Esta vulnerabilidad permite que cualquier usuario de Windows NT pueda modificar la trayectoria del subdirectorio «Startup» («Inicio» en la versión español). Mediante esta técnica un usuario podría, por ejemplo, ejecutar un programa para ganar privilegios en el sistema y convertiste en Administrador.
Por defecto el subdirectorio «Startup» común para todos los usuarios se encuentra en la trayectoria «c:WinntProfiles All UsersStart MenuProgramsStartup». En esta carpeta se emplazan los accesos directos a los programas que se ejecutan de forma automática cada vez que un usuario inicia su sesión en Windows NT.
Para impedir que cualquier usuario pueda depositar en este subdirectorio enlaces a programas, Windows NT establece por defecto, en esta carpeta, permiso de solo lectura para el grupo «Everyone», mientras que tienen acceso total los grupos «Administrator» y «System». Con esta configuración por defecto Microsoft intenta que sea imposible para un usuario sin privilegios situar en este subdirectorio programas para que se ejecuten por defecto, con los problemas que esta acci¢n podr¡a acarrear a la seguridad del sistema.
Sin embargo, la misma configuraci¢n que Windows NT trae por defecto, y protege de forma directa a esta carpeta, deja al descubierto la clave del registro que determina cual es la trayectoria de la carpeta «Startup». La clave «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerUserShell FoldersCommon Startup» trae por defecto el valor «%SystemRoot%ProfilesAll UsersStart MenuPrograms Startup». Cualquier usuario puede modificar el valor de esta clave para que apunte a otro subdirectorio al que tenga acceso, donde todos los programas que contenga se ejecutaran de forma autom tica cada vez que un usuario inicie la sesi¢n en el sistema.
Un ataque basado en esta vulnerabilidad puede consistir en ejecutar un script que a_ada un usuario al grupo «Administrator», de forma que la pr¢xima vez que se inicie una sesi¢n con los privilegios adecuados, como por ejemplo un Administrador, el script llevar a cabo su acci¢n.
La soluci¢n pasa por establecer los permisos adecuados a la clave del registro e impedir as¡ que cualquier usuario pueda modificar su valor. Se recomienda que «HKLMSoftwareMicrosoftWindows CurrentVersionExplorer» cuente con los permisos de acceso total para los grupos «Administrators», «Creator Owner» y «System», dejando al grupo «Everyone» con acceso de solo lectura.
M s informaci¢n:
NTBugtraq
http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind9910&L=ntbugtraq&F=&S=&P=4895
Bernardo Quintero ————————————- una-al-d¡a es un servicio de HispaSec (http://www.hispasec.com)
