jueves, 9 de noviembre de 2000

Excesivos privilegios en la cuenta por defecto de Exchange 2000

Exchange 2000 es la aplicación de mensajería y trabajo en grupo de
Microsoft diseñada específicamente para su funcionamiento bajo Windows
2000. Esta vulnerabilidad hace referencia a la asignación inadecuada
de permisos en la cuenta de usuario por defecto de Exchange 2000.
Durante el proceso se instalación de Exchange 2000 Server se crea de
forma automática la cuenta de usuario EUSR_EXSTOREEVENT. A esta cuenta
se le asigna una compleja password generada de forma automática por el
sistema, y el nivel de permisos o privilegios asignados a esta cuenta
dependerá del tipo de servidor sobre el que se instale Exchange. Si
Exchange se instala sobre un servidor independiente EUSR_EXSTOREEVENT
tendrá los permisos equivalentes a un usuario local normal. Sin
embargo, si la instalación se realiza sobre un controlador de dominio
dicha cuenta poseerá los derechos de un usuario del dominio lo cual
hace aumentar el posible impacto que pudiera tener el acceso a ella
por un usuario malicioso. Ya que en tal caso el intruso podrá
reproducir sus acciones a lo largo de todo el dominio.

No se trata de una vulnerabilidad que pueda permitir el acceso al
servidor Exchange, sino del problema de seguridad que representa que
en caso de que un atacante consiga el acceso sobre dicho servidor
Exchange pudiera expandir su ataque sobre todo el dominio, lo cual ya
es extremadamente grave.

Para eliminar esta vulnerabilidad Microsoft proporciona un
procedimiento manual, aunque también incluirá la solución en el
Service Pack 1 para Exchange 2000. La solución manual indicada por
Microsoft para solucionar el problema pasa por la eliminación de la
cuenta EUSR_EXSTOREEVENT o modificar la passwotd si se encuentra en
uso.



Antonio Ropero
antonior@hispasec.com


Más información:

Securityfocus:
http://www.securityfocus.com/vdb/bottom.html?vid=1958

Boletin de Seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms00-088.asp

Prguntas y respuestas de Microsoft:
http://www.microsoft.com/technet/security/bulletin/fq00-088.asp

Utilidad de Micrososft para protección:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25866