Ayer nos hacíamos eco de una nueva vulnerabilidad de Windows NT.
Hoy debemos reflejar la reacción de Microsoft publicando un boletín
informando del problema y la solución para remediar los efectos del
nuevo agujero.
Microsoft ha reaccionado rápidamente al descubrimiento de L0pht y
en menos de 24 horas ha ofrecido un boletín informando de la
posibilidad que tiene cualquier usuario local de conseguir
privilegios de administrador sobre una estación Windows NT. En
nuestra noticia de ayer, ya explicábamos la causa del problema y
el parche ofrecido por los propios descubridores para solucionarlo.
Ahora la empresa de Bill Gates ofrece otra solución, la consecución
de privilegios puede ser evitada añadiendo una clave en el registro.
Se trata de una configuración ya recomendada en múltiples directivas
de seguridad sobre Windows NT. A pesar de ello, ofrece esta solución
de forma eventual, pues informa que está desarrollando un parche
para cambiar la configuración por defecto del control de acceso en
datos relevantes del sistema operativo, para eliminar completamente
la vulnerabilidad.
Microsoft advierte que el problema sólo afecta a la máquina a la que
el usuario ha accedido de forma local. De esta forma un usuario de
una estación de trabajo puede llegar a conseguir derechos de
administración local, pero no puede usarse directamente para
conseguir administración en el dominio.
Para habilitar una mayor protección en la base del sistema como la
lista de KnownDLLs, origen del problema, Microsoft recomienda
modificar un valor en el registro. En la clave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager
debe ajustarse el valor de ProtectionMode a 1.
Más información:
Información de Microsoft:
http://www.microsoft.com/security/bulletins/ms99-006.asp
Información original del problema: http://www.l0pht.com/advisories.html
Consejos de instalación y configuración segura de Windows NT:
http://www.microsoft.com/security/resources/whitepapers.asp
http://www.microsoft.com/ntserver/security/exec/overview/Secure_NTInstall.asp
Deja una respuesta