Microsoft publica el primer boletín de seguridad del año 2002 para hacer
frente a un problema existente en las relaciones de confianza en los
servidores Windows NT y Windows 2000.
Las relaciones de confianza se crean entre dominios Windows NT o Windows
2000 para permitir a los usuarios de un dominio acceder a los recursos
de otros dominios sin necesidad de que sea necesario autenticarse de
forma separada en cada dominio.
Cuando un usuario en un dominio en el que se confía accede a un recurso
de un dominio de confianza, el dominio en el que se confía proporciona
los datos de autorización en forma de una lista de Identificadores de
Seguridad (Security Identifiers, SIDs) que indican la identidad del
usuario y los grupos a los que pertenece. Los dominios de confianza
emplean estos datos para determinar cuando deben permitir la petición
del usuario.
Existe una vulnerabilidad debido a que los dominios de confianza no
verifican que el dominio en que confían está autorizado actualmente para
todos los SIDs existentes en los datos de autorización. Si uno de estos
SIDs en la lista identifica a un usuario o grupo que no se encuentra en
el dominio en que se confía, el dominio de confianza podrá aceptar la
información y usarla para subsiguientes decisiones de control de acceso.
Si un atacante inserta SIDs de su elección en los datos de autorización
al dominio de confianza, podrá conseguir elevar sus privilegios a
aquellos asociados con cualquier usuario o grupo, incluido el grupo de
Administradores de Dominio, en el dominio de confianza. Esto podrá
permitir a un atacante lograr acceso total de Administrador de Dominio.
Explotar esta vulnerabilidad puede ser difícil, y en primer lugar
requiere privilegios de administración en el dominio en que se confía,
así como llevar a cabo la modificación a bajo nivel de las estructuras
de datos y funciones del sistema.
Microsoft ha desarrollado un mecanismo que bajo el nombre de «SID
Filtering» elimina esta vulnerabilidad y añade una mayor protección
entre los dominios de confianza. Cuando se encuentra instalado y
activado en los controladores de dominio de un dominio de confianza, SID
Filtering hace que el sistema inspeccione todos los datos de
autorización entrantes y elimine todos los SIDs que no identifiquen a un
usuario o grupo de seguridad definido en el dominio confiable.
El parche para Windows NT 4.0 Server se encuentra incluido en el Windows
NT 4.0 Security Roll-Up Package disponible en:
http://www.microsoft.com/downloads/release.asp?ReleaseID=31240
El parche para Windows 2000 Server se encuentra incluido en el Windows
2000 Security Roll-up Package 1 disponible en
http://www.microsoft.com/windows2000/downloads/critical/q311401/default.asp
antonior@hispasec.com
Más información:
Boletín de seguridad Microsoft (MS02-001)
Trusting Domains Do Not Verify Domain Membership of SIDs in
Authorization Data
http://www.microsoft.com/technet/security/bulletin/ms02-001.asp
Deja una respuesta