Microsoft distribuye un parche para la vulnerabilidad recientemente
descubierta en Windows NT con relación al protector de pantalla.
Recientemente nos hacíamos eco de una vulnerabilidad de Windows NT
con relación al protector de pantalla, por la cual un usuario
local podía conseguir privilegios de administrador (ver
http://www.hispasec.com/unaaldia.asp?id=135). Como ya comentamos
Microsoft había confirmado el problema y trabajaba en la
programación de un parche para remediar el agujero.
Windows NT proporciona un protector de pantalla que se activa
cuando la máquina se encuentra inactiva por un periodo específico
de tiempo. Inicialmente, Windows NT lanza el salvapantallas en el
entorno del sistema, para pasar de forma inmediata su entorno de
seguridad al correspondiente con el usuario. Sin embargo, el
sistema operativo no comprueba si este cambio de entorno se
ha realizado de forma correcta. Este es el problema fundamental
de la vulnerabilidad, ya que si se consigue que el cambio falle,
el protector seguirá ejecutándose en el estado de mayor privilegio.
El riesgo reside en que un usuario malicioso puede desarrollar
un salvapantallas que, por ejemplo, emplee los privilegios para
añadir al usuario al grupo de Administradores.
Esta vulnerabilidad se presenta en entornos en los que se permita
el acceso a usuarios sin derechos de administración sobre
estaciones de trabajo. Además, hay que destacar que el alcance
de la elevación de privilegios del protector sólo atañe a la
máquina local, por lo que el código malicioso sólo afectará a
dicho sistema. Un usuario que haga uso de esta vulnerabilidad
en una estación de trabajo, podrá conseguir unirse al grupo de
Administradores de la máquina local, pero no pasar a ser
directamente administrador del dominio. Lógicamente si se
realiza en el controlador de dominio, sí podrá ser administrador
de todo el dominio.
Microsoft recomienda a los Administradores que evalúen el nivel
de riesgo que esta vulnerabilidad presenta en sus sistemas y
determinen si deben instalar el parche.
Más información:
Información Microsoft
Microsoft Knowledge Base (KB)
Parche
Información anterior en HispaSec
Información original de la vulnerabilidad
Deja una respuesta