Boletín de seguridad de Microsoft MS12-026 - Importante

Vulnerabilidades en Forefront Unified Access Gateway (UAG) podrían permitir la divulgación de información (2663860)

Publicado: martes, 10 de abril de 2012 | Actualizado: miércoles, 18 de abril de 2012

Versión: 1.1

Información general

Resumen ejecutivo

Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Forefront Unified Access Gateway (UAG). La más grave de las vulnerabilidades podría permitir la divulgación de información si un atacante envía una consulta especialmente diseñada al servidor UAG.

Esta actualización de seguridad se considera importante para Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 y Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 Update 1. Para obtener más información, vea la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige las vulnerabilidades al modificar el código de UAG para que requiera una comprobación adicional antes de redireccionar a un usuario a otro sitio web y al cambiar la configuración de enlace predeterminadas del servidor UAG para no permitir el acceso sin filtrar a los recursos internos. Para obtener más información acerca de las vulnerabilidades, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Microsoft recomienda que los clientes instalen la actualización lo antes posible.

Vea también la sección Herramientas y consejos para la detección e implementación, más adelante en este boletín.

Problemas conocidos. En el artículo 2663860 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas. Cuando los problemas conocidos y las soluciones recomendadas corresponden sólo a versiones específicas de este software, este artículo proporciona vínculos a más artículos.

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, visite Ciclo de vida del soporte técnico de Microsoft.

Software afectado

Software	Repercusión de seguridad máxima	Clasificación de gravedad acumulada	Actualizaciones reemplazadas
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1^[1] (KB2649261)	Divulgación de información	Importante	KB2522485 en MS11-079 se reemplaza por KB2649261
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 Update 1^[1] (KB2649262)	Divulgación de información	Importante	Ninguna

^[1]Esta actualización solo está disponible en el Centro de descarga de Microsoft. Vea la siguiente sección Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad.

Software no afectado

Software
Microsoft Forefront Unified Access Gateway 2010
Microsoft Forefront Unified Access Gateway 2010 actualización 1
Microsoft Forefront Unified Access Gateway 2010 actualización 2

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Por qué las actualizaciones solo están disponibles en el Centro de descarga de Microsoft?
Microsoft está publicando estas actualizaciones en el Centro de descarga de Microsoft para que los clientes puedan empezar a actualizar sus sistemas lo antes posible.

¿Dónde están los detalles de información de archivos?
Consulte en las tablas de referencia de la sección Implementación de la actualización de seguridad la ubicación de los detalles de información de archivo.

Ejecuto software que está enumerado en la tabla de software afectado. ¿Por qué no se me ofrece la actualización?
Esta actualización se ofrece a través del centro de descarga únicamente y no se ofrecerá mediante Microsoft Update.

¿Por qué soluciona esta actualización varios problemas de vulnerabilidad de seguridad detectados?
Esta actualización aborda diversos puntos vulnerables porque las modificaciones necesarias para solucionar estos aspectos están ubicadas en archivos relacionados. En lugar de instalar varias actualizaciones que son prácticamente iguales, los clientes sólo necesitan instalar esta actualización.

¿Los administradores deben realizar alguna acción adicional después de instalar esta actualización?
Sí. Después de instalar esta actualización, el administrador de UAG debe abrir la consola de administración de Forefront UAG y activar la configuración para que los clientes estén protegidos frente a las vulnerabilidades descritas en este boletín.

Uso una versión anterior del software tratado en este boletín de seguridad. ¿Qué debo hacer?
El software afectado que se enumera en este boletín se ha probado para determinar las versiones que están afectadas. Otras versiones o ediciones han pasado su ciclo de vida del soporte técnico. Para obtener más información acerca del ciclo de vida del soporte técnico de los productos, visite el sitio web Ciclo de vida del soporte técnico de Microsoft.

Los clientes que tengan esas versiones o ediciones anteriores del software deberían plantearse la migración a versiones con soporte técnico para evitar la exposición a vulnerabilidades. Para determinar el ciclo de vida del soporte técnico de su versión de software, vea Seleccionar un producto para obtener información acerca del ciclo de vida. Para obtener más información acerca de los Service Packs de estas versiones de software, vea Directiva de compatibilidad del ciclo de vida de los Service Packs.

Los clientes que requieran soporte técnico para el software anterior deben ponerse en contacto con su representante del equipo de cuentas de Microsoft, con su administrador técnico de cuentas o con el representante del socio de Microsoft apropiado para consultar las opciones de soporte personalizado disponibles. Los clientes sin un contrato Alliance, Premier o Authorized pueden ponerse en contacto con su oficina de ventas local de Microsoft. Para obtener información de contacto, visite el sitio web de información en todo el mundo de Microsoft, seleccione el país en la lista Información de contacto y, a continuación, haga clic en Ir para ver una lista de números de teléfono. Cuando llame, diga que desea hablar con el administrador de ventas local de soporte técnico Premier. Para obtener más información, vea Preguntas más frecuentes de la directiva del ciclo de vida del soporte técnico de Microsoft.

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado
Software afectado	Vulnerabilidad de redireccionamiento HTTP sin información de UAG (CVE-2012-0146)	Vulnerabilidad de acceso sin filtrar al sitio web predeterminado de UAG (CVE-2012-0147)	Clasificación de gravedad acumulada
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1	Moderada Suplantación de identidad	Importante Divulgación de información	Importante
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 Update 1	Moderada Suplantación de identidad	Importante Divulgación de información	Importante

Vulnerabilidad de redireccionamiento HTTP sin información de UAG (CVE-2012-0146)

Existe una vulnerabilidad de suplantación de identidad en Forefront Unified Access Gateway (UAG) que podría conllevar la divulgación de información. La vulnerabilidad podría permitir la suplantación de identidad mediante el redireccionamiento del tráfico web destino al servidor UAG a un sitio web malintencionado. Para aprovechar la vulnerabilidad, un atacante podría enviar un vínculo que tuviera una URL especialmente diseñada a un usuario de un servidor UAG y convencerle de que haga clic en el vínculo. Cuando un usuario de UAG autenticado hace clic en el vínculo, la sesión de explorador del usuario podría redireccionarse a un sitio malintencionado diseñado para suplantar una interfaz web de UAG legítima. De este modo, el atacante podría engañar al usuario y adquirir información confidencial, como, por ejemplo, las credenciales del usuario.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2012-0146.

Factores atenuantes para la vulnerabilidad de redireccionamiento HTTP sin información de UAG (CVE-2012-0146)

Soluciones provisionales para la vulnerabilidad de redireccionamiento HTTP sin información de UAG (CVE-2012-0146)

Preguntas más frecuentes sobre la vulnerabilidad de redireccionamiento HTTP sin información de UAG (CVE-2012-0146)

¿Cuál es el alcance de esta vulnerabilidad?
Existe una vulnerabilidad de suplantación de identidad en los servidores Forefront UAG. Un atacante que aprovechara esta vulnerabilidad podría suplantar una interfaz web de UAG legítima.

¿Cuál es la causa de esta vulnerabilidad?
La vulnerabilidad se produce cuando la interfaz web de UAG no valida y confirma el redireccionamiento a un sitio web externo.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante podría redireccionar a los usuarios de UAG autenticados a una página web malintencionada y engañarles para que escribieran nombres de usuario, contraseñas u otra información privada.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Un atacante podría convencer a un usuario de UAG de que haga clic en un vínculo de UAG que tenga una dirección URL especialmente diseñada en un mensaje de correo electrónico, Instant Messenger u otro mecanismo de entrega, que redireccionaría la sesión de explorador del usuario a un sitio arbitrario controlado por el atacante cuando el usuario considera que está viendo el sitio legítimo.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los servidores que ejecutan Microsoft Unified Access Gateway están expuestos a que se aproveche esta vulnerabilidad.

¿Cómo funciona esta actualización?
La actualización corrige la vulnerabilidad al modificar el código de UAG para requerir una comprobación adicional antes de redireccionar a un usuario a otro sitio web.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba usando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

Vulnerabilidad de acceso sin filtrar al sitio web predeterminado de UAG (CVE-2012-0147)

Existe una vulnerabilidad en Microsoft Unified Access Gateway (UAG) que podría permitir a un usuario no autenticado obtener acceso al sitio web predeterminada del servidor de Microsoft UAG desde la red externa.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2012-0147.

Factores atenuantes para la vulnerabilidad de acceso sin filtrar al sitio web predeterminado de UAG (CVE-2012-0147)

Soluciones provisionales para la vulnerabilidad de acceso sin filtrar al sitio web predeterminado de UAG (CVE-2012-0147)

Preguntas más frecuentes sobre la vulnerabilidad de acceso sin filtrar al sitio web predeterminado de UAG (CVE-2012-0147)

Información sobre la actualización

Herramientas y consejos para la detección e implementación

Implementación de la actualización de seguridad

Inclusión en futuros Service Packs	La actualización para este problema se incluirá en un Service Pack o en un conjunto de actualizaciones posterior
Implementación
Instalación sin intervención del usuario	Para Forefront Unified Access Gateway 2010 Service Pack 1 (KB2649261): UAG-KB2649261-v4.0.1753.10076-ENU.msp /quiet
	Para Forefront Unified Access Gateway 2010 Service Pack 1 Update 1(KB2649262): UAG-KB2649262-v4.0.1773.10190-ENU.msp /quiet
Instalación sin reiniciar	Para Forefront Unified Access Gateway 2010 Service Pack 1 (KB2649261): UAG-KB2649261-v4.0.1753.10076-ENU.msp /norestart
	Para Forefront Unified Access Gateway 2010 Service Pack 1 Update 1(KB2649262): UAG-KB2649262-v4.0.1773.10190-ENU.msp /norestart
Actualizar archivo de registro	Para Forefront Unified Access Gateway 2010 Service Pack 1 (KB2649261): MSI2649261.log
	Para Forefront Unified Access Gateway 2010 Service Pack 1 Update 1(KB2649262): MSI2649262.log
Información adicional	Vea la subsección Herramientas y consejos de detección e implementación
Requisito de reinicio
¿Se requiere reiniciar?	En algunos casos, esta actualización no requiere reiniciar el sistema. Sin embargo, si algún archivo necesario está en uso, habrá que reiniciar el sistema. Si se presenta este comportamiento, aparecerá un mensaje que aconseja reiniciar el sistema. Para reducir las posibilidades de que sea preciso un reinicio, detenga todos los servicios afectados y cierre todas las aplicaciones que puedan usar los archivos afectados antes de instalar la actualización de seguridad. Para obtener más información acerca de los motivos por los que se le puede pedir que reinicie, vea el artículo 887012 de Microsoft Knowledge Base.
HotPatching	No aplicable
Información sobre la eliminación	Use la ventana Actualizaciones instaladas como administrador integrado o ejecute msiexec desde una línea de comandos con privilegios elevados.
Información sobre archivos	Para Forefront Unified Access Gateway 2010 Service Pack 1 (KB2649261): Vea el artículo 2649261 de Microsoft Knowledge Base
	Para Forefront Unified Access Gateway 2010 Service Pack 1 Update 1(KB2649262): Vea el artículo 2649262 de Microsoft Knowledge Base
Comprobación de las claves del Registro	No aplicable

Parámetros de instalación de la actualización de seguridad admitidos
Parámetro	Descripción
/help	Muestra las opciones de la línea de comandos.
Modos de instalación
/passive	Modo de instalación desatendida. No es necesaria la intervención del usuario, aunque se muestra el estado de la instalación. Si es preciso reiniciar al final de la instalación, se presentará un cuadro de diálogo que muestra una advertencia con temporizador en la que se indica que el equipo se reiniciará al cabo de 30 segundos.
/quiet	Modo silencioso. Es igual que el modo desatendido, pero no se muestran mensajes de estado ni de error.
Opciones de reinicio
/norestart	No reinicia cuando termina la instalación.
/forcerestart	Reinicia el equipo después de la instalación y obliga a otras aplicaciones a cerrarse cuando se apaga el equipo sin guardar antes los archivos abiertos.
/warnrestart[:x]	Presenta un cuadro de diálogo que muestra una advertencia con temporizador en la que se indica al usuario que el equipo se reiniciará al cabo de x segundos. (El valor predeterminado es 30 segundos.) Está diseñado para ser utilizado con los parámetros /quiet o /passive.
/promptrestart	Muestra un cuadro de diálogo que el que se pide al usuario local que permita un reinicio.
Opciones especiales
/overwriteoem	Sobrescribe los archivos OEM sin preguntar al usuario.
/nobackup	No hace copia de seguridad de los archivos necesarios para la desinstalación.
/forceappsclose	Obliga a otros programas a cerrarse cuando se apaga el equipo.
/log:ruta de acceso	Permite la redirección de los archivos de registro de instalación.
/integrate:ruta de acceso	Integra la actualización en los archivos fuente de Windows. Estos archivos se encuentran en la ruta de acceso que se especifica en el parámetro.
/extract[:ruta de acceso]	Extrae los archivos sin iniciar el programa de instalación.
/ER	Habilita la generación de informes de error extendidos.
/verbose	Habilita el registro detallado. Crea el archivo %Windir%\CabBuild.log durante la instalación. El registro incluye el detalle de los archivos que se copian. El uso de este parámetro puede provocar que la instalación resulte más lenta.

Parámetros compatibles con Spuninst.exe
Parámetro	Descripción
/help	Muestra las opciones de la línea de comandos.
Modos de instalación
/passive	Modo de instalación desatendida. No es necesaria la intervención del usuario, aunque se muestra el estado de la instalación. Si es preciso reiniciar al final de la instalación, se presentará un cuadro de diálogo que muestra una advertencia con temporizador en la que se indica que el equipo se reiniciará al cabo de 30 segundos.
/quiet	Modo silencioso. Es igual que el modo desatendido, pero no se muestran mensajes de estado ni de error.
Opciones de reinicio
/norestart	No reinicia cuando termina la instalación
/forcerestart	Reinicia el equipo después de la instalación y obliga a otras aplicaciones a cerrarse cuando se apaga el equipo sin guardar antes los archivos abiertos.
/warnrestart[:x]	Presenta un cuadro de diálogo que muestra una advertencia con temporizador en la que se indica al usuario que el equipo se reiniciará al cabo de x segundos. (El valor predeterminado es 30 segundos.) Está diseñado para ser utilizado con los parámetros /quiet o /passive.
/promptrestart	Muestra un cuadro de diálogo que el que se pide al usuario local que permita un reinicio.
Opciones especiales
/forceappsclose	Obliga a otros programas a cerrarse cuando se apaga el equipo.
/log:ruta de acceso	Permite la redirección de los archivos de registro de instalación.

Información adicional:

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en

Asociados de Microsoft Active Protections Program (MAPP)

Soporte técnico

Cómo obtener ayuda y soporte técnico para esta actualización de seguridad

Ayuda para instalar actualizaciones: Soporte de Microsoft Update
Soluciones de seguridad para profesionales de TI: Soporte técnico y solución de problemas de seguridad de TechNet
Ayuda para proteger su equipo con Windows de virus y malware: Solución antivirus y centro de seguridad
Soporte local según su país: Soporte internacional

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (10 de abril de 2012): Publicación del boletín
V1.1 (18 de abril de 2012): Se ha corregido la información de reemplazo de boletín para Microsoft Forefront Unified Access Gateway 2010 Service Pack 1. Se trata únicamente de un cambio de boletín. No había cambios en la detección o en los archivos de la actualización de seguridad.