Microsoft avisa de la existencia de permisos incorrectos en múltiples
claves del registro de Windows NT 4.0. Los permisos por defecto pueden
permitir a un usuario malicioso conseguir mayores privilegios en la
máquina afectada.
Existen tres claves del registro con permisos por defecto inadecuados.
La primera de las claves afectadas es la encargada de proporcionar
determinados parámetros SNMP.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters,
proporciona el nombre de comunidad SNMP y los identificadores de
administración SNMP, si existen. La lectura de esta información puede
permitir a un usuario malicioso pasar como un administrador SNMP para
cualquier comunidad a la que pertenezca el máquina afectada.
También resultan inadecuados los permisos de la clave de
administración RAS, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS, que
proporciona una forma para instalar productos RAS de terceras partes
que trabajen con el servicio nativo RAS de Windows NT. Al modificar
alguno de los valores de esta clave un atacante podrá especificar el
código malicioso que desee como una herramienta de administración de
otra compañía. Dicho código se ejecutará entonces dentro del contexto
de la cuenta del sistema lo que permitirá al atacante tomar el control
del sistema.
La última clave afectada, hace referencia a la administración de
paquetes MTS, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Transaction
Server\Packages. Esta clave incluye información sobre los usuarios con
permisos para instalar y modificar paquetes MTS. Si en este punto, el
atacante se añade a si mismo como administrador MTS podrá conseguir la
facultad de añadir, borrar o modificar paquetes MTS.
Para realizar los cambios necesarios en estas claves Microsoft ha
publicado una herramienta que se puede encontrar en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24501
antonior@hispasec.com
Más información:
Boletín de seguridad de Microsoft (MS00-095)
http://www.microsoft.com/technet/security/bulletin/ms00-095.asp
Preguntas y respuestas sobre la vulnerabilidad
http://www.microsoft.com/technet/security/bulletin/fq00-095.asp
Deja una respuesta