Importante Algunas versiones de Microsoft Windows han llegado al final del soporte técnico. Tenga en cuenta que es posible que algunas versiones de Windows se admitan después de la fecha de finalización del sistema operativo más reciente cuando estén disponibles las actualizaciones de seguridad extendida (ESU). Consulte Preguntas frecuentes sobre el ciclo de vida: Novedades de seguridad extendida para obtener una lista de productos que ofrecen ESU.
Cambiar fecha |
Cambiar descripción |
1 de agosto de 2024 |
|
5 de agosto de 2024 |
|
6 de agosto de 2024 |
|
Contenido
Resumen
Las actualizaciones de Windows con fecha del 9 de julio de 2024 abordan una vulnerabilidad de seguridad en el protocolo del Servicio de autenticación remota telefónica de usuario (RADIUS) relacionada con los problemas de colisión de MD5. Debido a las comprobaciones de integridad débiles en MD5, un atacante podría alterar los paquetes para obtener acceso no autorizado. La vulnerabilidad MD5 hace que el tráfico RADIUS basado en el Protocolo de Datagrama de usuario (UDP) a través de Internet no sea seguro frente a la falsificación o modificación de paquetes durante el tránsito.
Para obtener más información sobre esta vulnerabilidad, consulte CVE-2024-3596 y las notas del producto SOBRE LOS ATAQUES DE COLISIÓN RADIUS Y MD5.
NOTA Esta vulnerabilidad requiere acceso físico a la red RADIUS y al Servidor de directivas de redes (NPS). Por lo tanto, los clientes que tienen redes RADIUS protegidas no son vulnerables. Además, la vulnerabilidad no se aplica cuando se produce la comunicación RADIUS a través de VPN.
Tomar medidas
Para ayudar a proteger el entorno, se recomienda habilitar las siguientes configuraciones. Para obtener más información, consulte la secciónConfiguraciones .
|
Eventos agregados por esta actualización
Para obtener más información, consulte la secciónConfiguraciones.
Nota Las actualizaciones de Windows con fecha del 9 de julio de 2024 agregan estos id. de evento al servidor NPS.
El paquete Access-Request ha sido descartado debido a que contenía el atributo Proxy-State pero carecía del atributo Message-Authenticator. Considere la posibilidad de cambiar el cliente RADIUS para incluir el atributo Message-Authenticator. También puede agregar una excepción para el cliente RADIUS mediante la configuración limitProxyState.
Registro de eventos |
Sistema |
Tipo de evento |
Error |
Origen del evento |
NPS |
Id. del evento |
4418 |
Texto del evento |
Se ha recibido un mensaje de solicitud de acceso del cliente RADIUS <ip/name> que contiene un atributo Proxy-State, pero no incluía un atributo Message-Authenticator. Como resultado, se ha quitado la solicitud. El atributo Message-Authenticator es obligatorio por motivos de seguridad. Consulte https://support.microsoft.com/help/5040268 para obtener más información. |
Se trata de un evento de auditoría para paquetes de solicitud de acceso sin el atributo Message-Authenticator en presencia de Proxy-State. Considere la posibilidad de cambiar el cliente RADIUS para incluir el atributo Message-Authenticator. El paquete RADIUS se quitará una vez habilitada la configuración de limitproxystate.
Registro de eventos |
Sistema |
Tipo de evento |
Advertencia |
Origen del evento |
NPS |
Id. del evento |
4419 |
Texto del evento |
Se ha recibido un mensaje de solicitud de acceso del cliente RADIUS <ip/name> que contiene un atributo Proxy-State, pero no incluía un atributo Message-Authenticator. La solicitud está permitida actualmente porque limitProxyState está configurado en modo auditoría. Consulte https://support.microsoft.com/help/5040268 para obtener más información. |
Se trata de un evento de auditoría para los paquetes de respuesta RADIUS recibidos sin el atributo Message-Authenticator en el proxy. Considere la posibilidad de cambiar el servidor RADIUS especificado para el atributo Message-Authenticator. El paquete RADIUS se quitará una vez que la configuración requiremsgauth esté habilitada.
Registro de eventos |
Sistema |
Tipo de evento |
Advertencia |
Origen del evento |
NPS |
Id. del evento |
4420 |
Texto del evento |
El proxy RADIUS recibió una respuesta del servidor <ip/name> con un atributo Message-Authenticator que falta. La respuesta está permitida actualmente porque requireMsgAuth está configurado en modo auditoría. Consulte https://support.microsoft.com/help/5040268 para obtener más información. |
Este evento se registra durante el inicio del servicio cuando no se configuran las opciones recomendadas. Considere la posibilidad de habilitar la configuración si la red RADIUS no es segura. En el caso de las redes seguras, estos eventos se pueden omitir.
Registro de eventos |
Sistema |
Tipo de evento |
Advertencia |
Origen del evento |
NPS |
Id. del evento |
4421 |
Texto del evento |
La configuración requireMsgAuth o limitProxyState está en modo <Disable/Audit>. Estas opciones deben configurarse en el modo Habilitar por motivos de seguridad. Consulte https://support.microsoft.com/help/5040268 para obtener más información. |
Configuraciones
Esta configuración permite que el proxy NPS empiece a enviar el atributo Message-Authenticator en todos los paquetes de Solicitud de acceso. Para habilitar esta configuración, use uno de los métodos siguientes.
Método 1: usar el Microsoft Management Console NPS (MMC)
Para usar MMC de NPS, siga estos pasos:
-
Abra la interfaz de usuario (UI) de NPS en el servidor.
-
Abra los grupos del servidor Radius remoto.
-
Seleccione Servidor Radius.
-
Vaya a Autenticación/Contabilidad.
-
Haga clic para seleccionar la casilla La solicitud debe contener el atributo Message-Authenticator.
Método 2: Usar el comando netsh
Para usar netsh, ejecute el siguiente comando:
netsh nps set remoteserver remoteservergroup = <server group name> address = <server address> requireauthattrib = yes
Para obtener más información, consulte Comandos de grupo de servidores RADIUS remotos.
Esta configuración requiere el atributo Message-Authenticator en todos los paquetes Solicitud de accesoquita el paquete si no existe.
Método 1: usar el Microsoft Management Console NPS (MMC)
Para usar MMC de NPS, siga estos pasos:
-
Abra la interfaz de usuario (UI) de NPS en el servidor.
-
Abrir Clientes RADIUS.
-
Seleccione Cliente RADIUS.
-
Vaya a Configuración avanzada.
-
Haga clic para seleccionar la casilla los mensajes de solicitud de acceso deben contener el atributo de autenticador de mensajes.
Para obtener más información, consulte Configurar clientes RADIUS.
Método 2: Usar el comando netsh
Para usar netsh, ejecute el siguiente comando:
netsh nps set client name = <client name> requireauthattrib = yes
Para obtener más información, consulte Comandos de grupo de servidores RADIUS remotos.
Esta configuración permite al servidor NPS quitar posibles paquetes Access-Request vulnerables que contienen un atributo de estado de proxy, pero no incluyen un atributo Message-Authenticator. Esta configuración admite tres modos:
-
Auditoría
-
Habilitar
-
Deshabilitar
En modo Auditoría, se registra un evento de advertencia (Id. de evento: 4419), pero la solicitud todavía se procesa. Use este modo para identificar las entidades no compatibles que envían las solicitudes.
Use el comandonetsh para configurar, habilitar y agregar una excepción según sea necesario.
-
Para configurar clientes en modoauditoría, ejecute el siguiente comando:
netsh nps set limitproxystate all = "audit"
-
Para configurar clientes en modoHabilitar, ejecute el siguiente comando:
netsh nps set limitproxystate all = "enable"
-
Para agregar una excepción para excluir a un cliente de la validación de limitProxystate, ejecute el siguiente comando:
netsh nps set limitproxystate name = <client name> exception = "Yes"
Esta configuración permite que el proxy NPS quite mensajes de respuesta potencialmente vulnerables sin el atributoMessage-Authenticator. Esta configuración admite tres modos:
-
Auditoría
-
Habilitar
-
Deshabilitar
En modo Auditoría, se registra un evento de advertencia (Id. de evento: 4420), pero la solicitud todavía se procesa. Use este modo para identificar las entidades no compatibles que envían las respuestas.
Use el comando netsh para configurar, habilitar y agregar una excepción según sea necesario.
-
Para configurar servidores en modo Auditoría, ejecute el siguiente comando:
netsh nps set requiremsgauth all = "audit"
-
Para habilitar las configuraciones de todos los servidores, ejecute el siguiente comando:
netsh nps set requiremsgauth all = "enable"
-
Para agregar una excepción para excluir un servidor de la validación requireauthmsg, ejecute el siguiente comando:
netsh nps set requiremsgauth remoteservergroup = <nombre de grupo de servidores remoto> dirección = dirección <servidor> excepción = "sí"
Preguntas más frecuentes
Compruebe si hay eventos relacionados en los eventos del módulo NPS. Considere la posibilidad de agregar excepciones o ajustes de configuración para los clientes o servidores afectados.
No, las configuraciones descritas en este artículo se recomiendan para redes no seguras.
Referencias
Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. No ofrecemos ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.
Proporcionamos información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. No garantizamos la precisión de esta información de contacto de terceros.