Documento informativo sobre seguridad de Microsoft (2659883)

Una vulnerabilidad en ASP.NET podría permitir la denegación de servicio

Publicado: miércoles, 28 de diciembre de 2011

Versión: 1.0

Información general

Resumen ejecutivo

Microsoft tiene constancia de información detallada que se ha publicado en la que se describe un nuevo método para aprovechar las tablas hash. Los ataques que se dirigen a este tipo de vulnerabilidad se denominan de forma genérica "ataques de colisión de hash". Los ataques de este tipo no son específicos de las tecnologías de Microsoft y afectan a otros proveedores de software de servicios web. Esta vulnerabilidad afecta a todas las versiones de Microsoft .NET Framework y podría permitir un ataque de denegación de servicio sin autenticar en los servidores que sirven páginas ASP.NET. Los sitios que solo sirven contenido estático o no permiten tipos de contenido dinámico enumerados en los factores atenuantes siguientes no son vulnerables.

La vulnerabilidad se debe a la forma en que ASP.NET procesa los valores en una publicación de formulario ASP.NET, lo que provoca una colisión de hash. Un atacante puede enviar un número reducido de publicaciones especialmente diseñadas a un servidor ASP.NET, lo que provoca un deterioro del rendimiento lo suficientemente considerable como para dar como resultado una condición de denegación de servicio. Microsoft tiene constancia de que hay disponible información detallada que se podría usar para aprovechar esta vulnerabilidad, pero no tiene constancia de ningún ataque activo.

En este artículo se proporcionan los detalles de una solución provisional para proteger los sitios contra esta vulnerabilidad. Las implementaciones individuales para los sitios que usan ASP.NET variarán y Microsoft sugiere que los clientes evalúen las consecuencias de la solución provisional en lo que respecta a la aplicabilidad en sus implementaciones.

Estamos trabajando activamente con los socios de nuestro programa Microsoft Active Protections Program (MAPP) para proporcionar información que pueden usar para ofrecer una mayor protección a los clientes.

Una vez terminada la investigación, Microsoft adoptará las medidas apropiadas para proteger a sus clientes. Dichas medidas podrían incluir una actualización de seguridad en nuestra publicación mensual, o bien una actualización de seguridad fuera de ciclo, según las necesidades de los clientes.

Factores atenuantes:

De forma predeterminada, IIS no está habilitado en ningún sistema operativo Windows compatible
Los sitios que no permiten los tipos de contenido application/x-www-form-urlencoded o multipart/form-data HTTP no son vulnerables

Detalles del documento informativo

Referencias del problema

Para obtener más información acerca de este problema, consulte las siguientes referencias:

Referencias	Identificación
Referencia CERT	VU#903934
Referencia de CVE	CVE-2011-3414
Artículo de Microsoft Knowledge Base	KB2659883

Software afectado

Este documento informativo trata sobre el software que se indica a continuación.

Software afectado

Sistema operativo	Componente
Windows XP
Windows XP Service Pack 3	Microsoft .NET Framework 1.0 Service Pack 3 (Media Center Edition 2005 y Tablet PC Edition 2005 únicamente) Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows XP Professional x64 Edition Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Server 2003
Windows Server 2003 Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Server 2003 x64 Edition Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Server 2003 con SP2 para sistemas con Itanium	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Vista
Windows Vista Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Vista x64 Edition Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Server 2008
Windows Server 2008 para sistemas de 32 bits Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Server 2008 para sistemas x64 Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows Server 2008 para sistemas con Itanium Service Pack 2	Microsoft .NET Framework 1.1 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4^[1]
Windows 7
Windows 7 para sistemas de 32 bits	Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4^[1]
Windows 7 para sistemas de 32 bits Service Pack 1	Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4^[1]
Windows 7 para sistemas x64	Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4^[1]
Windows 7 para sistemas x64 Service Pack 1	Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4^[1]
Windows Server 2008 R2
Windows Server 2008 R2 para sistemas x64	Microsoft .NET Framework 3.5.1* Microsoft .NET Framework 4^[1]
Windows Server 2008 R2 para sistemas x64 Service Pack 1	Microsoft .NET Framework 3.5.1* Microsoft .NET Framework 4*^[1]
Windows Server 2008 R2 para sistemas con Itanium	Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4^[1]
Windows Server 2008 R2 para sistemas con Itanium Service Pack 1	Microsoft .NET Framework 3.5.1 Microsoft .NET Framework 4^[1]

*Las instalaciones Server Core están afectadas cuando el rol IIS está habilitado. Esto se aplica, con la misma clasificación de gravedad, a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, independientemente de si se ha instalado con la opción de instalación Server Core. Para obtener más información acerca de esta opción de instalación, vea los artículos de TechNet Administración de una instalación Server Core y Mantenimiento de una instalación Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; vea Comparar opciones de instalación de Server Core.

**La instalación de Server Core no está afectada. Las vulnerabilidades corregidas por este documento informativo no afectan a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, si se ha instalado con la opción de instalación Server Core. Para obtener más información acerca de esta opción de instalación, vea los artículos de TechNet Administración de una instalación Server Core y Mantenimiento de una instalación Server Core. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; vea Comparar opciones de instalación de Server Core.

^[1].NET Framework 4 y .NET Framework 4 Client Profile están afectados. Los paquetes redistribuibles de .NET Framework versión 4 están disponibles en dos perfiles: .NET Framework 4.0 y .NET Framework 4.0 Client Profile. .NET Framework 4.0 Client Profile es un subconjunto de .NET Framework 4.0. La vulnerabilidad descrita en este documento informativo afecta a .NET Framework 4.0 y .NET Framework 4.0 Client Profile. Para obtener más información, vea el artículo de MSDN Instalar .NET Framework.

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?
El propósito de este documento informativo es notificar a los clientes que Microsoft tiene constancia de un informe de vulnerabilidad disponible de forma pública que afecta a ASP.NET. Este problema afecta al software que se enumera en la sección Software afectado. Esta vulnerabilidad permite a un atacante no autenticado deteriorar el rendimiento de un sitio ASP.NET, creando una condición de denegación de servicio.

¿Cuál es la causa de la condición de denegación de servicio?
La vulnerabilidad se debe a la forma en que ASP.NET crea los valores hash de los datos de publicación de formulario especialmente diseñados e inserta dichos datos en una tabla hash, lo que provoca una colisión de hash. Cuando se encadenan muchas de estas colisiones, el rendimiento de la tabla hash se deteriora considerablemente, lo que provoca una condición de denegación de servicio.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante podría usar esta vulnerabilidad para provocar un ataque de denegación de servicio e interrumpir la disponibilidad de los sitios que usan ASP.NET.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante no autenticado podría enviar un número reducido de publicaciones de formulario ASP.NET especialmente diseñados a un sitio ASP.NET afectado, lo que provoca una condición de denegación de servicio.

¿Cómo sé si mi servicio es vulnerable?
Cualquier versión de ASP.NET es vulnerable si el envío de formularios está habilitado mediante el método POST de HTTP, que es la configuración predeterminada. Las solicitudes GET de HTTP especialmente diseñadas no provocan el problema. La funcionalidad .NET distinta de ASP.NET, incluida la funcionalidad en el lado cliente, no está afectada.

Nota: el incremento del tamaño predeterminado de la cadena de consulta y del encabezado de solicitud HTTP aumentará la susceptibilidad del servidor IIS al problema de denegación de servicio descrito en este documento informativo. Para obtener más información acerca de la configuración de estos límites, vea el artículo 820129 de Microsoft Knowledge Base.

¿Se trata de una vulnerabilidad de la seguridad que requiere la publicación de una actualización de seguridad por parte de Microsoft?
Sí. Microsoft está trabajando actualmente para desarrollar una actualización de seguridad para Microsoft .NET Framework que corrige esta vulnerabilidad. Microsoft publicará la actualización de seguridad cuando haya alcanzado el nivel de calidad apropiado para su distribución masiva.

¿Se trata de un problema del sector?
Los ataques que se dirigen a este tipo de vulnerabilidad se denominan de forma genérica "ataques de colisión de hash". Los ataques de este tipo no son específicos de las tecnologías de Microsoft y afectan a otros proveedores de software de servicios web. Los clientes deben ponerse en contacto con sus proveedores de plataforma web para obtener instrucciones o actualizaciones.

Acciones recomendadas

Información adicional:

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.

Soporte técnico

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, vea Ayuda y soporte técnico de Microsoft.
Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.
Microsoft TechNet Security
proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia

La información proporcionada en este documento informativo se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (28 de diciembre de 2011): Publicación del documento informativo.