Novell ha descubierto una vulnerabilidad en el Directorio Activo (Active Directory) de Windows 2000, por la cual se puede llegar a acceder a información dentro del sistema corporativo a la que supuestamente debería estar restringido.
El problema hace relación a una nueva capacidad de Windows 2000, el nuevo sistema operativo de Microsoft, conocida como Directorio Activo. Esta posibilidad viene a ayudar a las organizaciones y a los administradores, como forma de reducir los múltiples dominios que pueda tener una red corporativa.
En la actualidad, con Windows NT las redes Microsoft proporcionan capacidades de seguridad en la administración al establecer áreas sensibles dentro del propio dominio y bloquear su acceso. Sin embargo, dominios individuales incrementan significativamente la carga de administración y reducen la productividad. Windows 2000 con Directorio Activo aspira a reducir la carga del trabajo de administración.
El Directorio Activo añade una nueva funcionalidad por la cual se pueden heredar permisos dentro de un onico dominio. As¡, el dominio se puede dividir en «Unidades Organizativas» (OU, Organizational Units) y la informaci¢n o servicios situarse dentro de las subsecciones del dominio. El sistema, permite a un administrador de dominio delegar permisos administrativos que se ejecuten bajo la estructura de herencia del directorio.
El uso de esta caracter¡stica incluida en el Directorio Activo puede reducir la administraci¢n requerida en un entorno con moltiples dominios, pero permite acceso a todas las partes de la red. Para prevenir los accesos sin autorizar se necesita cierto tipo de bloqueo, que se proporciona mediante al ocultar objetos y bloquear permisos padres a todos los objetos de una unidad organizativa especificada. El proceso para llevar esto a cabo queda documentado en el Windows 2000 Resource Kit Deployment Planning Guide.
El problema
Mientras el Directorio Activo soporte la capacidad de bloquear derechos de accesos heredados existir un agujero de seguridad, por el cual, un administrador podr eliminar dicho bloqueo, y as¡, habilitarse el acceso a la informaci¢n corporativa m s sensibles (p.ej. n¢minas).
Si un administrador usa la utilidad de adminstraci¢n «Active Directory Users and Computers» para intentar acceder a la informaci¢n en una unidad organizativa oculta, la informaci¢n, como es de esperar no est disponible. Sin embargo, si selecciona otra unidad organizativa primero y selecciona su leng_eta de seguridad y tras ello, va a la unidad organizativa oculta, no s¢lo cer la configuraci¢n de seguridad sino que tambi’n administrar los derechos de seguridad. En este momento el administrador puede cambiar los derechos de los objetos de dicha secci¢n, con lo que se podr garantizar un m’todo para futuros accesos y esconder su acceso inautorizado.
Este fallo no est causado por derechos relacionados con los grupos del dominio, como el del grupo Administradores de Dominio. Ya que el problema sigue reproduciendose aunque dicho grupo se a_ada espec¡ficamente en el departamento con permisos de DENEGAR (DENY).
Este problema sale a la luz pocos d¡as despu’s de que se hiciera poblico el contenido de un mensaje en el que uno de los directivos del grupo de desarrollo de Windows 2000 declaraba que el nuevo sistema operativo de Microsoft ten¡a 63.000 bugs o defectos.
M s informaci¢n:
Novell
http://www.novell.com/advantage/nds/ad-security.html Silicon.com http://www.silicon.compublic/door?REQUNIQ=950639052&6004REQEVENT=&REQINT1=35755&REQSTR1=newsnow
Antonio Ropero
antonior@hispasec.com