Microsoft avisa de la existencia de permisos incorrectos en múltiples claves del registro de Windows NT 4.0. Los permisos por defecto pueden permitir a un usuario malicioso conseguir mayores privilegios en la máquina afectada.
Existen tres claves del registro con permisos por defecto inadecuados. La primera de las claves afectadas es la encargada de proporcionar determinados parámetros SNMP.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSNMPParameters, proporciona el nombre de comunidad SNMP y los identificadores de administración SNMP, si existen. La lectura de esta información puede permitir a un usuario malicioso pasar como un administrador SNMP para cualquier comunidad a la que pertenezca el máquina afectada.
También resultan inadecuados los permisos de la clave de administración RAS, HKEY_LOCAL_MACHINESOFTWAREMicrosoftRAS, que proporciona una forma para instalar productos RAS de terceras partes que trabajen con el servicio nativo RAS de Windows NT. Al modificar alguno de los valores de esta clave un atacante podr especificar el c¢digo malicioso que desee como una herramienta de administraci¢n de otra compa_¡a. Dicho c¢digo se ejecutar entonces dentro del contexto de la cuenta del sistema lo que permitir al atacante tomar el control del sistema.
La oltima clave afectada, hace referencia a la administraci¢n de paquetes MTS, HKEY_LOCAL_MACHINESOFTWAREMicrosoftTransaction ServerPackages. Esta clave incluye informaci¢n sobre los usuarios con permisos para instalar y modificar paquetes MTS. Si en este punto, el atacante se a_ade a si mismo como administrador MTS podr conseguir la facultad de a_adir, borrar o modificar paquetes MTS.
Para realizar los cambios necesarios en estas claves Microsoft ha publicado una herramienta que se puede encontrar en: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24501
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=778
M s informaci¢n:
Bolet¡n de seguridad de Microsoft (MS00-095)
http://www.microsoft.com/technet/security/bulletin/ms00-095.asp
Preguntas y respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-095.asp
Antonio Ropero
antonior@hispasec.com
http://www.hispasec.com
