Microsoft acaba de publicar un boletín de seguridad para anunciar la
publicación de un parche destinado a cubrir una vulnerabilidad en
Windows NT 4.0 por la cual un usuario puede elevar sus privilegios de
uso en el sistema afectado.
El problema radica en un error en el servicio NTLM Security Support
Provider (NTLMSSP) en Windows NT 4.0 que podrá permitir a un usuario que
haya accedido de forma local al sistema sin permisos de administración
aumentar sus privilegios de forma local hasta los de administrador. El
servicio NTLMSSP que se activa por defecto opera como una parte del
sistema operativo Windows NT 4.0 para tratar las peticiones de
autentificación asociadas al protocolo NTLM.
Para realizar el ataque el usuario debe tener un nombre de usuario y
contraseña válidos en el sistema, así como permisos para ejecutar código
arbitrario en el sistema. La vulnerabilidad sólo podrá ser explotada por
un atacante que pueda acceder al sistema afectado de forma local.
Precisamente son estas características del problema las que limitan las
posibilidades del atacante, ya que las medidas de seguridad básicas
impiden el acceso no autorizado a los servidores críticos, como
controladores de dominio, servidores ERP, servidores de ficheros y de
impresión, servidores de bases de datos, etc.
Aunque se recomienda la instalación del parche en todos los sistemas
afectados, si dichas normas se siguen habitualmente los servidores
estarán libres de peligro, ya que el único que debe tener acceso a
dichos servidores es el propio administrador. Sin embargo si quedan
afectadas de forma más directa todas las estaciones de trabajo con
Windows NT 4.0.
El parche para evitar este problema Microsoft ofrece un parche que se
encuentra disponible en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft (MS01-008):
http://www.microsoft.com/technet/security/bulletin/ms01-008.asp
Respuestas a las preguntas más frecuentes sobre el boletín MS01-008:
http://www.microsoft.com/technet/security/bulletin/fq01-008.asp
Deja una respuesta