miércoles, 21 de junio de 2000

Parche de Microsoft para Windows 2000

Ya empiezan a aparecer los primeros parches para cubrir
vulnerabilidades exclusivas de Windows 2000. En esta ocasión la
actualización cubre un problema por el cual los usuarios locales
podrían aumentar sus privilegios.
El problema que anuncia Microsoft sólo afecta de forma local a las
estaciones de trabajo o servidores, es decir el atacante debe tener
acceso autorizado sobre la máquina y bajo determinadas circunstancias,
podrá elevar sus privilegios. En ningún caso se puede aprovechar esta
vulnerabilida de forma remota.

El problema se debe a una mala implementación del modelo de seguridad
del sistema operativo, que emplea una jerarquía de objetos para
separar los procesos. La vulnerabilidad resulta por que el sistema no
atribuye adecuadamente cada aplicación al escritorio apropiado, De
esta forma, una aplicación creada por un usuario malicioso podría
acceder al escritorio de otro usuario con mayores privilegios y
realizar acciones que de forma habitual no podría realizar.

Hay que tener en cuenta que bajo Windows 2000 el concepto de
escritorio toma un nuevo valor. Bajo la arquitectura de seguridad del
nuevo sistema operativo, los escritorios se emplean para encapsular
procesos, con el fin de asegurar que cada proceso está propiamente
restringido a las actividades autorizadas. Un escritorio es un objeto
contenido dentro de una estación Windows, de forma que dentro de una
estación pueden existir múltiples escritorios.

Cada sesión contiene una o más estaciones Windows, y cada una de estas
puede contener uno o más escritorios. Por diseño, los procesos se
ejecutan forzosamente dentro de una estación, mientras que los hilos
del proceso se ejecutan en uno o más escritorios. Un proceso en una
estación no debe ser capaz de acceder a escritorios pertenecientes a
otra estación diferente. Sin embargo debido a un error en la
implementación, un programa malicioso creado a tal efecto puede hacer
que esto sea posible.

Más información:

Boletín de seguridad microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-020.asp

Preguntas y respuestas sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-020.asp

Parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=20836




Antonio Ropero
antonior@hispasec.com