Descripción: Esta vulnerabilidad podría permitir la ejecución remota de código si un atacante envía paquetes especialmente diseñados para un servidor Windows. El 9 de diciembre de 2014, Microsoft volvió a publicar MS14-066 para tratar CVE-2014-6321 de manera completa y solucionar los problemas con la actualización de seguridad 2992611. Aquellos que ejecutan Windows Vista o Windows Server 2008 que instalaron la actualización 2992611 antes de la nueva publicación del 9 de diciembre deberían volver a aplicar la actualización.

CVE: CVE-2014-6321
Factor de Riesgo: Crítico
Valor CVSS Base: 10.0

Solución: Realizar los siguientes pasos que le permitirán modificar el registro. Se pueden producir problemas graves al modificar el registro incorrectamente. Por tanto asegúrese de realizar una copia de seguridad de registro antes de modificarlo.

Para realizar una copia de seguridad y restaurar el registro en windows siga los pasos del siguiente link: https://support.microsoft.com/es-es/help/322756/how-to-back-up-and-restore-the-registry-in-windows

Problema conocido 1

Después de instalar la actualización 3000850, los usuarios de dominios que inician sesión en equipos cliente de Windows 8.1 experimentan los siguientes problemas:

  • Cuando intenta agregar una nueva cuenta en Windows Live Mail 2012, la nueva cuenta no se crea y recibe un mensaje de error similar al siguiente:

  • No puede guardar contraseñas cuando utiliza Conexión a Escritorio remoto (RDC). Cuando se produce el problema, no recibe un mensaje de error.
  • Recibe un mensaje de error similar al siguiente al abrir el Administrador de credenciales:

  • El Explorador de Windows puede colgarse (bloquearse) al cifrarse un archivo. Cuando se produce el problema, las entradas de registro similares a las siguientes aparecen en una traza de Windows Performance Analyzer (WPA):

Para evitar este problema, agregue un valor DWORD llamado ProtectionPolicy que tenga un valor de 1 a la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

Al hacerlo, habilite la copia de seguridad local de MasterKey en lugar de requerir RWDC.

Para ello, siga estos pasos:

  1. Haga clic en Inicio y en Ejecutar, en el cuadro Abrir, escriba regedit y luego haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:  HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba ProtectionPolicy como nombre del valor DWORD y luego presione Entrar.
  5. Haga clic con el botón derecho en ProtectionPolicy y seleccione Modificar.
  6. En el cuadro Información del valor, escriba 1 y haga clic en Aceptar.
  7. Salga del Editor del Registro y, a continuación, reinicie el equipo.

Problema conocido 2

Este problema esta relacionado con la adición de los siguientes conjuntos de cifrado nuevos a Windows Server 2008 R2 y Windows Server 2012:

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

Para tener mayor control sobre el uso de estos conjuntos de cifrado a corto plazo, los quitaremos de la lista prioritaria de conjuntos de cifrado predeterminada en el Registro. Aquellos que hayan personalizado la lista de prioridades de conjuntos de cifrado deben revisarla después de aplicar esta actualización para asegurarse de que la secuencia cumple sus expectativas.

La eliminación de los conjuntos de cifrado no afecta a las actualizaciones de seguridad que forman parte de esta versión. Por este motivo, el 18 de noviembre de 2014 se agregó un segundo paquete a la versión para Windows Server 2008 R2 y Windows Server 2012. Este nuevo paquete es la actualización 3018238.

  • La actualización 3018238 se instala de forma automática y transparente junto con la actualización de seguridad 2992611.
  • La actualización 3018238 aparecerá por separado en la lista de actualizaciones instaladas cuando se visualiza en el elemento Agregar o quitar programas del Panel de control.
  • Si ya tiene instalada la actualización de seguridad 2992611, observará que se le ofrecerá de nuevo la actualización de seguridad 2992611 (solo para Windows Server 2008 R2 o Windows Server 2012) Windows Update o WSUS para garantizar que se instala también la actualización 3018238.
  • La instalación de ambos paquetes juntos requerirá solo un reinicio.

Si ha descargado e instalado esta actualización de seguridad desde el Centro de descarga de Microsoft para Windows Server 2008 R2 o Windows Server 2012, se recomienda que vuelva a instalar la actualización de seguridad desde el Centro de descarga. Al hacer clic en el botón Descargar, se le pedirá que seleccione las actualizaciones 2992611 y 3018238. Por ejemplo, las opciones de selección tendrán un aspecto similar al siguiente:

  • En el caso de los equipos basados en Windows 2008 R2 o Windows Server 2012 que tengan la actualización 2992611 instalada, active solo la casilla de 3018238 y luego haga clic en Siguiente para instalar la actualización 3018238. Esta actualización requiere que se reinicie el equipo.
  • En el caso de los equipos basados en Windows 2008 R2 o Windows Server 2012 que no tengan la actualización 2992611 instalada, active ambas casillas para descargar 2992611 y 3018238. Para aplicar ambas actualizaciones con un solo reinicio, instale 3018238, haga caso omiso del requisito de reinicio y luego instale 2992611.

Problema conocido 3

Los equipos con Windows 8.1 unidos a un dominio requieren acceso a RWDC al hacer una copia de seguridad de la clave maestra DPAPI.

Los equipos con Windows 8.1 unidos a un dominio requieren acceso a un controlador de dominio de lectura y escritura (RWDC) al hacer una copia de seguridad de la clave maestra de la API de protección de datos de Windows (DPAPI) después de instalar la actualización de seguridad 2992611 o la actualización 3000850. Después de instalar estas actualizaciones, un equipo con Windows 8.1 que se encuentra en sitios respaldados por el controlador de dominio de solo lectura (RODC) experimenta errores al realizar una copia de seguridad de la clave maestra DPAPI.

Después de instalar la actualización de seguridad 2992611 o la actualización 3000850, entre los errores y operaciones con los que puede encontrarse se incluyen los siguientes:

  • Cuando intenta agregar una nueva cuenta en Windows Live Mail 2012, la nueva cuenta no se crea y recibe un mensaje de error similar al siguiente:

  • No puede guardar contraseñas cuando utiliza Conexión a Escritorio remoto (RDC). Cuando se produce este problema, no recibe un mensaje de error.
  • Recibe un mensaje de error similar al siguiente al abrir el Administrador de credenciales:

  • El Explorador de Windows se bloquea al cifrar un archivo. Cuando se produce este problema, las entradas de registro similares a las siguientes aparecen en una traza de Windows Performance Analyzer (WPA):
Explorer taking ~664 seconds to Encrypt a file. TID #3376.
This is being serviced by LSASS TID #1488.
LSASS TID#3848 is executing the sspCryptUnprotectData call which leads into GetMasterKey.
GetMasterKey is taking ~664 seconds (TimesinceLast). LSASS TID 3848. We spend the whole
time waiting on LSASS TID 576 which is performing DCLocator pings to find a DC.
File Encryption delay/hang is also accounted by the same code change where the backup is require

Asegúrese de que los equipos con Windows 8.1 unidos a un dominio que instalan las actualizaciones en cuestión se ubican en sitios respaldados por RODC con acceso a la red, al controlador de dominio de escritura. Como solución, los equipos de Windows 8.1 afectados pueden establecer la siguiente clave de registro para habilitar la copia de seguridad local de la clave maestra:

Ruta del Registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb

Configuración:ProtectionPolicy
Tipo:DWORD
Valor:1

Problema conocido 4

Después de instalar KB3042058 u otra actualización que sustituya a esta actualización, la eliminación de las actualizaciones sustituidas hará que se proponga KB2992611 en Windows Update, aunque KB2992611 ya esté instalado. Esto sucede porque la actualización KB3018238, (que se instala con KB2992611), se quitó como parte de la eliminación de las actualizaciones sustituidas.

Debe implementar las actualizaciones de seguridad tomando como referencia las siguientes tablas:

Windows Server 2003 (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones de 32 bits compatibles de Windows Server 2003:
WindowsServer2003-KB2992611-x86-ENU.exe
Para todas las ediciones x64 compatibles de Windows Server 2003:
WindowsServer2003-KB2992611-x64-ENU.exe
Para todas las ediciones con Itanium compatibles de Windows Server 2003:
WindowsServer2003-KB2992611-ia64-ENU.exe
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Archivo de registro de la actualización KB2992611.log
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación Use el elemento Agregar o quitar programas del Panel de control o la utilidad Spuninst.exe que se encuentra en la carpeta %Windir%\$NTUninstallKB2992611$\Spuninst.
Información sobre los archivos Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB2992611\Filelist

Windows Vista (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones de 32 bits de Windows Vista admitidas:
Windows6.0-KB2992611-v2-x86.msu
Para todas las ediciones x64 compatibles de Windows Vista:
Windows6.0-KB2992611-x64.msu
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación WUSA.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y seleccione Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela de la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro Nota No hay una clave de Registro para validar la presencia de esta actualización.

Windows Server 2008 (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones de 32 bits compatibles de Windows Server 2008:
Windows6.0-KB2992611-v2-x86.msu
Para todas las ediciones basadas en x64 compatibles de Windows Server 2008:
Windows6.0-KB2992611-x64.msu
Para todas las ediciones basadas en Itanium compatibles de Windows Server 2008:
Windows6.0-KB2992611-v2-ia64.msu
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación WUSA.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y seleccione Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela de la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro Nota No hay una clave de Registro para validar la presencia de esta actualización.

Windows 7 (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones de 32 bits compatibles de Windows 7:
Windows6.1-KB2992611-x86.msu
Para todas las ediciones basadas en x64 compatibles de Windows 7:
Windows6.1-KB2992611-x64.msu
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación WUSA.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y seleccione Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela de la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro Nota No hay una clave de Registro para validar la presencia de esta actualización.

Windows Server 2008 R2 (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones basadas en x64 compatibles de Windows Server 2008 R2:
Windows6.1-KB2992611-x64.msu
Para todas las ediciones compatibles de Windows Server 2008 R2 basadas en Itanium
Windows6.1-KB2992611-ia64.msu
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación WUSA.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y seleccione Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela de la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro Nota No hay una clave de Registro para validar la presencia de esta actualización.

Windows 8 y Windows 8.1 (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones de 32 bits compatibles de Windows 8:
Windows8-RT-KB2992611-x86.msu
Para todas las ediciones x64 compatibles de Windows 8:
Windows8-RT-KB2992611-x64.msu
Para todas las ediciones de 32 bits compatibles de Windows 8.1:
Windows8.1-KB2992611-x86.msu
Para todas las ediciones x64 compatibles de Windows 8.1:
Windows8.1-KB2992611-x64.msu
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación WUSA.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y seleccione Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela de la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro Nota No hay una clave de Registro para validar la presencia de esta actualización.

Windows Server 2012 y Windows Server 2012 R2 (todas las ediciones)

Nombres de archivos de actualización de seguridad Para todas las ediciones compatibles de Windows Server 2012:
Windows8-RT-KB2992611-x64.msu
Para todas las ediciones compatibles de Windows Server 2012 R2:
Windows8.1-KB2992611-x64.msu
Parámetros de instalación Consulte el artículo 934307 de Microsoft Knowledge Base.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información sobre la eliminación WUSA.exe no admite la desinstalación de actualizaciones. Para desinstalar una actualización instalada por WUSA, haga clic en Panel de control y seleccione Seguridad. En Windows Update, haga clic en Ver actualizaciones instaladas y selecciónela de la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.
Comprobación de claves del Registro Nota No hay una clave de Registro para validar la presencia de esta actualización.

Windows RT y Windows RT 8.1 (todas las ediciones)

Implementación Estas actualizaciones están disponibles solo en Windows Update.
Requisito de reinicio Sí, debe reiniciar el sistema después de aplicar esta actualización de seguridad.
Información de desinstalación Haga clic en Panel de control, Sistema y seguridad, Windows Update y luego, en Vea también, en Actualizaciones instaladas. Luego seleccione la actualización en la lista de actualizaciones.
Información de archivo Consulte la sección sobre la información de archivo.

Referencias:

https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2014/ms14-066

https://support.microsoft.com/en-us/help/2992611/ms14-066-vulnerability-in-schannel-could-allow-remote-code-execution-n

https://support.microsoft.com/es-es/help/934307/description-of-the-windows-update-standalone-installer-in-windows

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like