Boletín de seguridad de Microsoft MS09-061 - Crítica

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Las aplicaciones Microsoft .NET que no sean malintencionadas no están expuestas a esta vulnerabilidad. Sólo las aplicaciones creadas de un modo específicamente malintencionado podrían aprovechar esta vulnerabilidad.
• En un escenario de hospedaje web, el atacante debe tener permiso para cargar páginas ASP.NET arbitrarias en un sitio web y ASP.NET debe estar instalado en ese servidor web. En la configuración predeterminada, un usuario anónimo no puede cargar y ejecutar código de Microsoft .NET en un servidor Internet Information Server (IIS).
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad únicamente en un escenario de ataque web. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• Internet Explorer 8 deshabilita el filtro MIME de Microsoft .NET en la zona Internet. Esta característica de Internet Explorer 8 dificulta el aprovechamiento de esta vulnerabilidad al bloquear una técnica conocida para omitir la protección ASLR y DEP. Al deshabilitar el filtro MIME de Microsoft .NET en la zona Internet no resulta imposible aprovechar esta vulnerabilidad en Internet Explorer 8, pero dificulta a los sitios web malintencionados su aprovechamiento.
• En el caso de un ataque basado en web, el intruso podría hospedar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir los mismos derechos de usuario que el usuario local o la cuenta de usuario de ASP.NET. Los usuarios o las cuentas que están configurados para tener menos derechos de usuario en el sistema se pueden ver menos afectados que los usuarios o cuentas que utilizan derechos de usuario administrativos.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Deshabilitar las aplicaciones Microsoft .NET con confianza parcial

  Para deshabilitar todas las aplicaciones Microsoft .NET que se ejecutan en confianza parcial, incluidas las aplicaciones XAML del explorador (XBAP) y las aplicaciones Microsoft .NET que se encuentran en la red, ejecute los siguientes comandos en un símbolo del sistema con privilegios elevados:

  caspol –pp off
caspol –m –resetlockdown
caspol –pp on

  Nota Debe haber iniciado sesión como administrador o tener credenciales administrativas para completar esta solución provisional.

  Consecuencias de la solución provisional. Algunas aplicaciones Microsoft .NET no se ejecutarán.

  Cómo deshacer la solución provisional.

  Para restablecer las directivas de seguridad de Microsoft .NET a sus valores predeterminados, ejecute los siguientes comandos desde un símbolo del sistema con privilegios elevados:

  caspol –pp off
caspol –m –reset
caspol –pp on

  Nota Debe haber iniciado sesión como administrador o tener credenciales administrativas para deshacer esta solución provisional.

• Deshabilitar las aplicaciones XAML del explorador en Internet Explorer

  Puede contribuir a la protección contra esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar aplicaciones XAML del explorador (XBAP) en las zonas de seguridad Internet e Intranet local.

  1. Menú Herramientas, seleccione Opciones de Internet.
  2. Ficha Seguridad, haga clic en Internet y, a continuación, en Nivel personalizado.
  3. Configuración, para XAML dinámico, haga clic en Pedir datos o Deshabilitar, y, a continuación, haga clic en Aceptar. Repita estos pasos para Aplicaciones XAML del explorador y Documentos XPS.
  4. Ficha Seguridad, haga clic en Nivel personalizado, en Componentes que dependen de .NET Framework, para Ejecutar componentes no firmados con Authenticode, haga clic en Pedir o Deshabilitar y, a continuación, en Aceptar. Repita estos pasos para Ejecutar componentes firmados con Authenticode y, a continuación, haga clic en Aceptar.
  5. Intranet local y, a continuación, haga clic en Nivel personalizado. Repita los pasos 3 y 4. Si se le pregunta si desea confirmar el cambio de configuración, haga clic en Sí. Haga clic en Aceptar para volver a Internet Explorer.

  Consecuencias de la solución provisional. El código Microsoft .NET no se ejecutará en Internet Explorer o no se ejecutará sin una solicitud. Al deshabilitar las aplicaciones y componentes Microsoft .NET en las zonas de seguridad Internet e Intranet local, puede que algunos sitios web funcionen incorrectamente. Si tiene dificultades al explorar un sitio Web después de cambiar esta configuración y tiene la certeza de que el sitio se puede utilizar con seguridad, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Cómo deshacer la solución provisional.

  1. Menú Herramientas, seleccione Opciones de Internet.
  2. Ficha Seguridad, haga clic en Restablecer todas las zonas al nivel predeterminado y, a continuación, en Aceptar.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código en el contexto del usuario que ha iniciado sesión o en el contexto de la cuenta de servicio asociada a una identidad de grupo de aplicaciones.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a la manera en la que se comprueba el código comprobable de Microsoft .NET.

¿Qué es CLR?  
Microsoft .NET Framework proporciona un entorno de tiempo de ejecución denominado Common Language Runtime (CLR), que ejecuta el código y proporciona servicios que facilitan el proceso de desarrollo. Para obtener más información acerca de CLR, vea Información general de Common Language Runtime.

¿Qué es una XBAP?  
Una aplicación XAML del explorador (XBAP) combina características de una aplicación web y de una aplicación de cliente enriquecido. Al igual que las aplicaciones web, las XBAP se pueden publicar en un servidor web e iniciar desde Internet Explorer. Al igual que las aplicaciones de cliente enriquecido, las XBAP pueden aprovechar las capacidades de Windows Presentation Foundation (WPF). Para obtener más información acerca de las XBAP, vea Información general de las aplicaciones XAML del explorador de Windows Presentation Foundation.

Estoy ejecutando Internet Explorer para Windows Server 2003 o Windows Server 2008. ¿Soluciona esto la vulnerabilidad?  
Sí y no. En el caso de un ataque de exploración web, la ejecución de Internet Explorer en Windows Server 2003 o Windows Server 2008 atenúa la vulnerabilidad, pero en el caso de ataque de hospedaje web y de aplicación .NET, estas plataformas no atenúan la vulnerabilidad. De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

En el escenario de hospedaje web, un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que la cuenta de servicio asociada a la identidad del grupo de aplicaciones en el que se ejecuta la aplicación de Microsoft .NET. Según la configuración de aislamiento del grupo de aplicaciones y los permisos concedidos a la cuenta de servicio, un atacante podría tomar el control de otros grupos de aplicaciones en el servidor web o podría tomar el control completo del sistema afectado. Para obtener más información acerca de las identidades del grupo de aplicaciones y la configuración, vea Configurar la identidad del grupo aplicaciones.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Esta vulnerabilidad se puede aprovechar en tres escenarios: exploración web, hospedaje web y aplicación Microsoft .NET Framework. Estos escenarios se describen a continuación.

• Escenario de exploración web
  Un atacante podría hospedar un sitio web especialmente diseñado que contuviera una XBAP (aplicación XAML del explorador) especialmente diseñada que aprovechara esta vulnerabilidad y convencer a un usuario para que visitara el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.
• Escenario de hospedaje web
  Si un entorno de hospedaje web permite a los usuarios cargar aplicaciones ASP.NET personalizadas, un atacante podría cargar una aplicación ASP.NET malintencionada que usara esta vulnerabilidad para abrir el espacio aislado que se usa para impedir que el código ASP.NET lleve a cabo acciones perjudiciales en el sistema del servidor.
• Escenario de aplicación Microsoft .NET
  Un atacante podría colocar una aplicación Microsoft .NET Framework malintencionada en un recurso compartido de red y convencer a los usuarios de dicha red que ejecutaran esa aplicación.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Hay dos tipos de sistemas que están expuestos a esta invulnerabilidad, los cuales se describen a continuación: sistemas que usan el escenario de exploración web y sistemas que usan el escenario hospedaje web.

• Escenario de exploración web
  Para aprovechar esta vulnerabilidad, es necesario que el usuario haya iniciado la sesión y visite sitios web con un explorador web capaz de ejecutar XBAP. Por lo tanto, cualquier sistema en el que se use un explorador web de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios explorar y leer correo electrónico en los servidores. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.
• Escenario de hospedaje web
  Los sitios de hospedaje web que permiten a los usuarios cargar aplicaciones ASP.NET personalizadas están más expuestos.

He escrito una aplicación Microsoft .NET. ¿Necesito volver a compilarla?  
Las aplicaciones Microsoft .NET que no sean malintencionadas no están expuestas a esta vulnerabilidad y no es necesario volver a compilarlas. Sólo las aplicaciones creadas de un modo específicamente malintencionado podrían aprovechar esta vulnerabilidad.

¿Cómo funciona esta actualización?  
Esta actualización modifica la manera en que Microsoft .NET Framework comprueba y aplica las reglas del código comprobable de Microsoft .NET.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• Las aplicaciones Microsoft .NET que no sean malintencionadas no están expuestas a esta vulnerabilidad. Sólo las aplicaciones creadas de un modo específicamente malintencionado podrían aprovechar esta vulnerabilidad.
• En un escenario de hospedaje web, el atacante debe tener permiso para cargar páginas ASP.NET arbitrarias en un sitio web y ASP.NET debe estar instalado en ese servidor web. En la configuración predeterminada, un usuario anónimo no puede cargar y ejecutar código de Microsoft .NET en un servidor Internet Information Server (IIS).
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad únicamente en un escenario de ataque web. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• Internet Explorer 8 deshabilita el filtro MIME de Microsoft .NET en la zona Internet. Esta característica de Internet Explorer 8 dificulta el aprovechamiento de esta vulnerabilidad al bloquear una técnica conocida para omitir la protección ASLR y DEP. Al deshabilitar el filtro MIME de Microsoft .NET en la zona Internet no resulta imposible aprovechar esta vulnerabilidad en Internet Explorer 8, pero dificulta a los sitios web malintencionados su aprovechamiento.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir los mismos derechos de usuario que el usuario local o la cuenta de usuario de ASP.NET. Los usuarios o las cuentas que están configurados para tener menos derechos de usuario en el sistema se pueden ver menos afectados que los usuarios o cuentas que utilizan derechos de usuario administrativos.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Deshabilitar las aplicaciones Microsoft .NET con confianza parcial

  Para deshabilitar todas las aplicaciones Microsoft .NET que se ejecutan en confianza parcial, incluidas las aplicaciones XAML del explorador (XBAP) y las aplicaciones Microsoft .NET que se encuentran en la red, ejecute los siguientes comandos en un símbolo del sistema con privilegios elevados:

  caspol –pp off
caspol –m –resetlockdown
caspol –pp on

  Nota Debe haber iniciado sesión como administrador o tener credenciales administrativas para completar esta solución provisional.

  Consecuencias de la solución provisional. Algunas aplicaciones Microsoft .NET no se ejecutarán.

  Cómo deshacer la solución provisional.

  Para restablecer las directivas de seguridad de Microsoft .NET a sus valores predeterminados, ejecute los siguientes comandos desde un símbolo del sistema con privilegios elevados:

  caspol –pp off
caspol –m –reset
caspol –pp on

  Nota Debe haber iniciado sesión como administrador o tener credenciales administrativas para deshacer esta solución provisional.

• Deshabilitar las aplicaciones XAML del explorador en Internet Explorer

  Puede contribuir a la protección contra esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar aplicaciones XAML del explorador (XBAP) en las zonas de seguridad Internet e Intranet local.

  1. Menú Herramientas, seleccione Opciones de Internet.
  2. Ficha Seguridad, haga clic en Internet y, a continuación, en Nivel personalizado.
  3. Configuración, para XAML dinámico, haga clic en Pedir datos o Deshabilitar, y, a continuación, haga clic en Aceptar. Repita estos pasos para Aplicaciones XAML del explorador y Documentos XPS.
  4. Ficha Seguridad, haga clic en Nivel personalizado, en Componentes que dependen de .NET Framework, para Ejecutar componentes no firmados con Authenticode, haga clic en Pedir o Deshabilitar y, a continuación, en Aceptar. Repita estos pasos para Ejecutar componentes firmados con Authenticode y, a continuación, haga clic en Aceptar.
  5. Intranet local y, a continuación, haga clic en Nivel personalizado. Repita los pasos 3 y 4. Si se le pregunta si desea confirmar el cambio de configuración, haga clic en Sí. Haga clic en Aceptar para volver a Internet Explorer.

  Consecuencias de la solución provisional. El código Microsoft .NET no se ejecutará en Internet Explorer o no se ejecutará sin una solicitud. Al deshabilitar las aplicaciones y componentes Microsoft .NET en las zonas de seguridad Internet e Intranet local, puede que algunos sitios web funcionen incorrectamente. Si tiene dificultades al explorar un sitio Web después de cambiar esta configuración y tiene la certeza de que el sitio se puede utilizar con seguridad, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Cómo deshacer la solución provisional.

  1. Menú Herramientas, seleccione Opciones de Internet.
  2. Ficha Seguridad, haga clic en Restablecer todas las zonas al nivel predeterminado y, a continuación, en Aceptar.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código en el contexto del usuario que ha iniciado sesión o en el contexto de la cuenta de servicio asociada a una identidad de grupo de aplicaciones.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a la manera en la que se comprueba el código comprobable de Microsoft .NET.

¿Qué es CLR?  
Microsoft .NET Framework proporciona un entorno de tiempo de ejecución denominado Common Language Runtime (CLR), que ejecuta el código y proporciona servicios que facilitan el proceso de desarrollo. Para obtener más información acerca de CLR, vea Información general de Common Language Runtime.

¿Qué es una XBAP?  
Una aplicación XAML del explorador (XBAP) combina características de una aplicación web y de una aplicación de cliente enriquecido. Al igual que las aplicaciones web, las XBAP se pueden publicar en un servidor web e iniciar desde Internet Explorer. Al igual que las aplicaciones de cliente enriquecido, las XBAP pueden aprovechar las capacidades de Windows Presentation Foundation (WPF). Para obtener más información acerca de las XBAP, vea Información general de las aplicaciones XAML del explorador de Windows Presentation Foundation.

Estoy ejecutando Internet Explorer para Windows Server 2003 o Windows Server 2008. ¿Soluciona esto la vulnerabilidad?  
Sí y no. En el caso de un ataque de exploración web, la ejecución de Internet Explorer en Windows Server 2003 o Windows Server 2008 atenúa la vulnerabilidad, pero en el caso de ataque de hospedaje web y de aplicación Microsoft .NET, estas plataformas no atenúan la vulnerabilidad. De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

En el escenario de hospedaje web, un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que la cuenta de servicio asociada a la identidad del grupo de aplicaciones en el que se ejecuta la aplicación de Microsoft .NET. Según la configuración de aislamiento del grupo de aplicaciones y los permisos concedidos a la cuenta de servicio, un atacante podría tomar el control de otros grupos de aplicaciones en el servidor web o podría tomar el control completo del sistema afectado. Para obtener más información acerca de las identidades del grupo de aplicaciones y la configuración, vea Configurar la identidad del grupo aplicaciones.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Esta vulnerabilidad se puede aprovechar en tres escenarios: exploración web, hospedaje web y aplicación Microsoft .NET Framework. Estos escenarios se describen a continuación.

• Escenario de exploración web
  Un atacante podría hospedar un sitio web especialmente diseñado que contuviera una XBAP (aplicación XAML del explorador) especialmente diseñada que aprovechara esta vulnerabilidad y convencer a un usuario para que visitara el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.
• Escenario de hospedaje web
  Si un entorno de hospedaje web permite a los usuarios cargar aplicaciones ASP.NET personalizadas, un atacante podría cargar una aplicación ASP.NET malintencionada que usara esta vulnerabilidad para abrir el espacio aislado que se usa para impedir que el código ASP.NET lleve a cabo acciones perjudiciales en el sistema del servidor.
• Escenario de aplicación Microsoft .NET
  Un atacante podría colocar una aplicación Microsoft .NET Framework malintencionada en un recurso compartido de red y convencer a los usuarios de dicha red que ejecutaran esa aplicación.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Hay dos tipos de sistemas que están expuestos a esta invulnerabilidad, los cuales se describen a continuación: sistemas que usan el escenario de exploración web y sistemas que usan el escenario hospedaje web.

• Escenario de exploración web
  Para aprovechar esta vulnerabilidad, es necesario que el usuario haya iniciado la sesión y visite sitios web con un explorador web capaz de ejecutar XBAP. Por lo tanto, cualquier sistema en el que se use un explorador web de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios explorar y leer correo electrónico en los servidores. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.
• Escenario de hospedaje web
  Los sitios de hospedaje web que permiten a los usuarios cargar aplicaciones ASP.NET personalizadas están más expuestos.

He escrito una aplicación Microsoft .NET. ¿Necesito volver a compilarla?  
Las aplicaciones Microsoft .NET que no sean malintencionadas no están expuestas a esta vulnerabilidad y no es necesario volver a compilarlas. Sólo las aplicaciones creadas de un modo específicamente malintencionado podrían aprovechar esta vulnerabilidad.

¿Cómo funciona esta actualización?  
Esta actualización modifica la manera en que Microsoft .NET Framework comprueba y aplica las reglas del código comprobable de Microsoft .NET.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente responsable.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

• La versión actual de Microsoft Silverlight, Silverlight 3, no está afectada por esta vulnerabilidad. De forma predeterminada, Silverlight buscará actualizaciones en un sitio web de Microsoft para proporcionarle las últimas características y mejoras. Si hay disponible una versión más reciente, se descargará e instalará en el equipo. La mayoría de sistemas ya ejecutan la versión de Silverlight 3. Para obtener más información consulte Actualizador de Microsoft Silverlight.
• Las aplicaciones Microsoft .NET que no sean malintencionadas no están expuestas a esta vulnerabilidad. Sólo las aplicaciones creadas de un modo específicamente malintencionado podrían aprovechar esta vulnerabilidad.
• En un escenario de hospedaje web, el atacante debe tener permiso para cargar páginas ASP.NET arbitrarias en un sitio web y ASP.NET debe estar instalado en ese servidor web. En la configuración predeterminada, un usuario anónimo no puede cargar y ejecutar código de Microsoft .NET en un servidor Internet Information Server (IIS).
• De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. Este modo atenúa esta vulnerabilidad únicamente en un escenario de ataque web. Vea la sección P+F correspondiente a esta vulnerabilidad para obtener más información acerca de la configuración de seguridad mejorada de Internet Explorer.
• Internet Explorer 8 deshabilita el filtro MIME de Microsoft .NET en la zona Internet. Esta característica de Internet Explorer 8 dificulta el aprovechamiento de esta vulnerabilidad al bloquear una técnica conocida para omitir la protección ASLR y DEP. No resulta imposible aprovechar esta vulnerabilidad en Internet Explorer 8, pero dificulta a los sitios web malintencionados su aprovechamiento.
• En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.
• Un atacante que aprovechara esta vulnerabilidad podría conseguir los mismos derechos de usuario que el usuario local o la cuenta de usuario de ASP.NET. Los usuarios o las cuentas que están configurados para tener menos derechos de usuario en el sistema se pueden ver menos afectados que los usuarios o cuentas que utilizan derechos de usuario administrativos.

La solución provisional hace referencia a un cambio de opción o configuración que no corrige la vulnerabilidad subyacente pero ayuda a bloquear los tipos de ataque conocidos antes de aplicar la actualización. Microsoft ha probado las soluciones provisionales y señala en la explicación si una solución provisional reduce la funcionalidad

• Deshabilitar las aplicaciones Microsoft .NET con confianza parcial

  Para deshabilitar todas las aplicaciones Microsoft .NET que se ejecutan en confianza parcial, incluidas las XBAP y las aplicaciones Microsoft .NET que se encuentran en la red, ejecute los siguientes comandos en un símbolo del sistema con privilegios elevados:

  caspol –pp off
caspol –m –resetlockdown
caspol –pp on

  Nota Debe haber iniciado sesión como administrador o tener credenciales administrativas para completar esta solución provisional.

  Consecuencias de la solución provisional. Algunas aplicaciones Microsoft .NET no se ejecutarán.

  Cómo deshacer la solución provisional.

  Para restablecer las directivas de seguridad de Microsoft .NET a sus valores predeterminados, ejecute los siguientes comandos desde un símbolo del sistema con privilegios elevados:

  caspol –pp off
caspol –m –reset
caspol –pp on

  Nota Debe haber iniciado sesión como administrador o tener credenciales administrativas para deshacer esta solución provisional.

• Deshabilitar las aplicaciones XAML del explorador en Internet Explorer

  Puede contribuir a la protección contra esta vulnerabilidad si cambia la configuración para que se pregunte al usuario antes de ejecutar o deshabilitar aplicaciones XAML del explorador en las zonas de seguridad Internet e Intranet local.

  1. Menú Herramientas, seleccione Opciones de Internet.
  2. Ficha Seguridad, haga clic en Internet y, a continuación, en Nivel personalizado.
  3. Configuración, para XAML dinámico, haga clic en Pedir datos o Deshabilitar, y, a continuación, haga clic en Aceptar. Repita estos pasos para Aplicaciones XAML del explorador y Documentos XPS.
  4. Ficha Seguridad, haga clic en Nivel personalizado, en Componentes que dependen de .NET Framework, para Ejecutar componentes no firmados con Authenticode, haga clic en Pedir o Deshabilitar y, a continuación, en Aceptar. Repita estos pasos para Ejecutar componentes firmados con Authenticode y, a continuación, haga clic en Aceptar.
  5. Intranet local y, a continuación, haga clic en Nivel personalizado. Repita los pasos 3 y 4. Si se le pregunta si desea confirmar el cambio de configuración, haga clic en Sí. Haga clic en Aceptar para volver a Internet Explorer.

  Consecuencias de la solución provisional. El código Microsoft .NET no se ejecutará en Internet Explorer o no se ejecutará sin una solicitud. Al deshabilitar las aplicaciones y componentes Microsoft .NET en las zonas de seguridad Internet e Intranet local, puede que algunos sitios web funcionen incorrectamente. Si tiene dificultades al explorar un sitio Web después de cambiar esta configuración y tiene la certeza de que el sitio se puede utilizar con seguridad, puede agregarlo a la lista de sitios de confianza. Esto permitirá que el sitio funcione correctamente.

  Cómo deshacer la solución provisional.

  1. Menú Herramientas, seleccione Opciones de Internet.
  2. Ficha Seguridad, haga clic en Restablecer todas las zonas al nivel predeterminado y, a continuación, en Aceptar.
• Evitar temporalmente que el control ActiveX de Microsoft Silverlight se ejecute en Internet Explorer en Windows XP Service Pack 2 o posterior

  Puede contribuir a la protección contra estas vulnerabilidades si evita temporalmente que el control ActiveX de Silverlight se ejecute en Internet Explorer. Puede usar la característica Administrar complementos de Internet Explorer para deshabilitar el control ActiveX.

  1. Menú Herramientas y, a continuación, seleccione Administrar complementos.
  2. Microsoft Silverlight.
  3. Deshabilitar y, a continuación, haga clic en Aceptar.

  Nota Si no encuentra el control ActiveX, use el cuadro desplegable para cambiar de "Complementos utilizados por Internet Explorer" a "Complementos que ha utilizado Internet Explorer", o de "Complementos cargados actualmente" a "Todos los complementos", y siga los pasos 2 y 3. Si el control ActiveX no está en esta lista, significa que no lo ha usado anteriormente o no se encuentra en el sistema.

  Nota Esta solución provisional sólo está diseñada para sistemas en los que ya está instalado Silverlight y no se puede utilizar de forma atractiva en sistemas donde no se ha instalado Silverlight.

  Para obtener más información acerca de la característica Administrar complementos de Internet Explorer en Windows XP Service Pack 2, consulte el artículo 883256 de Microsoft Knowledge Base.

  Consecuencias de la solución provisional. Es posible que las aplicaciones y sitios web que requieran el control ActiveX de Microsoft Silverlight dejen de funcionar correctamente. Si implementa esta solución provisional, es posible que se vean afectados los controles ActiveX de Silverlight que estén instalados en el sistema.

  Cómo deshacer la solución provisional.

  1. Menú Herramientas y, a continuación, seleccione Administrar complementos.
  2. Microsoft Silverlight, haga clic en Habilitar y, a continuación, haga clic en Aceptar.
• Evitar temporalmente que el control ActiveX de Microsoft Silverlight se ejecute en Internet Explorer

  Puede contribuir a la protección contra estas vulnerabilidades si evita temporalmente los intentos de ejecutar el control ActiveX de Silverlight en Internet Explorer mediante la configuración del bit de interrupción para el control.

  Advertencia Si utiliza el Editor del Registro incorrectamente, puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no le garantiza que pueda resolver los problemas provocados por el uso incorrecto del Editor del Registro. El uso del Editor del Registro es responsabilidad suya.

  Le recomendamos que realice una copia de seguridad del registro antes de editarlo.

  Utilice el siguiente texto para crear un archivo .reg que evite temporalmente los intentos de ejecutar el control ActiveX de Silverlight en Internet Explorer. Puede copiar el siguiente texto, pegarlo en un editor de textos como Notepad y luego guardar el archivo con la extensión del nombre de archivo .reg. Ejecute el archivo .reg en el cliente vulnerable.

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]

  Cierre Internet Explorer y vuelva a abrirlo para que los cambios surtan efecto.

  Si desea ver el procedimiento detallado para evitar que un control se ejecute en Internet Explorer, consulte el artículo 240797 de Microsoft Knowledge Base. Siga estos pasos y cree un valor de indicadores de compatibilidad en el Registro para evitar que se ejecute el control ActiveX de Silverlight en Internet Explorer.

  Consecuencias de la solución provisional. Es posible que las aplicaciones y sitios web que requieran el control ActiveX de Microsoft Silverlight dejen de funcionar correctamente. Si implementa esta solución provisional, es posible que se vean afectados los controles ActiveX de Silverlight que estén instalados en el sistema.

  Cómo deshacer la solución provisional. Quite las claves del Registro agregadas para impedir temporalmente los intentos de ejecutar el control ActiveX de Silverlight en Internet Explorer.

¿Cuál es el alcance de esta vulnerabilidad?  
Se trata de una vulnerabilidad de ejecución remota de código en el contexto del usuario que ha iniciado sesión o en el contexto de la cuenta de servicio asociada a una identidad de grupo de aplicaciones.

¿Cuál es la causa de esta vulnerabilidad?  
Esta vulnerabilidad se debe a la manera en la que Microsoft .NET Common Language Runtime (CLR) trata las interfaces.

¿Qué es CLR?  
Microsoft .NET Framework proporciona un entorno de tiempo de ejecución denominado Common Language Runtime (CLR), que ejecuta el código y proporciona servicios que facilitan el proceso de desarrollo. Para obtener más información acerca de CLR, vea Información general de Common Language Runtime.

¿Qué es una XBAP?  
Una aplicación XAML del explorador (XBAP) combina características de una aplicación web y de una aplicación de cliente enriquecido. Al igual que las aplicaciones web, las XBAP se pueden publicar en un servidor web e iniciar desde Internet Explorer. Al igual que las aplicaciones de cliente enriquecido, las XBAP pueden aprovechar las capacidades de Windows Presentation Foundation (WPF). Para obtener más información acerca de las XBAP, vea Información general de las aplicaciones XAML del explorador de Windows Presentation Foundation.

¿Qué es Silverlight?  
Microsoft Silverlight es una implementación para múltiples exploradores y plataformas de Microsoft .NET Framework para generar experiencias multimedia y aplicaciones interactivas enriquecidas para Web. Para obtener más información, consulte el sitio oficial de Silverlight.

¿Para qué puede usar un atacante esta vulnerabilidad?  
Un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que el usuario que ha iniciado sesión. Si un usuario inicia sesión con derechos de usuario administrativos, un atacante podría lograr el control completo del sistema afectado. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.

En el escenario de hospedaje web, un atacante que aprovechara esta vulnerabilidad podría obtener los mismos permisos que la cuenta de servicio asociada a la identidad del grupo de aplicaciones en el que se ejecuta la aplicación de Microsoft .NET. Según la configuración de aislamiento del grupo de aplicaciones y los permisos concedidos a la cuenta de servicio, un atacante podría tomar el control de otros grupos de aplicaciones en el servidor web o podría tomar el control completo del sistema afectado. Para obtener más información acerca de las identidades del grupo de aplicaciones y la configuración, vea Configurar la identidad del grupo aplicaciones.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Esta vulnerabilidad se puede aprovechar en tres escenarios: exploración web, hospedaje web y aplicación Microsoft .NET Framework. Estos escenarios se describen a continuación.

• Escenario de exploración web
  Un atacante podría hospedar un sitio web especialmente diseñado que contuviera una XBAP (aplicación XAML del explorador) o aplicación de Silverlight especialmente diseñada que aprovechara esta vulnerabilidad y convencer a un usuario para que visitara el sitio web. El atacante también podría aprovechar sitios web vulnerables y sitios web que aceptan o reciben contenido o anuncios proporcionados por el usuario. Estos sitios web podrían incluir contenido malintencionado a través del cual se podría aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.
• Escenario de hospedaje web
  Si un entorno de hospedaje web permite a los usuarios cargar aplicaciones ASP.NET personalizadas, un atacante podría cargar una aplicación ASP.NET malintencionada que usara esta vulnerabilidad para abrir el espacio aislado que se usa para impedir que el código ASP.NET lleve a cabo acciones perjudiciales en el sistema del servidor.
• Escenario de aplicación Microsoft .NET
  Un atacante podría colocar una aplicación Microsoft .NET Framework malintencionada en un recurso compartido de red y convencer a los usuarios de dicha red que ejecutaran esa aplicación.

¿Qué sistemas están más expuestos a esta vulnerabilidad?  
Hay dos tipos de sistemas que están expuestos a esta invulnerabilidad, los cuales se describen a continuación: sistemas que usan el escenario de exploración web y sistemas que usan el escenario hospedaje web.

• Escenario de exploración web
  Para aprovechar esta vulnerabilidad, es necesario que el usuario haya iniciado la sesión y visite sitios web con un explorador web capaz de ejecutar XBAP o aplicaciones Silverlight. Por lo tanto, cualquier sistema en el que se use un explorador web de forma habitual, como estaciones de trabajo y servidores de Terminal Server, está expuesto a esta vulnerabilidad. Los servidores podrían correr un mayor riesgo si los administradores permiten a los usuarios explorar y leer correo electrónico en los servidores. Sin embargo, las prácticas recomendadas desaconsejan permitir esto.
• Escenario de hospedaje web
  Los sitios de hospedaje web que permiten a los usuarios cargar aplicaciones ASP.NET personalizadas están más expuestos.

Estoy ejecutando Internet Explorer en Windows Server 2003 o Windows Server 2008. ¿Soluciona esto la vulnerabilidad?  
Sí y no. En el caso de un ataque de exploración web, la ejecución de Internet Explorer en Windows Server 2003 y Windows Server 2008 atenúa la vulnerabilidad, pero en el caso de ataque de hospedaje web y de aplicación Microsoft .NET, estas plataformas no atenúan la vulnerabilidad. De forma predeterminada, Internet Explorer en Windows Server 2003 y Windows Server 2008 se ejecuta en un modo restringido conocido como Configuración de seguridad mejorada. La configuración de seguridad mejorada es un grupo de valores preconfigurados de Internet Explorer que pueden reducir la posibilidad de que los usuarios o los administradores descarguen y ejecuten contenido web especialmente diseñado en un servidor. Esto constituye un factor atenuante para sitios web que no ha agregado a la zona de sitios de confianza de Internet Explorer. Consulte también la guía de administración de la configuración de seguridad mejorada de Internet Explorer.

He escrito una aplicación Microsoft .NET o una aplicación Silverlight. ¿Necesito volver a compilarla?  
Las aplicaciones Microsoft .NET y Silverlight que no sean malintencionadas no están expuestas a esta vulnerabilidad y no es necesario volver a compilarlas. Sólo las aplicaciones creadas de un modo específicamente malintencionado podrían aprovechar esta vulnerabilidad.

¿Cómo funciona esta actualización?  
Esta actualización modifica la forma en la que Microsoft .NET CLR trata las interfaces.

En el momento de publicar este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?  
Sí. Esa vulnerabilidad ya se ha divulgado. Se le ha asignado el número de vulnerabilidad y exposición común CVE-2009-2497.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?  
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes y no tenía constancia de que se hubiera publicado código demostrativo.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Nota Para versiones compatibles de Microsoft Windows XP Professional x64 Edition, esta actualización de seguridad es la misma que la actualización de seguridad de Windows Server 2003 x64 Edition.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.

Tabla de referencia

La tabla siguiente contiene la información de actualización de seguridad para este software. Puede encontrar información adicional en la subsección Información sobre la implementación, en esta sección.