9 sept 2009

Windows 2000 Server sin parches para vulnerabilidades TCP/IP

Los usuarios de Windows 2000 Server SP4 deben preocuparse. En una movida sin precendentes Microsoft no preparó el parche de Windows 2000 para las dos vulnerabilidades (CVE-2008-4609 y CVE-2009-1926) que afectan a Windows 2000 y que si son solucionadas para las demás versiones del sistema operativo en uno de los boletines de seguridad publicados ayer: MS09-48.

Aunque sólo sirva de consuelo, la empresa explica los motivos en el mismo boletín MS09-048:
Si Microsoft Windows 2000 Service Pack 4 está incluido como un producto afectado, ¿por qué Microsoft no publica ninguna actualización para él?
La arquitectura para admitir apropiadamente la protección de TCP/IP no existe en los sistemas Microsoft Windows 2000, por lo que no resulta factible crear la corrección para Microsoft Windows 2000 Service Pack 4 a fin de eliminar la vulnerabilidad. Para hacerlo, sería necesario rediseñar una parte muy importante del sistema operativo Microsoft Windows 2000 Service Pack 4, no sólo el componente afectado. El producto de dicho cambio de diseño sería lo suficientemente incompatible con Microsoft Windows 2000 Service Pack 4 que no habría garantía de que las aplicaciones diseñadas para ejecutarse en Microsoft Windows 2000 Service Pack 4 siguieran funcionando en el sistema actualizado.
A pesar de esto, el soporte para Windows 2000 no finaliza sino hasta Julio de 2010.

Las tres fallas descubiertas en el stack de TCP/IP (CVE-2008-4609, CVE-2009-1925 y CVE-2009-1926) y resueltas en el boletín MS09-48 para las demás versiones de Windows, son destacadas por varios especialistas como de muy importante y urgente aplicación. No bien llegue un paquete maliciosamente preparado el equipo podría quedar comprometido. Y el bloqueo de puertos no sirve como defensa para estas vulnerabilidades. Los detalles de una de estas vulnerabilidades ya se ha hecho público.

La protección contra estas vulnerabilidades de TCP/IP es aplicar los parches del boletín tan pronto como se pongan a prueba en equipos no productivos. Existen factores atenuantes que pueden limitar, según el caso, la exposición a estas vulnerabilidades y están descriptos en el boletín.

Dos de las vulnerabilidades de este boletin MS09-048 permitirían al atacante lograr la denegación de servicio:
¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que aprovechara esta vulnerabilidad podría provocar que un sistema afectado dejara de responder.
la otra vulnerabilidad permitiría la ejecución remota de código:
¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que consiguiera aprovechar esta vulnerabilidad podría ejecutar código arbitrario. De esta forma, un intruso podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario.
Destacamos la importancia de aplicar a tiempo este tipo de parches y los otros publicados este mes. Si bien hasta el momento no se conoce que estén siendo explotados activamente, la experiencia indica que sólo es cuestión de tiempo para que eso suceda.

Raúl de la redacción de Segu-info con información del Boletín de seguridad de Microsoft MS09-048

Suscríbete a nuestro Boletín

3 comentarios:

  1. Wow!!! en otras palabras, cámbiate a windows 2003 o superior, porque este esta obsoleto.
    yo me pregunto, quien en estos tiempos usa win 2000 server, al menos en Chile varios.

    saludos

    ResponderBorrar
  2. Yo pregunto, si una empresa compró X cantidad de licencias para windows 2000 y ahora, debido a esto, quieren migrar a otro win server como 2003 o 2008, microsoft les hara descuento? tomara en cuenta que esta empresa esta migrando por un problema que ellos no pueden o no quiere arreglar?

    ResponderBorrar
  3. Hola Anónimo:

    Para tu caso particular deberias consultar a MS. Cada caso es tratado en forma individual. En algunos casos que tenemos conocimiento hay reconocimiento comercial y algunos descuentos al actualizar versiones.

    Las empresas que producen y venden software, tienen un ciclo de vida y soporte de sus productos. Quien no se informa ni planifica para evitar los problemas de falta de soporte, sufre por su propia falta de previsión. Es un error buscar la culpa en el fabricante. Las empresa de software no ocultan los ciclos de vida y soporte de sus productos.

    Quienes no estan de acuerdo con ese modelo eligen el software libre, que tambien tiene otro tipo de dificultades, segun sea el caso.

    Saludos.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!