November 2008 - Artículos

No hay excusa, ya ha pasado más de un mes

He estado observando en varios foros de Windows un aumento llamativo de consultas sobre errores de aplicación en Svchost.exe (Generic Host Process for Win32 Services) en sistemas Windows XP y Windows Server 2003. ¿Tendrán algo que ver con una grave vulnerabilidad divulgada en octubre?

Los informes no son concluyentes; sin embargo, uno de los servicios afectados por el fallo es a menudo el servicio Servidor. Esta caída en Windows XP y Windows Server 2003 arrastra a numerosos servicios de red como firewall y conexión compartida a Internet, actualizaciones automáticas, examinador de equipos o estación de trabajo, por nombrar algunos. Uno de los síntomas fácilmente observables es la imposibilidad de reproducir sonidos y el cambio a la apariencia clásica de Windows si se empleaba algún otro estilo de apariencia, puesto que los servicios de audio y temas también se ven afectados. Por decirlo de una forma muy coloquial: se lía bien parda. No merece la pena intentar iniciar a mano los servicios perdidos que no se han reiniciado automáticamente; para recuperar el correcto desempeño del sistema se necesita un reinicio completo.

Un sistema con Windows 2000 quedaría teóricamente peor parado: el servicio Servidor se aloja nada más y nada menos que en el proceso Services.exe, que incluye el gestor de control de servicios (SCM). Si Services.exe "muere", Winlogon.exe iniciará una cuenta atrás de reinicio en un minuto, "tipo Blaster". No he tenido noticias de usuarios de Windows 2000 afectados, así que no conozco su comportamiento exacto ante esta situación.

Microsoft publicó el pasado 23 de octubre, con carácter muy urgente, la actualización de seguridad KB958644 (MS08-067) para las cinco versiones de Windows con soporte técnico vigente, desde Windows 2000 hasta Windows Server 2008. La vulnerabilidad se halla en un componente del servicio Servidor y actualmente hay indicios de que está siendo explotada de forma activa. En ocasiones, los intentos de explotación se manifestarán con la caída del servicio Servidor (una denegación de servicio, valga la redundancia) y la interrupción de los servicios alojados en el mismo proceso, como se ha explicado más arriba, aunque no se pueden descartar exploits activos que actúen sin levantar sospechas.

Un cortafuegos correctamente configurado detendrá los ataques externos. Sin embargo, una máquina que forme parte de una red local, en caso de infectarse con un agente malicioso que aproveche la vulnerabilidad para distribuirse o para inyectar otra clase de software malintencionado, podría trasladar la amenaza a máquinas sin protección que estén a su alrededor.

Por esto es fundamental aplicar de forma inmediata la actualización de seguridad KB958644. No se conocen efectos secundarios, aunque es necesario un reinicio del equipo para completar la instalación. Para más información véase el boletín de seguridad MS08-067.

Nota: no todos los fallos de Svchost.exe se deben a los intentos de explotación de la vulnerabilidad descrita. Si su equipo se muestra inestable con síntomas similares y está seguro de haber instalado todas las actualizaciones de alta prioridad para su sistema operativo, por favor, exponga su problema en un foro de usuarios o póngase en contacto con algún tipo de asistencia técnica autorizada de pago.

Publicado /span> 30/11/2008 por Ramón Sola | 2 comment(s)

Archivado en: Microsoft,Windows,seguridad,mosqueos,peligros,actualizaciones,MS08-067

Descargas, pruebas frikis y entornos reales de producción en Microsoft

No es raro toparse de vez en cuando con alguna sorpresa extraña al visitar el centro de descargas de Microsoft, especialmente si se piden las descargas ordenadas cronológicamente desde la más reciente. Parece que alguien no termina de comprender totalmente el significado de la frase «no es conveniente efectuar pruebas en un entorno en producción».

Como muestra, véase esta captura de una página de descarga que ya ha sido eliminada.

Test Allan en-US
File Name: Battlestar Galactica - Seasons, Episodes.docx
Supported Operating Systems: Linux; Unix; Xenix

¿Guía de temporadas y episodios de Battlestar Galactica en formato DOCX (Word 2007)? ¿Sistemas compatibles Linux, Unix y Xenix? ¿Recurso relacionado Foo? What The Foock?

El caso es que el dominio www.foo.com existe y corresponde, al parecer, a un directorio de personas en Estados Unidos al estilo de las Páginas Blancas aquí en España. Lástima que el archivo mencionado en la descarga no estuviera disponible, pues habría sido un detalle muy divertido tener la posibilidad de echarle un vistazo.

Actualización 4 de enero de 2008: repasando el blog de Jorge durante estos días me he dado cuenta de que relató un caso similar, en julio de 2007, en un artículo titulado la manía de hacer pruebas en producción.

Publicado /span> 20/11/2008 por Ramón Sola | 1 comment(s)

Archivado en: Microsoft,curiosidades,WTF

Posible pantalla azul bajo determinadas condiciones tras instalar la actualización KB954211

Microsoft ha publicado recientemente un artículo en su Knowledge Base informando de un problema no muy grave con la rama QFE del archivo Win32k.sys que se incluye en las actualizaciones KB954211 (boletín de seguridad MS08-061 de octubre de 2008) para Windows XP y Windows Server 2003.

El artículo KB959252 señala que puede desencadenarse un STOP (pantalla azul de error grave) al intentar pasar de una configuración de dos monitores a un solo monitor después de haber instalado la actualización KB954211. Los pasos para reproducir las condiciones según dicho artículo se exponen a continuación:

1. Hacer clic con el botón derecho en una zona vacía del escritorio y después hacer clic en Propiedades. Con esto se abren las Propiedades de pantalla.
2. Hacer clic en la pestaña Configuración. En una configuración de doble monitor se muestran dos rectángulos etiquetados con los números 1 y 2.
3. Hacer clic en el monitor secundario (2) y desmarcar la casilla Extender el escritorio de Windows a este monitor. A continuación, hacer clic en Aceptar o en Aplicar.

Si la versión del archivo Win32k.sys corresponde a la rama QFE de la actualización KB954211 (véase más abajo), se producirá una pantalla azul, concretamente un STOP 0x8E, con la consiguiente detención del sistema operativo y el reinicio obligado.

Nota: este es un caso muy específico de STOP 0x8E (KERNEL_MODE_EXCEPTION_NOT_HANDLED). Si ha llegado buscando información sobre un error de STOP que no se ha producido en estas circunstancias, por favor, solicite asistencia en un foro apropiado. El autor del blog se reserva el derecho de ignorar los comentarios a esta entrada que pidan algún tipo de asistencia técnica fuera del ámbito del problema aquí descrito.

La siguiente lista muestra las propiedades de versión de los archivos Win32k.sys en las dos actualizaciones mencionadas, KB954211 y KB959252, agrupadas según el sistema operativo y el nivel de service pack compatible.

Actualización 9 febrero 2009: la primera versión del parche KB959252 solo incluía la rama QFE. Hace unos días, Microsoft lanzó una nueva versión (v2) que añadía la rama GDR a los paquetes originales. A todos los efectos puede afirmarse que esta revisión reemplaza totalmente a la actualización de seguridad KB954211, aunque dudo mucho que Microsoft la distribuya a través de los mecanismos habituales como Windows Update, Microsoft Update, WSUS, etc. La lista se ha modificado incorporando la información de versión de la rama GDR de KB959252.

• Windows XP (32 bits) con Service Pack 2
  • KB954211 GDR: 5.1.2600.3446 (xpsp_sp2_gdr.080915-1439)
  • KB954211 QFE: 5.1.2600.3446 (xpsp_sp2_qfe.080915-1444)
  • KB959252 GDR: 5.1.2600.3468 (xpsp_sp2_gdr.081025-1518)
  • KB959252 QFE: 5.1.2600.3468 (xpsp_sp2_qfe.081025-1521)
• Windows XP (32 bits) con Service Pack 3
  • KB954211 GDR: 5.1.2600.5676 (xpsp_sp3_gdr.080915-1443)
  • KB954211 QFE: 5.1.2600.5676 (xpsp_sp3_qfe.080915-1456)
  • KB959252 GDR: 5.1.2600.5701 (xpsp_sp3_gdr.081025-1524)
  • KB959252 QFE: 5.1.2600.5701 (xpsp_sp3_qfe.081025-1544)
• Windows Server 2003 y Windows XP x64 con Service Pack 1
  • KB954211 GDR: 5.2.3790.3212 (srv03_sp1_gdr.080915-1338)
  • KB954211 QFE: 5.2.3790.3212 (srv03_sp1_qfe.080915-1338)
  • KB959252 GDR: 5.2.3790.3235 (srv03_sp1_gdr.081025-1450)
  • KB959252 QFE: 5.2.3790.3235 (srv03_sp1_qfe.081025-1450)
• Windows Server 2003 y Windows XP x64 con Service Pack 2
  • KB954211 GDR: 5.2.3790.4375 (srv03_sp2_gdr.080915-1331)
  • KB954211 QFE: 5.2.3790.4375 (srv03_sp2_qfe.080915-1331)
  • KB959252 GDR: 5.2.3790.4398 (srv03_sp2_gdr.081025-1901)
  • KB959252 QFE: 5.2.3790.4398 (srv03_sp2_qfe.081025-1901)

En Windows Server 2003 están afectadas las ediciones en las tres arquitecturas de procesador compatibles: x86, x64 e Itanium.

Tan solo es portadora del fallo la rama QFE de la actualización de seguridad KB954211, que además de las correcciones importantes de seguridad, funcionalidad, rendimiento y estabilidad de la rama GDR, contiene correcciones (hotfixes) para otros errores muy concretos o de poca relevancia. Cuando no se han instalado actualizaciones de forma manual, la versión del archivo presente en el sistema corresponde por lo general a la rama GDR.

Para comprobar este punto pueden observarse las propiedades de versión del archivo \Windows\System32\Win32k.sys:

1. Abra Mi PC o el Explorador de Windows.
2. Desplácese hasta la carpeta System32 de la instalación actual de Windows. (Sugerencia: Escriba %windir%\system32 en la barra de dirección y pulse Intro.)
3. Busque el archivo Win32k.sys. (Sugerencia: haga clic en el panel de archivos y teclee rápidamente los primeros caracteres del nombre.)
4. Haga clic con el botón secundario (el derecho en configuración de ratón para diestros) y elija Propiedades, o pulse Alt+Intro.
5. Active la pestaña Versión de la ventana de propiedades y observe el valor del elemento Versión del archivo en la sección Más información de la versión.

Si el número de versión de Win32k.sys coincide con el indicado en KB954211 QFE, es aconsejable instalar la actualización KB959252 para prevenir el fallo al deshabilitar la extensión del escritorio al monitor secundario. Vale, no todo el mundo trabaja habitualmente con más de un monitor ni manipula frecuentemente ese aspecto de la configuración de pantalla, pero más vale prevenir que curar. En cambio, un número de versión igual al de la actualización KB959252 o mayor, considerando solamente el último de los cuatro componentes (por ejemplo, una hipotética versión 5.1.2600.5734 en Windows XP SP3), implica que el archivo Win32k.sys no está afectado por el problema, bien porque carece de los factores que contribuyen a él (rama GDR) o porque contiene la solución (rama QFE).

• Actualización KB959252 para Windows XP (32 bits)
• Actualización KB959252 para Windows Server 2003 (32 bits)
• Actualización KB959252 para Windows Server 2003 x64 Edition
• Actualización KB959252 para Windows Server 2003 en sistemas basados en Itanium

Los enlaces corresponden a las páginas de descarga en inglés, aunque se puede ajustar el lenguaje a través de la lista desplegable Change Language. El idioma de la actualización debe coincidir con el de la instalación de Windows, por lo que en sistemas en los que existe al menos un paquete de interfaz de usuario multilingüe (MUI) se deberá instalar la versión en inglés. Por otra parte, la actualización para Windows Server 2003 x64 Edition también es compatible con Windows XP x64 Edition.

Publicado /span> 9/11/2008 por Ramón Sola | 5 comment(s)

Archivado en: Microsoft,Knowledge Base,STOP,Windows XP,Windows Server 2003,actualizaciones

Licencia

El contenido de este blog se ofrece bajo el siguiente tipo de licencia de Creative Commons:

Búsqueda

Este blog

• Inicio
• Contacto

Sindicación

• RSS
• ATOM
• RSS de comentarios
• Recibir actualizaciones por e-mail
  Suscribirse

Notas

• Por decisión del administrador, los visitantes que no inicien sesión (visitantes anónimos) no podrán enviar comentarios a los blogs de Geeks.ms, para lo cual deberán registrar una cuenta de usuario e identificarse a través de la misma. Disculpen las molestias que esto pueda causarles.

Acerca de los contenidos

La información ofrecida en este blog se proporciona tal cual, sin garantías de ningún tipo, y no otorga ningún derecho. Usted asume el riesgo de poner en práctica cuantos procedimientos se expongan aquí. En particular, si ha venido buscando alguna solución para una tarea o duda escolar y no le ha servido el contenido, por favor no me eche la culpa. ;-)

Las anotaciones del blog representan una visión válida en el momento en que fueron publicadas o actualizadas. Más allá de esas fechas no se puede garantizar la veracidad de la información expuesta ni la exactitud o fiabilidad de los enlaces.

Los comentarios son responsabilidad exclusiva de sus autores respectivos. El dueño del blog se reserva el derecho de editar, eliminar o no publicar aquellos comentarios que a su criterio infrinjan reglas básicas de respeto y convivencia en la red. En el caso de la edición, se expondrá claramente esta circunstancia y el motivo de la misma. El dueño del blog podrá asimismo borrar los enlaces que se desvíen demasiado de los temas tratados, muestren intenciones de autopromoción (publicidad descarada, spam...) o en general no inspiren confianza. Las direcciones de correo electrónico serán eliminadas o alteradas para reducir la posibilidad de que sean objeto de spam. El envío de comentarios implica la adhesión a estas condiciones.

Etiquetas

Archivo

Colegas en Geeks.ms

• Rodrigo Corral
• Rafael Ontivero
• Jorge Serrano
• José Manuel Alarcón
• Julián Peris

Otros bloggers españoles

• Chema Alonso (seguridad)
• Daniel Martín (blog antiguo)
• Fernando Reyes (IT)
• Daniel Martín
• Daniel Martín (en inglés)

Bloggers de Microsoft

• David Cervigón (IT)
• José Parada (IT)
• Mark Russinovich (IT)
• Raymond Chen
• Larry Osterman
• Michael Howard (seguridad)
• David LeBlanc (seguridad)
• The Security Development Lifecycle
• David Salgado (desarrollo)

Herramientas interesantes

• Sysinternals
• NirSoft

Geeks.ms

Mi blog personal

• Asterixco.es

Webs y comunidades amigas

• Fermu
• WinTecnico (Daniel Martín)
• Foros de WinTecnico
• Foros de Paniagua