FAQ sobre MS12-020
Desde Segu-Info hemos estados siguiendo minuto a minuto el tema de la vulnerabilidad identificada por Microsoft como MS12-020 y sobre la aparición de los exploits públicos y ahora dejamos la traducción de una FAQ publicada por Microsoft sobre el tema.
P1: ¿Existe Microsoft Terminal Services Client (MSTSC) para Windows Server 2003 que admita la autenticación de nivel de red (Network Level Authentication - NLA)?
No, no hay un cliente MSTSC disponible para Windows Server 2003 que admita NLA y solo puede ser configurado en Windows 2008.
P2: En lo que respecta a MS12-020, si no uso el puerto por defecto RDP (3389) y también bloqueamos el puerto en el firewall, ¿debo instalar el parche?
Sí. Un atacante podría encontrar el servicio que escucha RDP en otro puerto, por lo que seguimos recomendando el despliegue de esta actualización de seguridad.
P3: El instalador de 'KB2667725.exe' parece no soportar los modificadores "/q", "/qn", "/quiet", "/s", "/silent", y "/?"
Efectivamente este instalador no los soporta pero obviamente lo hacemos desde MU y WSUS.
P4: El servicio de escritorio remoto ¿puede ejecutarse con privilegios menores a "System"?
No, el servicio RDP no se puede cambiar a una cuenta con menores privilegios.
P5: ¿Cuáles son los sistemas operativos compatibles con la actualización MS12-020?
Microsoft Windows XP con Service Pack 3, Windows Vista, Windows 7 o Windows Server 2008.
P6: ¿Debo instalar la actualización en Terminal Server?
Sí, Remote Desktop Services es formalmente conocido como Terminal Services. Por favor vea el boletín de seguridad para seleccionar la actualización apropiada para su plataforma.
P7: Si el servicio RDP está establecido en manual, pero no se ha iniciado ¿es vulnerable? o ¿sólo son vulnerables los sistemas que tengan el servicio iniciado?
Sí, el sistema sigue siendo vulnerable. Sin embargo, aún no hay una vía de ataque si el servicio no está escuchando. De todos modos se recomienda aplicar la actualización.
P8: ¿Existe alguna herramienta y procedimiento para examinar una red y encontrar servidores con RDP habilitado?
Puede utilizar el siguiente comando:
portqry-n MiServidor-p tcp-e 3389 -
Para más información sobre uso de esta herramienta, consulte KB832919
P9: Para los servidores Citrix, esta vulnerabilidad RDP tiene algún impacto en ICA?
Esta vulnerabilidad es específica para la implementación de Microsoft RDP. Los clientes de Citrix tiene su propia implementación del protocolo RDP.
P10: ¿Puede ser utilizada una autenticación VPN para permitir NLA para RDP sobre clientes Windows XP?
Una VPN puede proporcionar cierta protección en general sobre esta vulnerabilidad porque se requiere que el atacante se autentique antes de explotar la vulnerabilidad. A pesar de que las soluciones de VPN pueden proporcionar algunas medidas de mitigación contra esta vulnerabilidad, se recomienda instalar la actualización.
P11: ¿Todos los servidores pueden ser vulnerable a MS12-020?
RDP no es activado por defecto. Cualquier servidor en el cual el administrador haya habilitado RDP, es vulnerable.
P12: Terminal Services Gateway ¿es vulnerable?
Los servidores Terminal Services Gateway no son directamente vulnerables a este problema. La razón es que los usuarios externos se conectan mediante el uso de RDP encapsulado en RPC a través de HTTPS (puerto 443). Sin embargo, un TS server que tiene RDP activado, a fin de permitir RDP para sí mismo, es vulnerable.
P13: ¿Existe una directiva de grupo (GPO) para habilitar NLA en todos los clientes de Windows 7 dentro de un dominio de Windows 2008?
Sí, por favor consulte la sección de soluciones del boletín de información.
Fuente: http://blogs.technet.com/b/msrc/p/march-2012-security-bulletin-q-a.aspx
P1: ¿Existe Microsoft Terminal Services Client (MSTSC) para Windows Server 2003 que admita la autenticación de nivel de red (Network Level Authentication - NLA)?
No, no hay un cliente MSTSC disponible para Windows Server 2003 que admita NLA y solo puede ser configurado en Windows 2008.
P2: En lo que respecta a MS12-020, si no uso el puerto por defecto RDP (3389) y también bloqueamos el puerto en el firewall, ¿debo instalar el parche?
Sí. Un atacante podría encontrar el servicio que escucha RDP en otro puerto, por lo que seguimos recomendando el despliegue de esta actualización de seguridad.
P3: El instalador de 'KB2667725.exe' parece no soportar los modificadores "/q", "/qn", "/quiet", "/s", "/silent", y "/?"
Efectivamente este instalador no los soporta pero obviamente lo hacemos desde MU y WSUS.
P4: El servicio de escritorio remoto ¿puede ejecutarse con privilegios menores a "System"?
No, el servicio RDP no se puede cambiar a una cuenta con menores privilegios.
P5: ¿Cuáles son los sistemas operativos compatibles con la actualización MS12-020?
Microsoft Windows XP con Service Pack 3, Windows Vista, Windows 7 o Windows Server 2008.
P6: ¿Debo instalar la actualización en Terminal Server?
Sí, Remote Desktop Services es formalmente conocido como Terminal Services. Por favor vea el boletín de seguridad para seleccionar la actualización apropiada para su plataforma.
P7: Si el servicio RDP está establecido en manual, pero no se ha iniciado ¿es vulnerable? o ¿sólo son vulnerables los sistemas que tengan el servicio iniciado?
Sí, el sistema sigue siendo vulnerable. Sin embargo, aún no hay una vía de ataque si el servicio no está escuchando. De todos modos se recomienda aplicar la actualización.
P8: ¿Existe alguna herramienta y procedimiento para examinar una red y encontrar servidores con RDP habilitado?
Puede utilizar el siguiente comando:
portqry-n MiServidor-p tcp-e 3389 -
Para más información sobre uso de esta herramienta, consulte KB832919
P9: Para los servidores Citrix, esta vulnerabilidad RDP tiene algún impacto en ICA?
Esta vulnerabilidad es específica para la implementación de Microsoft RDP. Los clientes de Citrix tiene su propia implementación del protocolo RDP.
P10: ¿Puede ser utilizada una autenticación VPN para permitir NLA para RDP sobre clientes Windows XP?
Una VPN puede proporcionar cierta protección en general sobre esta vulnerabilidad porque se requiere que el atacante se autentique antes de explotar la vulnerabilidad. A pesar de que las soluciones de VPN pueden proporcionar algunas medidas de mitigación contra esta vulnerabilidad, se recomienda instalar la actualización.
P11: ¿Todos los servidores pueden ser vulnerable a MS12-020?
RDP no es activado por defecto. Cualquier servidor en el cual el administrador haya habilitado RDP, es vulnerable.
P12: Terminal Services Gateway ¿es vulnerable?
Los servidores Terminal Services Gateway no son directamente vulnerables a este problema. La razón es que los usuarios externos se conectan mediante el uso de RDP encapsulado en RPC a través de HTTPS (puerto 443). Sin embargo, un TS server que tiene RDP activado, a fin de permitir RDP para sí mismo, es vulnerable.
P13: ¿Existe una directiva de grupo (GPO) para habilitar NLA en todos los clientes de Windows 7 dentro de un dominio de Windows 2008?
Sí, por favor consulte la sección de soluciones del boletín de información.
Fuente: http://blogs.technet.com/b/msrc/p/march-2012-security-bulletin-q-a.aspx
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios