Boletín de seguridad de Microsoft MS09-012 - Importante

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• El atacante debe poder ejecutar código en el equipo local para aprovechar esta vulnerabilidad.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• IIS 6.0: Configurar una identidad de proceso de trabajo (WPI) para un grupo de aplicaciones en IIS para que use una cuenta creada en Administrador de IIS y deshabilite MSDTC

  Realice los pasos siguientes:

  1. En Administrador de IIS, expanda el equipo local, expanda Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y seleccione Propiedades.
  2. Haga clic en la ficha Identidad y en Configurable. En los cuadros Nombre de usuario y Contraseña, escriba el nombre de usuario y la contraseña de la cuenta en la que desea que funcione el proceso de trabajo.
  3. Agregue la cuenta de usuario elegida al grupo IIS_WPG.

  La deshabilitación del Coordinador de transacciones distribuidas ayudará a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para deshabilitar el Coordinador de transacciones distribuidas, realice estos pasos:

  1. Haga clic en Inicio y, a continuación, en Panel de control. También puede, seleccionar Configuración y, a continuación, hacer clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas. También puede hacer clic en Cambiar a vista clásica y, a continuación, hacer doble clic en Herramientas administrativas.
  3. Haga doble clic en Servicios.
  4. Haga doble clic en Coordinador de transacciones distribuidas.
  5. En la lista Tipo de inicio, haga clic en Deshabilitado.
  6. Haga clic en Detener (si se ha iniciado) y, a continuación, en Aceptar.

  También puede detener y deshabilitar el servicio MSDTC con el siguiente comando en el símbolo del sistema:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones. Como ejemplo de autenticación de Windows, vea el artículo 871179 de Microsoft Knowledge Base. La deshabilitación de MSDTC impedirá que las aplicaciones usen las transacciones distribuidas. La deshabilitación de MSDTC impedirá que IIS 5.1 se ejecute en Windows XP Professional Service Pack 2 y Windows XP Professional Service Pack 3, y que IIS 6.0 se ejecute en modo de compatibilidad con IIS 5.0. La deshabilitación de MSDTC impedirá la configuración y la ejecución de las aplicaciones COM+.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS
  1. En Administrador de IIS, expanda el nodo de servidor, haga clic en Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y, a continuación, haga clic en Configuración avanzada…
  2. Busque la entrada Identidad y haga clic en el botón … para abrir el cuadro de diálogo Identidad del grupo de aplicaciones.
  3. Seleccione la opción Cuenta personalizada y haga clic en Establecer para abrir el cuadro de diálogo Establecer credenciales. Escriba el nombre de cuenta y la contraseña seleccionados en los cuadros de texto de nombre de usuario y contraseña. Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña y, a continuación, haga clic en Aceptar.

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS7 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS con la utilidad de la línea de comandos APPCMD.exe
  1. En el símbolo del sistema con derechos elevados, cambie al directorio %systemroot%\system32\inetsrv.
  2. Ejecute el comando APPCMD.exe con la siguiente sintaxis, donde string es el nombre del grupo de aplicaciones; userName:string es el nombre de usuario de la cuenta asignada al grupo de aplicaciones y password:string es la contraseña de la cuenta.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS 7.0 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario con privilegios de NetworkService. De esta forma, un atacante podría obtener el testigo de LocalSystem de otros servicios vulnerables e instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a que el servicio de transacciones del Coordinador de transacciones distribuidas de Microsoft (MSDTC) permite que el testigo de NetworkService se obtenga y se use al realizar una llamada RPC.

¿Qué es el Coordinador de transacciones distribuidas de Microsoft?  
El Coordinador de transacciones distribuidas de Microsoft (MSDTC) es un servicio para plataformas de Microsoft Windows. MSDTC utiliza tecnología probada de procesamiento de transacciones. Es seguro incluso en caso de errores de sistema, de procesos y de comunicación; aprovecha sistemas con correspondencia imprecisa para proporcionar un rendimiento escalable; y es muy fácil de instalar, configurar y administrar.

Para obtener más información acerca de MSDTC, vea el artículo de MSDN Guía de desarrollo de DTC.

¿Qué es RPC?  
Llamada a procedimiento remoto (RPC, Remote Procedure Call) es un protocolo que los programas pueden utilizar para solicitar un servicio de un programa ubicado en otro equipo de una red. RPC contribuye a la interoperabilidad porque el programa que lo utiliza no necesita entender los protocolos de la red mediante los que se establece la comunicación. En RPC, el programa que realiza la solicitud es el cliente y el que proporciona el servicio es el servidor.

¿Qué es la cuenta NetworkService?  
La cuenta NetworkService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y actúa como el equipo en la red. Un servicio que se ejecuta en el contexto de la cuenta NetworkService presenta las credenciales del equipo a los servidores remotos. Para obtener más información, vea el artículo de MSDN Cuenta NetworkService.

¿Qué es la cuenta LocalService?  
La cuenta LocalService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Para obtener información, vea el artículo de MSDN Cuenta LocalService.

¿Qué es la cuenta LocalSystem?  
La cuenta LocalSystem es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios amplios en el equipo local y actúa como el equipo en la red. Su testigo incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad del Administrador de control de servicios. La mayoría de los servicios no necesitan un nivel de privilegios tan alto. Para obtener más información, vea el artículo de MSDN Cuenta LocalService.

¿De qué forma este problema afecta a IIS?  
Los sistemas que ejecutan código proporcionado por el usuario en Internet Information Services (IIS) pueden estar afectados. Por ejemplo filtros y extensiones ISAPI, y el código ASP.NET que se ejecuta con plena confianza puede estar afectado por esta vulnerabilidad.

IIS no está afectado en los siguientes escenarios:

• Instalaciones predeterminadas de IIS 5.1, IIS 6.0 e IIS 7.0
• ASP.NET configurado para ejecutar con un nivel de confianza inferior a plena confianza

¿De qué forma este problema afecta a SQL Server?  
Los sistemas que ejecutan SQL Server pueden estar afectados si a un usuario se le conceden privilegios administrativos para cargar y ejecutar código. Un usuario con privilegios de administrador de SQL Server podría ejecutar código especialmente diseñado que pudiera aprovechar el ataque. Sin embargo, este privilegio no se concede de forma predeterminada.

¿Qué aplicaciones adicionales pueden estar afectadas por esta vulnerabilidad?  
Los sistemas que ejecutan cualquier proceso con SeImpersonatePrivilege que carga y ejecuta código proporcionado por el usuario pueden ser susceptibles de un ataque de elevación de privilegios, tal como se describe en este boletín de seguridad. La configuración SeImpersonatePrivilege se describe en el artículo 821546 de Microsoft Knowledge Base.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código especialmente diseñado en el contexto de la cuenta NetworkService. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Para aprovechar esta vulnerabilidad, el atacante debería iniciar sesión en el sistema. Seguidamente, podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad a fin de obtener el control completo del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no tenga permisos administrativos disponga de la capacidad para iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

Todos los sistemas que ejecutan todas las ediciones compatibles de Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 y todas las versiones y ediciones compatibles de Windows Server 2003, Windows Vista y Windows Server 2008 pueden estar expuestos si IIS está habilitado o si SQL Server se instala y configura o implementa en estado vulnerable, tal como se describe en este boletín.

Además, los sistemas IIS que permiten a los usuarios cargar código están más expuestos. Los sistemas SQL Server están expuestos si a los usuarios que no sean de confianza se les concede acceso a una cuenta con privilegios. Esto puede incluir a proveedores de hospedaje Web o entornos similares.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al reducir el nivel de privilegio en el testigo solicitado por MSDTC.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2008-1436.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
Sí. Microsoft es consciente de ataques limitados y dirigidos que intentan aprovechar esta vulnerabilidad.

¿Ayuda la aplicación de esta actualización de seguridad a proteger a los clientes del código, que se ha divulgado públicamente, que intenta explotar esta vulnerabilidad?  
Sí. Esta actualización de seguridad soluciona la vulnerabilidad. A la vulnerabilidad que se ha tratado se le ha asignado el número de vulnerabilidad y exposición común CVE-2008-1436.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• El atacante debe poder ejecutar código en el equipo local para aprovechar esta vulnerabilidad.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• IIS 6.0: Configurar una identidad de proceso de trabajo (WPI) para un grupo de aplicaciones en IIS para que use una cuenta creada en Administrador de IIS y deshabilite MSDTC

  Realice los pasos siguientes:

  1. En Administrador de IIS, expanda el equipo local, expanda Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y seleccione Propiedades.
  2. Haga clic en la ficha Identidad y en Configurable. En los cuadros Nombre de usuario y Contraseña, escriba el nombre de usuario y la contraseña de la cuenta en la que desea que funcione el proceso de trabajo.
  3. Agregue la cuenta de usuario elegida al grupo IIS_WPG.

  La deshabilitación del Coordinador de transacciones distribuidas ayudará a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para deshabilitar el Coordinador de transacciones distribuidas, realice estos pasos:

  1. Haga clic en Inicio y, a continuación, en Panel de control. También puede, seleccionar Configuración y, a continuación, hacer clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas. También puede hacer clic en Cambiar a vista clásica y, a continuación, hacer doble clic en Herramientas administrativas.
  3. Haga doble clic en Servicios.
  4. Haga doble clic en Coordinador de transacciones distribuidas.
  5. En la lista Tipo de inicio, haga clic en Deshabilitado.
  6. Haga clic en Detener (si se ha iniciado) y, a continuación, en Aceptar.

  También puede detener y deshabilitar el servicio MSDTC con el siguiente comando en el símbolo del sistema:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones. Como ejemplo de autenticación de Windows, vea el artículo 871179 de Microsoft Knowledge Base. La deshabilitación de MSDTC impedirá que las aplicaciones usen las transacciones distribuidas. La deshabilitación de MSDTC impedirá que IIS 5.1 se ejecute en Windows XP Professional Service Pack 2 y Windows XP Professional Service Pack 3, y que IIS 6.0 se ejecute en modo de compatibilidad con IIS 5.0. La deshabilitación de MSDTC impedirá la configuración y la ejecución de las aplicaciones COM+.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS
  1. En Administrador de IIS, expanda el nodo de servidor, haga clic en Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y, a continuación, haga clic en Configuración avanzada…
  2. Busque la entrada Identidad y haga clic en el botón … para abrir el cuadro de diálogo Identidad del grupo de aplicaciones.
  3. Seleccione la opción Cuenta personalizada y haga clic en Establecer para abrir el cuadro de diálogo Establecer credenciales. Escriba el nombre de cuenta y la contraseña seleccionados en los cuadros de texto de nombre de usuario y contraseña. Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña y, a continuación, haga clic en Aceptar.

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS7 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS con la utilidad de la línea de comandos APPCMD.exe
  1. En el símbolo del sistema con derechos elevados, cambie al directorio %systemroot%\system32\inetsrv.
  2. Ejecute el comando APPCMD.exe con la siguiente sintaxis, donde string es el nombre del grupo de aplicaciones; userName:string es el nombre de usuario de la cuenta asignada al grupo de aplicaciones y password:string es la contraseña de la cuenta.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS 7.0 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario con los mismos privilegios que la cuenta LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a que el proveedor de Instrumental de administración de Windows (WMI) aísla incorrectamente los procesos que se ejecutan en las cuentas NetworkService o LocalService. Dos procesos independientes que se ejecuten en la misma cuenta tienen acceso total a los recursos del otro, como el identificador de archivo, las claves del Registro, los identificadores, etc. El proceso host del proveedor WMI mantiene testigos SYSTEM en determinados escenarios. Si un atacante obtiene acceso a un equipo en el contexto de una cuenta NetworkService o LocalService, puede ejecutar código para sondear los procesos host del proveedor WMI para los testigos SYSTEM. Una vez encontrado un testigo SYSTEM, el código del atacante puede usarlo para obtener privilegios de nivel SYSTEM.

¿Qué es el Instrumental de administración de Windows (WMI)?  
El Instrumental de Administración de Windows (WMI) es la tecnología de administración principal para sistemas operativos Microsoft Windows. Permite una administración, un control y una supervisión coherentes y uniformes de los sistemas en toda la empresa. WMI permite que los administradores del sistema consulten, cambien y supervisen las opciones de configuración en los sistemas de escritorio y de servidor, aplicaciones, redes y otros componentes empresariales. Para obtener más información, vea Manual básico de secuencias de comandos de WMI.

¿Qué es la cuenta NetworkService?  
La cuenta NetworkService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y actúa como el equipo en la red. Un servicio que se ejecuta en el contexto de la cuenta NetworkService presenta las credenciales del equipo a los servidores remotos. Para obtener más información, vea el artículo de MSDN Cuenta NetworkService.

¿Qué es la cuenta LocalService?  
La cuenta LocalService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Para obtener información, vea el artículo de MSDN Cuenta LocalService.

¿Qué es la cuenta LocalSystem?  
La cuenta LocalSystem es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios amplios en el equipo local y actúa como el equipo en la red. Su testigo incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad del Administrador de control de servicios. La mayoría de los servicios no necesitan un nivel de privilegios tan alto. Para obtener más información, vea el artículo de MSDN Cuenta LocalService.

¿De qué forma este problema afecta a IIS?  
Los sistemas que ejecutan código proporcionado por el usuario en Internet Information Services (IIS) pueden estar afectados. Por ejemplo filtros y extensiones ISAPI, y el código ASP.NET que se ejecuta con plena confianza puede estar afectado por esta vulnerabilidad.

IIS no está afectado en los siguientes escenarios:

• Instalaciones predeterminadas de IIS 5.1, IIS 6.0 e IIS 7.0
• ASP.NET configurado para ejecutar con un nivel de confianza inferior a plena confianza

¿De qué forma este problema afecta a SQL Server?  
Los sistemas que ejecutan SQL Server pueden estar afectados si a un usuario se le conceden privilegios administrativos para cargar y ejecutar código. Un usuario con privilegios de administrador de SQL Server podría ejecutar código especialmente diseñado que pudiera aprovechar el ataque. Sin embargo, este privilegio no se concede de forma predeterminada.

¿Qué proveedores WMI se ven afectados por esta actualización?
En el artículo 956572 de Microsoft Knowledge Base se puede encontrar una lista completa de los proveedores WMI afectados por esta actualización.

¿Qué aplicaciones adicionales pueden estar afectadas por esta vulnerabilidad?  
Los sistemas que ejecutan cualquier proceso con SeImpersonatePrivilege que carga y ejecuta código proporcionado por el usuario pueden ser susceptibles de un ataque de elevación de privilegios, tal como se describe en este boletín de seguridad. La configuración SeImpersonatePrivilege se describe en el artículo 821546 de Microsoft Knowledge Base.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código especialmente diseñado en el contexto de las cuentas NetworkService o LocalService que puede obtener acceso a los recursos en los procesos que también se ejecutan como NetworkService o LocalService. Algunos de estos procesos pueden tener la capacidad de elevar sus privilegios a LocalSystem, lo que permite que cualquier proceso de NetworkService o LocalService eleve también sus privilegios a LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Para aprovechar esta vulnerabilidad, el atacante primero tendría que convencer a un usuario con la sesión iniciada para que ejecutara código en su sistema. Seguidamente, podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad a fin de obtener el control completo del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no tenga los suficientes permisos administrativos tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

Todos los sistemas que ejecutan todas las ediciones compatibles de Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 y todas las versiones y ediciones compatibles de Windows Server 2003, Windows Vista y Windows Server 2008 pueden estar expuestos si IIS está habilitado o si SQL Server se instala y configura o implementa en estado vulnerable, tal como se describe en este boletín.

Además, los sistemas IIS que permiten a los usuarios cargar código están más expuestos. Los sistemas SQL Server están expuestos si a los usuarios que no sean de confianza se les concede acceso a una cuenta con privilegios. Esto puede incluir a proveedores de hospedaje Web o entornos similares.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al aislar correctamente los proveedores WMI para garantizar que se invocan de una manera segura.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2009-0078.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
Sí. Microsoft es consciente de ataques limitados y dirigidos que intentan aprovechar esta vulnerabilidad.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• El atacante debe poder ejecutar código en el equipo local para aprovechar esta vulnerabilidad.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• IIS 6.0: Configurar una identidad de proceso de trabajo (WPI) para un grupo de aplicaciones en IIS para que use una cuenta creada en Administrador de IIS y deshabilite MSDTC

  Realice los pasos siguientes:

  1. En Administrador de IIS, expanda el equipo local, expanda Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y seleccione Propiedades.
  2. Haga clic en la ficha Identidad y en Configurable. En los cuadros Nombre de usuario y Contraseña, escriba el nombre de usuario y la contraseña de la cuenta en la que desea que funcione el proceso de trabajo.
  3. Agregue la cuenta de usuario elegida al grupo IIS_WPG.

  La deshabilitación del Coordinador de transacciones distribuidas ayudará a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para deshabilitar el Coordinador de transacciones distribuidas, realice estos pasos:

  1. Haga clic en Inicio y, a continuación, en Panel de control. También puede, seleccionar Configuración y, a continuación, hacer clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas. También puede hacer clic en Cambiar a vista clásica y, a continuación, hacer doble clic en Herramientas administrativas.
  3. Haga doble clic en Servicios.
  4. Haga doble clic en Coordinador de transacciones distribuidas.
  5. En la lista Tipo de inicio, haga clic en Deshabilitado.
  6. Haga clic en Detener (si se ha iniciado) y, a continuación, en Aceptar.

  También puede detener y deshabilitar el servicio MSDTC con el siguiente comando en el símbolo del sistema:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones. Como ejemplo de autenticación de Windows, vea el artículo 871179 de Microsoft Knowledge Base. La deshabilitación de MSDTC impedirá que las aplicaciones usen las transacciones distribuidas. La deshabilitación de MSDTC impedirá que IIS 5.1 se ejecute en Windows XP Professional Service Pack 2 y Windows XP Professional Service Pack 3, y que IIS 6.0 se ejecute en modo de compatibilidad con IIS 5.0. La deshabilitación de MSDTC impedirá la configuración y la ejecución de las aplicaciones COM+.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS
  1. En Administrador de IIS, expanda el nodo de servidor, haga clic en Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y, a continuación, haga clic en Configuración avanzada…
  2. Busque la entrada Identidad y haga clic en el botón … para abrir el cuadro de diálogo Identidad del grupo de aplicaciones.
  3. Seleccione la opción Cuenta personalizada y haga clic en Establecer para abrir el cuadro de diálogo Establecer credenciales. Escriba el nombre de cuenta y la contraseña seleccionados en los cuadros de texto de nombre de usuario y contraseña. Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña y, a continuación, haga clic en Aceptar.

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS7 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS con la utilidad de la línea de comandos APPCMD.exe
  1. En el símbolo del sistema con derechos elevados, cambie al directorio %systemroot%\system32\inetsrv.
  2. Ejecute el comando APPCMD.exe con la siguiente sintaxis, donde string es el nombre del grupo de aplicaciones; userName:string es el nombre de usuario de la cuenta asignada al grupo de aplicaciones y password:string es la contraseña de la cuenta.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS 7.0 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario con privilegios de LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a que el servicio RPCSS aísla incorrectamente los procesos que se ejecutan en las cuentas NetworkService o LocalService.

¿Qué es RPC?  
Llamada a procedimiento remoto (RPC, Remote Procedure Call) es un protocolo que los programas pueden utilizar para solicitar un servicio de un programa ubicado en otro equipo de una red. RPC contribuye a la interoperabilidad porque el programa que lo utiliza no necesita entender los protocolos de la red mediante los que se establece la comunicación. En RPC, el programa que realiza la solicitud es el cliente y el que proporciona el servicio es el servidor.

¿Qué es la cuenta NetworkService?  
La cuenta NetworkService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y actúa como el equipo en la red. Un servicio que se ejecuta en el contexto de la cuenta NetworkService presenta las credenciales del equipo a los servidores remotos. Para obtener más información, vea el artículo de MSDN Cuenta NetworkService.

¿Qué es la cuenta LocalService?  
La cuenta LocalService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Para obtener información, vea el artículo de MSDN Cuenta LocalService.

¿Qué es la cuenta LocalSystem?  
La cuenta LocalSystem es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios amplios en el equipo local y actúa como el equipo en la red. Su testigo incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad del Administrador de control de servicios. La mayoría de los servicios no necesitan un nivel de privilegios tan alto. Para obtener más información, vea el artículo de MSDN Cuenta LocalService.

¿De qué forma este problema afecta a IIS?  
Los sistemas que ejecutan código proporcionado por el usuario en Internet Information Services (IIS) pueden estar afectados. Por ejemplo filtros y extensiones ISAPI, y el código ASP.NET que se ejecuta con plena confianza puede estar afectado por esta vulnerabilidad.

IIS no está afectado en los siguientes escenarios:

• Instalaciones predeterminadas de IIS 5.1, IIS 6.0 e IIS 7.0
• ASP.NET configurado para ejecutar con un nivel de confianza inferior a plena confianza

¿De qué forma este problema afecta a SQL Server?  
Los sistemas que ejecutan SQL Server pueden estar afectados si a un usuario se le conceden privilegios administrativos para cargar y ejecutar código. Un usuario con privilegios de administrador de SQL Server podría ejecutar código especialmente diseñado que pudiera aprovechar el ataque. Sin embargo, este privilegio no se concede de forma predeterminada.

¿Qué aplicaciones adicionales pueden estar afectadas por esta vulnerabilidad?  
Los sistemas que ejecutan cualquier proceso con SeImpersonatePrivilege que carga y ejecuta código proporcionado por el usuario pueden ser susceptibles de un ataque de elevación de privilegios, tal como se describe en este boletín de seguridad. La configuración SeImpersonatePrivilege se describe en el artículo 821546 de Microsoft Knowledge Base.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código especialmente diseñado en el contexto de las cuentas NetworkService o LocalService que puede obtener acceso a los recursos en los procesos que también se ejecutan como NetworkService o LocalService. Algunos de estos procesos pueden tener la capacidad de elevar sus privilegios a LocalSystem, lo que permite que cualquier proceso de NetworkService o LocalService eleve también sus privilegios a LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Para aprovechar esta vulnerabilidad, el atacante debería iniciar sesión en el sistema. Seguidamente, podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad a fin de obtener el control completo del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no tenga los suficientes permisos administrativos tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

Todos los sistemas que ejecutan Windows XP Professional Service Pack 2, Windows XP Professional Service Pack 3 y todas las versiones y ediciones compatibles de Windows Server 2003 pueden estar expuestos si IIS está habilitado o si SQL Server se instala y configura o implementa en estado vulnerable, tal como se describe en este boletín.

Además, los sistemas IIS que permiten a los usuarios cargar código están más expuestos. Los sistemas SQL Server están expuestos si a los usuarios que no sean de confianza se les concede acceso a una cuenta con privilegios. Esto puede incluir a proveedores de hospedaje Web o entornos similares.

¿Cómo funciona esta actualización?  
La vulnerabilidad corrige la vulnerabilidad al aislar correctamente los procesos que se ejecutan en las cuentas NetworkService o LocalService.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2009-0079.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
Sí. Microsoft es consciente de ataques limitados y dirigidos que intentan aprovechar esta vulnerabilidad.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• El atacante debe poder ejecutar código en el equipo local para aprovechar esta vulnerabilidad. Un intruso que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el servicio LocalSystem.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• IIS 6.0: Configurar una identidad de proceso de trabajo (WPI) para un grupo de aplicaciones en IIS para que use una cuenta creada en Administrador de IIS y deshabilite MSDTC

  Realice los pasos siguientes:

  1. En Administrador de IIS, expanda el equipo local, expanda Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y seleccione Propiedades.
  2. Haga clic en la ficha Identidad y en Configurable. En los cuadros Nombre de usuario y Contraseña, escriba el nombre de usuario y la contraseña de la cuenta en la que desea que funcione el proceso de trabajo.
  3. Agregue la cuenta de usuario elegida al grupo IIS_WPG.

  La deshabilitación del Coordinador de transacciones distribuidas ayudará a proteger el sistema afectado frente a los intentos de aprovechar esta vulnerabilidad. Para deshabilitar el Coordinador de transacciones distribuidas, realice estos pasos:

  1. Haga clic en Inicio y, a continuación, en Panel de control. También puede, seleccionar Configuración y, a continuación, hacer clic en Panel de control.
  2. Haga doble clic en Herramientas administrativas. También puede hacer clic en Cambiar a vista clásica y, a continuación, hacer doble clic en Herramientas administrativas.
  3. Haga doble clic en Servicios.
  4. Haga doble clic en Coordinador de transacciones distribuidas.
  5. En la lista Tipo de inicio, haga clic en Deshabilitado.
  6. Haga clic en Detener (si se ha iniciado) y, a continuación, en Aceptar.

  También puede detener y deshabilitar el servicio MSDTC con el siguiente comando en el símbolo del sistema:
  
  sc stop MSDTC & sc config MSDTC start= disabled

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones. Como ejemplo de autenticación de Windows, vea el artículo 871179 de Microsoft Knowledge Base. La deshabilitación de MSDTC impedirá que las aplicaciones usen las transacciones distribuidas. La deshabilitación de MSDTC impedirá que IIS 5.1 se ejecute en Windows XP Professional Service Pack 2 y Windows XP Professional Service Pack 3, y que IIS 6.0 se ejecute en modo de compatibilidad con IIS 5.0. La deshabilitación de MSDTC impedirá la configuración y la ejecución de las aplicaciones COM+.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS
  1. En Administrador de IIS, expanda el nodo de servidor, haga clic en Grupos de aplicaciones, haga clic con el botón secundario del mouse en el grupo de aplicaciones y, a continuación, haga clic en Configuración avanzada…
  2. Busque la entrada Identidad y haga clic en el botón … para abrir el cuadro de diálogo Identidad del grupo de aplicaciones.
  3. Seleccione la opción Cuenta personalizada y haga clic en Establecer para abrir el cuadro de diálogo Establecer credenciales. Escriba el nombre de cuenta y la contraseña seleccionados en los cuadros de texto de nombre de usuario y contraseña. Vuelva a escribir la contraseña en el cuadro de texto Confirmar contraseña y, a continuación, haga clic en Aceptar.

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS7 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

• IIS 7.0: Especificar un WPI para un grupo de aplicaciones en Administrador de IIS con la utilidad de la línea de comandos APPCMD.exe
  1. En el símbolo del sistema con derechos elevados, cambie al directorio %systemroot%\system32\inetsrv.
  2. Ejecute el comando APPCMD.exe con la siguiente sintaxis, donde string es el nombre del grupo de aplicaciones; userName:string es el nombre de usuario de la cuenta asignada al grupo de aplicaciones y password:string es la contraseña de la cuenta.
     
     appcmd set config /section:applicationPools /
     [name='string'].processModel.identityType:SpecificUser /
     [name='string'].processModel.userName:string /
     [name='string'].processModel.password:string

  Nota Las identidades de grupo de aplicaciones se agregan dinámicamente al grupo IIS_WPG en IIS 7.0 y no es necesario agregarlas manualmente.

  Consecuencias de la solución provisional: La administración de las cuentas de usuario adicionales creadas en esta solución provisional provoca una mayor sobrecarga administrativa. Según la naturaleza de las aplicaciones que se ejecuten en este grupo de aplicaciones, se puede ver afectada la funcionalidad de las aplicaciones.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de elevación de privilegios. Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario con privilegios de LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cuál es la causa de esta vulnerabilidad?  
La vulnerabilidad se debe a que Windows coloca listas de control de acceso (ACL) incorrectas en la clase ThreadPool actual.

¿Qué es la clase ThreadPool de Windows?  
La clase ThreadPool de Windows proporciona un grupo de subprocesos que se pueden usar para enviar elementos de trabajo, procesar E/S asincrónicas, esperar en nombre de otros subprocesos y procesar temporizadores. Muchas aplicaciones crean subprocesos que están mucho tiempo en estado de inactividad a la espera de que suceda un evento. Otros subprocesos pueden cambiar al estado de inactividades solo para activarse periódicamente y sondear un cambio o una actualización de la información de estado. La agrupación de subprocesos permite usar los subprocesos de forma más eficaz al proporcionar a la aplicación un grupo de subprocesos de trabajo que administra el sistema. Un subproceso supervisa el estado de varias operaciones de espera en cola en el grupo de subprocesos. Cuando se completa una operación de espera, un subproceso de trabajo del grupo de subprocesos ejecuta la función de devolución correspondiente. Para obtener más información, vea el artículo de MSDN Clase ThreadPool.

¿Qué es una lista de control de acceso (ACL)?  
Una lista de control de acceso (ACL) es una lista de protecciones de seguridad que se aplica a un objeto. Un objeto puede ser un archivo, un proceso, un evento o cualquier elemento que tenga un descriptor de seguridad. Una entrada en una ACL es una entrada de control de acceso (ACE). Hay dos tipos de lista de control de acceso: discrecional y sistema. Cada ACE de una ACL identifica los derechos de acceso permitidos, denegados o auditados para el elemento de confianza. Para obtener información, vea el artículo de MSDN Listas de control de acceso.

¿Qué es la cuenta NetworkService?  
La cuenta NetworkService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y actúa como el equipo en la red. Un servicio que se ejecuta en el contexto de la cuenta NetworkService presenta las credenciales del equipo a los servidores remotos. Para obtener más información, vea el artículo de MSDN Cuenta NetworkService.

¿Qué es la cuenta LocalService?  
La cuenta LocalService es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Para obtener información, vea el artículo de MSDN Cuenta LocalService.

¿Qué es la cuenta LocalSystem?  
La cuenta LocalSystem es una cuenta local predefinida que usa el administrador de control de servicios. Tiene privilegios amplios en el equipo local y actúa como el equipo en la red. Su testigo incluye los SID NT AUTHORITY\SYSTEM y BUILTIN\Administrators; estas cuentas tienen acceso a la mayoría de los objetos del sistema. Un servicio que se ejecuta en el contexto de la cuenta LocalSystem hereda el contexto de seguridad del Administrador de control de servicios. La mayoría de los servicios no necesitan un nivel de privilegios tan alto. Para obtener más información, vea el artículo de MSDN Cuenta LocalService.

¿De qué forma este problema afecta a IIS?  
Los sistemas que ejecutan código proporcionado por el usuario en Internet Information Services (IIS) pueden estar afectados. Por ejemplo filtros y extensiones ISAPI, y el código ASP.NET que se ejecuta con plena confianza puede estar afectado por esta vulnerabilidad.

IIS no está afectado en los siguientes escenarios:

• Instalaciones predeterminadas de IIS 5.1, IIS 6.0 e IIS 7.0
• ASP.NET configurado para ejecutar con un nivel de confianza inferior a plena confianza

¿De qué forma este problema afecta a SQL Server?  
Los sistemas que ejecutan SQL Server pueden estar afectados si a un usuario se le conceden privilegios administrativos para cargar y ejecutar código. Un usuario con privilegios de administrador de SQL Server podría ejecutar código especialmente diseñado que pudiera aprovechar el ataque. Sin embargo, este privilegio no se concede de forma predeterminada.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría ejecutar código especialmente diseñado en el contexto de las cuentas NetworkService o LocalService que puede obtener acceso a los recursos en los procesos que también se ejecutan como NetworkService o LocalService. Algunos de estos procesos pueden tener la capacidad de elevar sus privilegios a LocalSystem, lo que permite que cualquier proceso de NetworkService o LocalService eleve también sus privilegios a LocalSystem. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Para aprovechar esta vulnerabilidad, el atacante debería iniciar sesión en el sistema. Seguidamente, podría ejecutar una aplicación especialmente diseñada que aprovechara la vulnerabilidad a fin de obtener el control completo del sistema afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Los sistemas con más riesgo de sufrir un ataque son las estaciones de trabajo y los servidores de Servicios de Terminal Server. Los servidores podrían correr un mayor riesgo si algún usuario que no tenga los suficientes permisos administrativos tiene la capacidad de iniciar sesiones en el servidor y ejecutar programas. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.

Todos los sistemas que ejecutan todas las ediciones compatibles de Windows Vista y Windows Server 2008 pueden estar expuestos si IIS está habilitado o si SQL Server se instala y configura o implementa en estado vulnerable, tal como se describe en este boletín.

Además, los sistemas IIS que permiten a los usuarios cargar código están más expuestos. Los sistemas SQL Server están expuestos si a los usuarios que no sean de confianza se les concede acceso a una cuenta con privilegios. Esto puede incluir a proveedores de hospedaje Web o entornos similares.

¿Cómo funciona esta actualización?  
La actualización corrige la vulnerabilidad al corregir las ACL en el subproceso del grupo de procesos.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2009-0080.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
Sí. Microsoft es consciente de ataques limitados y dirigidos que intentan aprovechar esta vulnerabilidad.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota Para versiones compatibles de Microsoft Windows XP Professional x64 Edition, esta actualización de seguridad es la misma que la actualización de seguridad de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.