Boletín de seguridad de Microsoft MS15-055: importante
Vulnerabilidad en Schannel podría permitir la divulgación de información (3061518)
Publicado: 12 de mayo de 2015
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows que facilita la explotación de la técnica Logjam divulgada públicamente, un problema de todo el sector que no es específico de los sistemas operativos Windows. La vulnerabilidad podría permitir la divulgación de información cuando El canal seguro (Schannel) permite el uso de una longitud débil de clave diffie-Hellman efímera (DHE) de 512 bits en una sesión TLS cifrada. Permitir claves DHE de 512 bits hace que los intercambios de claves DHE sean débiles y vulnerables a varios ataques. Un servidor debe admitir longitudes de clave DHE de 512 bits para que un ataque sea correcto; la longitud mínima permitida de la clave DHE en las configuraciones predeterminadas de los servidores de Windows es de 1024 bits.
Esta actualización de seguridad es importante para todas las versiones admitidas de Microsoft Windows. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda la vulnerabilidad aumentando la longitud mínima permitida de la clave DHE a 1024 bits. Para obtener más información sobre la vulnerabilidad, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3061518.
Software afectado
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
| Sistema operativo | Impacto máximo en la seguridad | Clasificación de gravedad agregada | Novedades reemplazado |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2003 con SP2 para sistemas basados en Itanium (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows 8 y Windows 8.1 | |||
| Windows 8 para sistemas de 32 bits (3061518) | Divulgación de información | Importante | 3046049 en MS15-031, 3050514 en MS15-052[1] |
| Windows 8 para sistemas basados en x64 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031, 3050514 en MS15-052[1] |
| Windows 8.1 para sistemas de 32 bits (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows 8.1 para sistemas basados en x64 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2012 y Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031, 3050514 en MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows RT y Windows RT 8.1 | |||
| Windows RT[2](3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows RT 8.1[2](3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Opción de instalación Server Core | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación server Core) (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación server Core) (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core) (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
| Windows Server 2012 (instalación server Core) (3061518) | Divulgación de información | Importante | 3046049 en MS15-031, 3050514 en MS15-052[1] |
| Windows Server 2012 R2 (instalación server Core) (3061518) | Divulgación de información | Importante | 3046049 en MS15-031 |
[1]Tenga en cuenta que la actualización 3050514 en MS15-052 se publica simultáneamente con 3061518 en MS15-055. Los clientes que piensan instalar ambas actualizaciones manualmente en Windows 8 o Windows Server 2012 deben instalar 3050514 en MS15-052 antes de instalar 3061518 en MS15-055 (esto se encarga automáticamente de los clientes con la actualización automática habilitada). Para obtener más información, consulte la sección Problemas conocidos del artículo 3061518 de Microsoft Knowledge Base.
[2]Esta actualización solo está disponible a través de Windows Update .
Preguntas más frecuentes sobre la actualización
¿Esta actualización contiene otros cambios relacionados con la seguridad en la funcionalidad?
Sí. Esta actualización normaliza los cifrados tls False Start en Windows 8 y Windows 8.1 mediante la eliminación de la optimización De inicio false durante la negociación del cifrado para los dos cifrados siguientes en los sistemas Windows 8:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
También implementa una disposición para no permitir el inicio falso durante la negociación del conjunto de cifrado RC4.
Clasificaciones de gravedad e identificadores de vulnerabilidad
Las siguientes clasificaciones de gravedad asumen el posible impacto máximo de la vulnerabilidad. Para obtener información sobre la probabilidad, en un plazo de 30 días a partir de la publicación de este boletín de seguridad, de la vulnerabilidad en relación con su clasificación de gravedad e impacto en la seguridad, consulte el Índice de vulnerabilidades en el resumen del boletín de mayo.
| Clasificación de gravedad de vulnerabilidad y impacto máximo en la seguridad por parte del software afectado | ||
|---|---|---|
| Software afectado | Vulnerabilidad de divulgación de información de Schannel: CVE-2015-1716 | Clasificación de gravedad agregada |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2003 con SP2 para sistemas basados en Itanium (3061518) | Divulgación de información importante | Importante |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 | ||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 para sistemas basados en Itanium Service Pack 2 (3061518) | Divulgación de información importante | Importante |
| Windows 7 | ||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3061518) | Divulgación de información importante | Importante |
| Windows 7 para sistemas basados en x64 Service Pack 1 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 R2 para sistemas basados en Itanium Service Pack 1 (3061518) | Divulgación de información importante | Importante |
| Windows 8 y Windows 8.1 | ||
| Windows 8 para sistemas de 32 bits (3061518) | Divulgación de información importante | Importante |
| Windows 8 para sistemas basados en x64 (3061518) | Divulgación de información importante | Importante |
| Windows 8.1 para sistemas de 32 bits (3061518) | Divulgación de información importante | Importante |
| Windows 8.1 para sistemas basados en x64 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2012 y Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Divulgación de información importante | Importante |
| Windows Server 2012 R2 (3061518) | Divulgación de información importante | Importante |
| Windows RT y Windows RT 8.1 | ||
| Windows RT (3061518) | Divulgación de información importante | Importante |
| Windows RT 8.1 (3061518) | Divulgación de información importante | Importante |
| Opción de instalación Server Core | ||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación Server Core) (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 para sistemas basados en x64 Service Pack 2 (instalación server Core) (3061518) | Divulgación de información importante | Importante |
| Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación server Core) (3061518) | Divulgación de información importante | Importante |
| Windows Server 2012 (instalación server Core) (3061518) | Divulgación de información importante | Importante |
| Windows Server 2012 R2 (instalación server Core) (3061518) | Divulgación de información importante | Importante |
Información de vulnerabilidad
Vulnerabilidad de divulgación de información de Schannel: CVE-2015-1716
Existe una vulnerabilidad de divulgación de información en el canal seguro (Schannel) cuando permite el uso de una longitud de clave diffie-Hellman débil efímera (DHE) de 512 bits en una sesión TLS cifrada. Permitir claves DHE de 512 bits hace que los intercambios de claves DHE sean débiles y vulnerables a varios ataques.
La actualización de seguridad aborda la vulnerabilidad aumentando la longitud mínima permitida de la clave DHE a 1024 bits.
Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. Cuando se emitió este boletín de seguridad, Microsoft no había recibido ninguna información para indicar que esta vulnerabilidad se había usado públicamente para atacar a los clientes.
Factores de mitigación
Los siguientes factores de mitigación pueden ser útiles en su situación:
- Un servidor debe admitir longitudes de clave DHE de 512 bits para que un ataque sea correcto; la longitud mínima permitida de la clave DHE en las configuraciones predeterminadas de los servidores de Windows es de 1024 bits.
Soluciones alternativas
La siguiente solución alternativa puede resultar útil en su situación:
Deshabilitar conjuntos de cifrado DHE
Advertencia Si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no garantiza que se puedan resolver los problemas derivados de un uso incorrecto del Editor del Registro. Use el Editor del Registro bajo su propia responsabilidad.Abra el Editor del Registro.
Para acceder a la configuración del algoritmo de intercambio de claves, vaya a la siguiente ubicación del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Seleccione la sub key Diffie-Hellman (si no existe, créela).
Establezca el valor del Registro DWORD habilitado en 0 (si no existe, créelo).
Salga del Editor del Registro.
Cómo deshacer la solución alternativa.
Abra el Editor del Registro.
Para acceder a la configuración del algoritmo de intercambio de claves, vaya a la siguiente ubicación del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Seleccione la subconsulta Diffie-Hellman .
Establezca el valor del Registro DWORD habilitado en 1.
Salga del Editor del Registro.
Impacto de la solución alternativa: las sesiones TLS cifradas que dependen de claves DHE ya no funcionarán a menos que se hayan implementado opciones de conmutación por error alternativas.
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (12 de mayo de 2015): Boletín publicado.
Página generada 2015-05-27 14:31Z-07:00.