jueves, 16 de septiembre de 1999

Vulnerabilidad en Compaq Management Agents

El equipo de seguridad de Compaq da a conocer una vulnerabilidad
que se genera durante la instalación de "Compaq Management
Agents" para servidores Windows NT.
En el aviso, publicado en Bugtraq y posteriormente es su sitio
Web, indica que el agujero se deriva de la creación, sin avisar
al administrador, de una cuenta con elevados derechos en el
sistema. El principal problema, como veremos al final de la noticia,
viene dado por la creación automática de la contraseña.

Durante la instalación de la versión 4.20D de la herramienta de
administración "Compaq Managament Agents" se crea en el sistema,
sin notificar en ningún momento al usuario, la cuenta "PCFUser".
Esta cuenta es configurada con altos privilegios, y forma parte
del grupo de "Administradores". Compaq ha confirmado que hay
vulnerabilidades que afectan a esta cuenta:

1) La cuenta "PCFUser" es vulnerable debido a la creación
automática de la contraseña.
2) En ningún momento se notifica de la creación de esta cuenta al
usuario.
3) La cuenta tiene elevados derechos en el sistema.
4) Incertidumbre en el proceso de desinstalación.

Compaq recomienda que se cambie la contraseña para la cuenta
"PCFUser" usando la utilidad "PFIMuser" que se facilita durante
la instalación de "Compaq Managament Agents". El aviso hace
hincapié en la necesidad de utilizar esta utilidad,
"PFMIUSER.EXE", en vez del Administrador de Usuarios para
Dominios de Windows NT.
Los pasos a seguir son:

1) Iniciar una sesión como Administrador
2) Abrir una ventana DOS
3) Cambiar de directorio: CD /Winnt/System32/pfc
4) Lanzar la utilidad "PFIMuser": pfmiuser.exe
5) Teclear el nombre de usuario cuando lo solicite: PFCUser
6) Teclear la nueva contraseña
7) Confirmar la nueva contraseña

En el mismo aviso, Compaq también explica con detalle como
desinstalar los componentes necesarios para anular la cuenta
PFCUser. Por último, anuncia la salida de "Compaq Foundation
Agents 4.40B" que estará disponible a finales de septiembre.
Entre las novedades que incorporará se encuentra el aviso al
usuario de la creación de la cuenta, así como la solicitud de la
contraseña.

El problema real, que no se hace público en el aviso de Compaq,
parte en el proceso de creación automático de la contraseña
asignada a la cuenta de usuario "PCFUSer". El grave error
consiste en que la contraseña no es única para cada instalación.
Es decir, alguien puede aprovechar este hecho para atacar dicha
cuenta en un sistema al que tuviera acceso. Utilidades como
"L0pthCrack" darían con la contraseña en apenas unas horas, la
cual se puede utilizar a posteriori para autentificarse ante
cualquier Windows NT que tuvieran la cuenta PCFUser con la
contraseña por defecto, obteniendo el control total sobre el
sistema.

Más información:
Compaq



Bernardo Quintero