Existe una vulnerabilidad con relación al archivo autorun.inf,
por lo que afecta a todas las versiones de Windows, aunque con
mayor gravedad a Windows NT.
Como ya sabrán muchos de nuestros lectores el archivo autorun.inf
se usa principalmente en los CDs para guardar la información de
lo que debe de hacer el sistema cuando se introduzca un nuevo
disco en la unidad. Este archivo puede contener información sobre
el icono que debe mostrar para identificar la unidad y los
programas a ejecutar.
La vulnerabilidad existe porque el archivo autorun.inf no sólo se
aplica a unidades de CD, sino que puede ser situado en cualquier
otra unidad con los mismos resultados. Si se sitúa un ejecutable
en la raíz de cualquier unidad, de forma que compruebe el usuario
y los permisos, de forma que si el usuario no posee ningún
privilegio abra el Explorador de forma normal. Pero si el usuario
tiene privilegios de administración, se puede realizar cualquier
otra acción como instalar un troyano o subir los privilegios del
atacante.
El exploit requiere que el atacante tenga permisos de escritura
en el directorio raíz de una unidad local para poder grabar el
archivo autorun.inf malicioso. No es raro que se posea este tipo
de permisos, especialmente en unidades diferentes a C:. Esta
vulnerabilidad puede emplearse conjuntamente con cualquier otra
que permita subir archivos al directorio raíz, con la
particularidad de que no es necesario conocer ninguna ruta en
concreto, el directorio raíz de cualquier unidad es más que
suficiente.
Para evitar este problema debe deshabilitarse la opción de
autorun, para lo cual se puede localizar en el registro la ruta
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom
y cambiar el valor de la clave Autorun de 1 a 0. Tras cerrar el
registro se debe reiniciar el ordenador para que los cambios
surjan efecto.
Más información:
Bugtraq
antonior@hispasec.com
Deja un comentario