5.0.2195.4797 a 5.0.2195.4928 (inclusive).

Si se encuentra dentro de ese rango, el parche no es compatible. Esas versiones son distribuidas solo a través de las actualizaciones críticas (hotfixes) proporcionadas por el Servicio de Apoyo al Producto (Product Support Services).

La ejecución de Windows 2000 con el parche instalado en esas versiones, ocasiona que la computadora se bloquee en el primer intento de reinicio con un mensaje "Stop 0x00000071", debiendo ser recuperado con la consola de recuperación de Windows 2000, y un respaldo del archivo "ntdll.dll" almacenada en el directorio "\winnt\$NTUninstallQ815021$".

Microsoft indica que para actualizar Windows 2000 si usted está en ese rango de versiones incompatibles, primero debería ponerse en contacto con el Servicio de Apoyo al Producto. Más información disponible en esta dirección: http://support.microsoft.com

En forma alternativa, usted puede actualizar su Windows 2000 con el Service Pack 3 (SP3), antes de instalar el mencionado parche.

A pesar de todo lo que se haya dicho, y de que sin dudas se trate de una "gran metida de pata" de Microsoft, es muy grave la falla que el parche intenta corregir como para quedarse con los brazos cruzados solo porque "es otro parche que solo causa más problemas que soluciones".

El uso de esta falla por parte de crackers, ya ha ocasionado la intervención de la justicia norteamericana. Según informa el propio responsable del Centro de Respuesta de Seguridad de Microsoft, ya existen denuncias de administradores de varios servidores corporativos que han sido literalmente "tomados" por intrusos conectándose desde Internet, gracias al fallo involucrado.

En este caso, tanto la incompatibilidad en el parche, como la situación de extremo peligro para todos los servidores que utilicen Windows 2000 (y todos los usuarios que usen el IIS 5.0 en sus computadoras), pasa por la premura conque el parche debió ser creado, y el hecho de que la vulnerabilidad y su exploit fueron hechas públicas sin avisar al fabricante, dando tiempo para atacar y afectar a muchas computadoras antes de que los responsables se dieran cuenta de lo que estaba sucediendo.

La vulnerabilidad está en la librería "ntdll.dll", utilizada por un protocolo llamado WebDAV (World Wide Web Distributed Authoring and Versioning). Consta de un conjunto de extensiones HTTP que proporcionan el estándar para editar y manejar archivos entre diferentes computadoras a través de Internet. Afecta a los sistemas que trabajan con IIS 5.0 sobre Windows 2000, aun con el Service Pack 3 instalado.

El envío de un paquete HTTP modificado para explotar la falla por parte de un atacante, puede hacer que el servidor caiga o permitir la ejecución de cualquier clase de código en el contexto de seguridad local (LocalSystem).

En el caso de no aplicar el parche (si su sistema es incompatible), debería deshabilitar a la brevedad posible el servicio vulnerable, todo el servidor IIS 5.0 (si no es un usuario corporativo) o seguir los consejos aportados por el CERT (UNAM/CERT, Equipo de Respuesta a Incidentes de la Universidad Nacional Autónoma de México), y que detallamos en http://www.vsantivirus.com/vulms03-007.htm.

De forma alternativa, se puede deshabilitar WebDAV siguiendo las instrucciones localizadas en el Knowledge Base Article 241520, "Como deshabilitar WebDAV para IIS 5.0" http://support.microsoft.com/default.aspx?scid=kb;en-us;241520


Relacionados:

Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htm

Expertos dicen: la falla en Windows 2000 es muy grave
http://www.vsantivirus.com/26-03-03a.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com