ESCALADA DE PRIVILEGIOS EN WINDOWS NT

por Jose Escribano 18 de enero de 2000

escrito por Jose Escribano 18 de enero de 2000

Microsoft publica un parche para evitar una vulnerabilidad de escalada de privilegios en máquinas con Windows NT 4.0. El usuario malicioso debe acceder a la máquina de forma local, tras lo cual podrá conseguir cualquier nivel de acceso, incluido el de administrador.

El problema se debe a una debilidad en los puertos LPC (Local Procedure Call) que puede permitir a un usuario malicioso demandar servicios en el contexto de seguridad de otro usuario, o como el mismo sistema operativo. La LPC o Llamada a Procedimientos Locales es una parte esencial dentro del diseño cliente/servidor de Windows NT, ya que es la interfaz entre todos los procesos cliente/servidor que se ejecutan de forma local en un sistema Windows NT.

La estructura de la LPC es muy parecida a la RPC (Remote Procedure Call, llamadas a procedimientos remotos), excepto que está optimizada de forma exclusiva para comunicaciones entre procesos dentro de la máquina local. LPC es un medio de comunicación proporcionado por Windows NT que permite a los hilos y procesos comunicarse con otros dentro de la misma m quina. En vez de hacer que cada hilo y proceso implemente su propio servicio de comunicaci¢n Windows NT proporciona un servicio estandarizado, el LPC, que puede ser usado por todos los hilos y procesos.

El hecho de que esta vulnerabilidad resida en una funci¢n asociada al LPC es significativo. Como LPC s¢lo permite comunicarse a hilos de la misma m quina, esto mismo limita el alcance de la vulnerabilidad a la m quina local.

Un usuario malicioso podr¡a explotar esta vulnerabilidad de dos maneras. La consecuencia m s seria es que el usuario puede conseguir privilegios adicionales en la m quina. Por ejemplo, el usuario malicioso podr¡a a_adirse a s¡ mismo al grupo de Administradores local, despues de lo cual podr¡a realizar cualquier acci¢n sobre la m quina.

De forma alternativa, un usuario malicioso podr¡a explotar esta vulnerabilidad para realizar las peticiones como si fuera otro usuario, simplemente como una forma de cubrir sus huellas cuando realice alguna acci¢n no autorizada. Cualquier log de auditor¡a mostrar que el otro usuario realiz¢ la acci¢n, en vez del verdadero usuario malicioso.

Todas las versiones de Windows NT 4.0 est n afectadas por este problema, aunque, tal y como se ha descrito, s¢lo repercute a aquellas que permitan a usuarios el acceso de forma interactiva. El parche de Microsoft modifica la forma en que la API afectada valida las llamadas a ella y previene los posibles ataques falseados.

M s informaci¢n:

Parche
http://www.microsoft.com/downloads/release.asp?ReleaseID=17382

Bolet¡n de seguridad de Microsoft
http://www.microsoft.com/security/bulletins/MS00-003.asp

FAQ sobre el problema
http://www.microsoft.com/security/bulletins/MS00-003faq.asp

Antonio Ropero
antonior@hispasec.com

http://www.hispasec.com