jueves, 11 de marzo de 1999

Privilegios no autorizados en Windows NT

Un nuevo agujero descubierto en Windows NT permite a un usuario
acceder a través del salvapantallas a derechos de administrador.
Microsoft ha confirmado el fallo, descubierto por la compañía
india Cybermedia Software, por el cual a través de un programa
específico un usuario puede conseguir privilegios de administración.
La acción maliciosa se lleva a cabo cuando se ejecuta el protector
de pantalla, momento en el cual, el usuario consigue derechos que
de forma ordinaria no posee.

La causa reside en que siempre que la máquina se encuentra inactiva
por un periodo fijado de tiempo se inicia el protector. Para ello,
se emplea el proceso Winlogon.Exe en modo suspendido usando una
llamada API a CreateProcess. Una vez que Winlogon.Exe coge el
proceso cambia al salvapantallas, el cual modifica el nivel de
seguridad primario del protector de pantalla al nivel del usuario
y reanuda el proceso del salvapantallas. Esto se hace así por
motivos de seguridad, si winlogon no actuara de esta forma, el
protector se ejecutaría con el nivel de seguridad de Winlogon.exe,
que es el del sistema.

Pero el proceso Winlogon.Exe no comprueba cuando el cambio del
nivel primario se ha realizado correctamente, por lo que si se
produce un fallo, el código binario del salvapantallas se ejecutará
en el contexto del sistema, y será capaz de llevar a cabo cualquier
tarea (como añadir al usuario actual en el grupo de administradores).

La propia Microsoft reconoce la gravedad del problema y afirma
estar trabajando para ofrecer en breve el parche que lo solucione.
A pesar de ello, las dificultades para llevar a cabo a cabo con
éxito el ataque son muchas. En primer lugar, solo es posible sobre
una estación a la que halla accedido de forma local, es decir debe
estar registrado como usuario, a lo que deben de unirse los
elevados conocimientos técnicos que se requieren para podes
explotar esta vulnerabilidad.

Más información:
Información original
CNET


Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada