Microsoft publica un parche para evitar una vulnerabilidad de
escalada de privilegios en máquinas con Windows NT 4.0. El
usuario malicioso debe acceder a la máquina de forma local, tras
lo cual podrá conseguir cualquier nivel de acceso, incluido el de
administrador.
El problema se debe a una debilidad en los puertos LPC (Local
Procedure Call) que puede permitir a un usuario malicioso
demandar servicios en el contexto de seguridad de otro usuario, o
como el mismo sistema operativo. La LPC o Llamada a
Procedimientos Locales es una parte esencial dentro del diseño
cliente/servidor de Windows NT, ya que es la interfaz entre todos
los procesos cliente/servidor que se ejecutan de forma local en
un sistema Windows NT.
La estructura de la LPC es muy parecida a la RPC (Remote
Procedure Call, llamadas a procedimientos remotos), excepto que
está optimizada de forma exclusiva para comunicaciones entre
procesos dentro de la máquina local. LPC es un medio de
comunicación proporcionado por Windows NT que permite a los hilos
y procesos comunicarse con otros dentro de la misma máquina. En
vez de hacer que cada hilo y proceso implemente su propio
servicio de comunicación Windows NT proporciona un servicio
estandarizado, el LPC, que puede ser usado por todos los hilos y
procesos.
El hecho de que esta vulnerabilidad resida en una función
asociada al LPC es significativo. Como LPC sólo permite
comunicarse a hilos de la misma máquina, esto mismo limita el
alcance de la vulnerabilidad a la máquina local.
Un usuario malicioso podría explotar esta vulnerabilidad de dos
maneras. La consecuencia más seria es que el usuario puede
conseguir privilegios adicionales en la máquina. Por ejemplo, el
usuario malicioso podría añadirse a sí mismo al grupo de
Administradores local, despues de lo cual podría realizar
cualquier acción sobre la máquina.
De forma alternativa, un usuario malicioso podría explotar esta
vulnerabilidad para realizar las peticiones como si fuera otro
usuario, simplemente como una forma de cubrir sus huellas cuando
realice alguna acción no autorizada. Cualquier log de auditoría
mostrará que el otro usuario realizó la acción, en vez del
verdadero usuario malicioso.
Todas las versiones de Windows NT 4.0 están afectadas por este
problema, aunque, tal y como se ha descrito, sólo repercute a
aquellas que permitan a usuarios el acceso de forma interactiva.
El parche de Microsoft modifica la forma en que la API afectada
valida las llamadas a ella y previene los posibles ataques
falseados.
Más información:
Parche
Boletín de seguridad de Microsoft
FAQ sobre el problema
antonior@hispasec.com
Deja una respuesta