Esta vulnerabilidad permite que cualquier usuario de Windows NT
pueda modificar la trayectoria del subdirectorio «Startup»
(«Inicio» en la versión español). Mediante esta técnica un
usuario podría, por ejemplo, ejecutar un programa para ganar
privilegios en el sistema y convertiste en Administrador.
Por defecto el subdirectorio «Startup» común para todos los
usuarios se encuentra en la trayectoria «c:\Winnt\Profiles
\All Users\Start Menu\Programs\Startup». En esta carpeta se
emplazan los accesos directos a los programas que se ejecutan
de forma automática cada vez que un usuario inicia su sesión
en Windows NT.
Para impedir que cualquier usuario pueda depositar en este
subdirectorio enlaces a programas, Windows NT establece por
defecto, en esta carpeta, permiso de solo lectura para el
grupo «Everyone», mientras que tienen acceso total los grupos
«Administrator» y «System». Con esta configuración por defecto
Microsoft intenta que sea imposible para un usuario sin
privilegios situar en este subdirectorio programas para que se
ejecuten por defecto, con los problemas que esta acción podría
acarrear a la seguridad del sistema.
Sin embargo, la misma configuración que Windows NT trae por
defecto, y protege de forma directa a esta carpeta, deja al
descubierto la clave del registro que determina cual es la
trayectoria de la carpeta «Startup». La clave
«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\UserShell Folders\Common Startup» trae por defecto
el valor «%SystemRoot%\Profiles\All Users\Start Menu\Programs
\Startup». Cualquier usuario puede modificar el valor de esta
clave para que apunte a otro subdirectorio al que tenga acceso,
donde todos los programas que contenga se ejecutaran de forma
automática cada vez que un usuario inicie la sesión en el
sistema.
Un ataque basado en esta vulnerabilidad puede consistir en
ejecutar un script que añada un usuario al grupo
«Administrator», de forma que la próxima vez que se inicie una
sesión con los privilegios adecuados, como por ejemplo un
Administrador, el script llevará a cabo su acción.
La solución pasa por establecer los permisos adecuados a la clave
del registro e impedir así que cualquier usuario pueda modificar
su valor. Se recomienda que «HKLM\Software\Microsoft\Windows\
CurrentVersion\Explorer» cuente con los permisos de acceso total
para los grupos «Administrators», «Creator Owner» y «System»,
dejando al grupo «Everyone» con acceso de solo lectura.
Más información:
NTBugtraq
Deja una respuesta