FALLOS EN LOS PERMISIS DE REGISTRO DE WINDOWS NT

Micrososft ha publicado un parche para evitar una vulnerabilidad debida a un error en los permisos de acceso al registro de dicho sistema, que puede permitir a cualquier usuario de la máquina conseguir derechos de administración. El valor de la clave del registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer User Shell FoldersCommon Startup especifica donde se alojan los scripts de arranque que se ejecutan cada vez que un usuario accede al sistema.

El problema surge por que esta clave está configurada con permisos de escritura para cualquier usuario autenticado del sistema. Por esto, cualquier usuario del sistema puede especificar una carpeta que contenga un programa de su elección que se ejecutará cada vez que un usuario se autentifique en el sistema con los privilegios de dicho usuario.

De esta forma en un controlador de dominio un usuario malicioso que pueda acceder al servidor puede crear un archivo batch con los siguientes comandos:

net user atacante /add /domain net group administrators atacante /add /domain

y grabarlo en el directorio c:ataque, tras lo cual puede cambiar el valor del registro de la clave anteriormente citada a dicho directorio, La pr¢xima vez que un administrador entre en el sistema se crear  la cuenta «atacante» y se a_adir  al grupo de los administradores en el PDC del dominio.

Un problema similar ocurre en la clave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionAeDebug donde el valor de Debugger indica la aplicaci¢n que se ejecuta cuando se produce un error que provoca la ejecuci¢n de la aplicaci¢n de depuraci¢n (debugger), que por defecto en Windows NT es el Dr. Watson. Este valor podr  ser modificado de forma similar a la anterior variable, de forma que cuando se produzca un error en una sesi¢n de administraci¢n, se lanzar¡a la aplicaci¢n maliciosa.

Microsoft proporciona una herramienta destinada a corregir estos problemas y asignar los permisos adecuados a estas claves del registro. De esta forma, tras la instalaci¢n del parche un usuario sin privilegios no podr  modificar los valores afectados.

M s informaci¢n:
Parche para Intel:
http://www.microsoft.com/downloads/release.asp?ReleaseID=19172
Preguntas y respuestas de Microsoft sobre esta vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-008.asp
Bolet¡n de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms00-008.asp
Securityfocus:
http://www.securityfocus.com/level2/bottom.html?go=vulnerabilities&id=1042

Antonio Ropero?
antonior@hispasec.com

http://www.hispasec.com