El parche que Microsoft publicó para evitar la vulnerabilidad descubierta hace tan sólo unos días y que ponía en peligro todos los servidores web con IIS y Windows 2000 instalado, sufre a su vez de un problema que, según la versión, puede llegar a bloquear el ordenador donde sea aplicado.

Microsoft ha anunciado oficialmente, en una revisión de su último boletín de seguridad, que el parche publicado el lunes para solucionar el grave problema de seguridad de Windows 2000, es incompatible con otros doce parches ya existentes para dicho sistema operativo. Los programas en concreto han sido realizados por Microsoft's Product Support Services (PSS) entre diciembre de 2001 y febrero 2002. Los usuarios que hayan aplicado este software no serán capaces de reiniciar su Windows 2000 si han aplicado el parche considerado como crítico.

Los administradores que utilicen Windows 2000 con Service Pack 2 instalado deberían verificar la versión de un archivo llamado ntoskrnl.exe en su sistema antes de aplicar el nuevo parche. Las versiones que vayan de la 5.0.2195.4797 hasta la 5.0.2195.4928 inclusive, no son compatibles con el nuevo parche, por lo que los responsables deberán ponerse en contacto con el PSS de Microsoft antes de realizar ningún cambio (permaneciendo vulnerables).

Los usuarios que ya hayan cometido el error observarán como el sistema será incapaz de arrancar tras el primer reinicio y sólo podrán recuperar el control de la máquina a través de la consola de recuperación de Windows 2000.

La vulnerabilidad que pretendía solventar el parche viene causada por un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning) en la librería llamada ntdll.dll Se compone de un conjunto de extensiones de HTTP que proporciona el estándar para editar y manejar ficheros entre ordenadores de Internet. Afecta a los sistemas que trabajen con versiones posteriores a IIS 5.0 sobre Windows 2000, aun con el Service Pack 3 instalado en ellos. Un atacante podría explotar la vulnerabilidad enviando un paquete HTTP especialmente formado a una máquina con IIS. La petición podría hacer que el servidor cayera o permitir la ejecución de código arbitrario bajo el contexto de LocalSystem.

Esto no hace más que acrecentar la desconfianza hacia una compañía que hace más de un año, lanzó a bombo y platillo un plan de seguridad llamado Trustworthy Computing en el que prometían volcar todos sus esfuerzos hacia una programación segura y confiable.

Reproducido de
www.forzis.com