Ya empiezan a aparecer los primeros parches para cubrir vulnerabilidades exclusivas de Windows 2000. En esta ocasión la actualización cubre un problema por el cual los usuarios locales podrían aumentar sus privilegios.
El problema que anuncia Microsoft sólo afecta de forma local a las estaciones de trabajo o servidores, es decir el atacante debe tener acceso autorizado sobre la máquina y bajo determinadas circunstancias, podrá elevar sus privilegios. En ningún caso se puede aprovechar esta vulnerabilida de forma remota.
El problema se debe a una mala implementación del modelo de seguridad del sistema operativo, que emplea una jerarquía de objetos para separar los procesos. La vulnerabilidad resulta por que el sistema no atribuye adecuadamente cada aplicación al escritorio apropiado, De esta forma, una aplicación creada por un usuario malicioso podría acceder al escritorio de otro usuario con mayores privilegios y realizar acciones que de forma habitual no podría realizar.
Hay que tener en cuenta que bajo Windows 2000 el concepto de escritorio toma un nuevo valor. Bajo la arquitectura de seguridad del nuevo sistema operativo, los escritorios se emplean para encapsular procesos, con el fin de asegurar que cada proceso est propiamente restringido a las actividades autorizadas. Un escritorio es un objeto contenido dentro de una estaci¢n Windows, de forma que dentro de una estaci¢n pueden existir moltiples escritorios.
Cada sesi¢n contiene una o m s estaciones Windows, y cada una de estas puede contener uno o m s escritorios. Por dise_o, los procesos se ejecutan forzosamente dentro de una estaci¢n, mientras que los hilos del proceso se ejecutan en uno o m s escritorios. Un proceso en una estaci¢n no debe ser capaz de acceder a escritorios pertenecientes a otra estaci¢n diferente. Sin embargo debido a un error en la implementaci¢n, un programa malicioso creado a tal efecto puede hacer que esto sea posible.
M s informaci¢n:
Bolet¡n de seguridad microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-020.asp
Preguntas y respuestas sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-020.asp
Parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20836
Antonio Ropero
antonior@hispasec.com
