se utilizan otros métodos, como cuando se utiliza una operación de modificación LDAP directamente. Por ejemplo, el cmdlet de PowerShell Set-ADAccountPassword utiliza una operación de "Modificación LDAP" para cambiar la contraseña y no se ve afectado.
  
  Solución alternativa
  
  Estas cuentas requieren un administrador para realizar los restablecimientos de contraseña. Este comportamiento es por diseño después de instalar revisiones MS16-101 y posteriores.
  
  

• Problema conocido 5
  
  Aplicaciones que utilizan la API NetUserChangePassword y que pase el nombre del servidor en el parámetro domainname dejarán de funcionar después de MS16-101 y se instalan las actualizaciones posteriores.
  
  Documentación de Microsoft establece que proporcionar un nombre de servidor remoto en el parámetro de nombre de dominio de la función NetUserChangePassword es compatible. Por ejemplo, el tema MSDN función NetUserChangePassword afirma lo siguiente:
  
  nombreDeDominio [in]
  

  El puntero a una cadena constante que especifica el nombre DNS o NetBIOS de un servidor remoto o dominio en el que ejecutar la función. Si este parámetro es NULL, se utiliza el dominio de inicio de sesión del llamador.Estado
  
  Esta guía se ha sustituido por MS16-101, a menos que restablezca la contraseña de una cuenta local en el equipo local.
  
  Después de MS16-101, para que los cambios de contraseña de usuario de dominio funcionen, debe pasar un nombre de dominio DNS válido a la API NetUserChangePassword.

• Problema conocido 6
  
  Después de instalar las actualizaciones de seguridad que se describen en MS16-101, remoto, cambio de contraseña de una cuenta de usuario local en el programa y los cambios de contraseña a través del bosque de confianza no.
  
  
  Se produce un error en esta operación porque la operación se basa en reserva NTLM que ya no se admite para las cuentas locales después de instala MS16-101.
  
  
  Una entrada del registro es siempre que puede utilizar para deshabilitar este cambio.
  
  Advertencia: esta solución puede hacer que un equipo o una red sean más vulnerables a los ataques de usuarios malintencionados o de software malintencionado como los virus. No recomendamos esta solución, pero proporcionamos esta información para que puede implementar esta solución temporal a su propia discreción. Utilice esta solución bajo su propia responsabilidad.
  
  Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

  322756 Cómo realizar una copia de seguridad y restaurar el registro de Windows
  
  Para deshabilitar este cambio, establezca la entrada DWORD NegoAllowNtlmPwdChangeFallback utilizar un valor de 1 (uno).
  
  
  Importante: Establece la entrada del registro NegoAllowNtlmPwdChangeFallback a un valor de 1, se deshabilitará esta revisión de seguridad:
  

  Valor del registro	Descripción
  0	Valor predeterminado. Se evita la reserva.
  1	Reserva siempre está permitido. La revisión de seguridad está desactivada. Los clientes que tienen problemas con cuentas locales remotas o escenarios de bosque de confianza pueden establecer el registro en este valor.

  Para agregar estos valores del registro, siga estos pasos:
  

  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
     

     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
     

  3. En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.

  4. Escriba NegoAllowNtlmPwdChangeFallback como nombre del valor DWORD y, a continuación, presione ENTRAR.

  5. Haga clic en NegoAllowNtlmPwdChangeFallbacky, a continuación, haga clic en Modificar.

  6. En el cuadro información del valor , escriba 1 para deshabilitar este cambio y, a continuación, haga clic en Aceptar.
     
     
     Nota: Para restaurar el valor predeterminado, escriba 0 (cero) y, a continuación, haga clic en Aceptar.

  Estado
  
  Se entiende la causa de este problema. En este artículo se actualizará con detalles adicionales cuando estén disponibles.

Cómo obtener e instalar la actualización

Método 1: Windows Update

Esta actualización está disponible a través de Windows Update. Cuando active las actualizaciones automáticas, esta actualización se descargará y se instalará automáticamente. Para obtener más información acerca de cómo activar actualizaciones automáticas, consulte
Obtener actualizaciones de seguridad automáticamente.

Método 2: Catálogo de Microsoft Update

Para obtener el paquete independiente de esta actualización, visite el sitio web de Catálogo de Microsoft Update.

Más información