Una vulnerabilidad en Administrador de Acceso Remoto de Windows
NT obliga a Microsoft a publicar un nuevo parche que corrija los
eventuales ataques que pueden llegar a causar la obtención de
privilegios de administración por parte del usuario malicioso.
El usuario malicioso puede explotar esta vulnerabilidad para
obtener un aumento en los privilegios inicialmente otorgados a su
cuenta de acceso. El usuario puede provocar la ejecución de
código malicioso en vez del Administrador de Acceso Remoto,
también conocido como RASMAN que se ejecutara con los privilegios
de seguridad más elevados. Con ello, el atacante puede realizar
cualquier acción maliciosa cobre el sistema atacado.
El fallo principal radica en el descriptor de seguridad del
ejecutable RASMAN.EXE, que contiene un ACE en su DACL que
permitiría a un usuario cualquiera acceder a él, pero vayamos por
parte. El Servicio de Acceso Remoto (RAS), como sabemos, consta
de unos servidores que identifican las llamadas de los clientes y
proporciona acceso según los privilegios de las cuentas con las
que se autentifican.
Por otro lado, recordemos que los descriptores de seguridad son
atributos configurables a cada objeto en Windows NT, una especie
de registro donde se almacena información sobre quien puede
acceder al objeto y con que privilegios. Dentro de un descriptor
de seguridad podemos encontrar la Lista de Control de Acceso
Discrecional (DACL), dentro de la cual existirán una o más
Entradas de Control de Acceso (ACE).
Cuando un usuario accede a Windows NT se autentifica mediante su
nombre y contraseña, con lo que el sistema genera un testigo de
acceso que identifica al usuario en cualquier proceso de éste. En
el testigo se encuentra su Identificador de Usuario (SID), cuando
un usuario quiere acceder a un fichero, el sistema comprueba el
SID con las entradas ACE en la lista DACL para establecer si
tiene los privilegios suficientes.
Las propias condiciones de la vulnerabilidad hacen que para poder
explotarla el atacante debe estar autentificado en el sistema, es
decir, debe acceder a la máquina mediante un nombre de usuario y
password válido. Para eliminar todos los problemas asociados con
esta vulnerabilidad Microsoft publica una herramienta que debe
ejecutarse en todas las estaciones susceptibles de ser atacadas.
Para facilitar la labor de los administradores, la utilidad se
puede ejecutar desde un servidor de forma que se instale en los
puestos de red indicados.
Más información:
Parche
Boletín de seguridad
Preguntas y respuestas sobre la vulnerabilidad
Deja una respuesta