[Vulnerabilidad] Windows XP acceso a debug

20/02/2004 - 00:00 por Ille Corvus | Informe spam
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz
angela@videosoft.net.uy

Múltiples vulnerabilidades en el kernel de Windows XP, pueden permitir
a un usuario ganar los privilegios máximos (kernel mode).

Estas vulnerabilidades fueron probadas en Windows XP Pro SP1, con
todos los parches actualizados, y es probable que también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API nativas del kernel de
Windows XP, que permite a cualquier usuario con los privilegios para
acceder al debug (comando para eliminar los errores de un programa),
ejecutar código en forma arbitraria en el modo kernel (el nivel más
cercano al propio procesador), además de leer y escribir en cualquier
dirección de memoria, incluyendo la memoria usada por el propio
kernel.

API (Application Program Interface), es un conjunto de rutinas
utilizadas para solicitar y efectuar servicios de nivel inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO), residente en
memoria de forma permanente. Maneja los recursos del sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la computadora,
todo lo que el propio kernel puede. Ello incluye reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios para usar debug,
que normalmente son asignados a los administradores, la vulnerabilidad
parecería no ser seria. Pero en instalaciones domésticas, el único
usuario es normalmente el administrador, ya que de ese modo puede
instalar fácilmente cualquier dispositivo y acceder al kernel.

Microsoft ha dicho que esto no será corregido, ya que es correcta esta
configuración para permitir escribir en el kernel si se tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como administradores,
en lugar de crear un usuario y usarlo para el uso diario.

Pocos tienen en cuenta que de todos modos, para instalar algún
dispositivo o programa, pasar de un usuario a otro, es tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro de los permisos
de debug. Para ello, vaya a "Panel de control", "Herramientas
administrativas", pinche en el icono "Directiva de seguridad local".

En la ventana de "Configuración de seguridad local", bajo
"Configuración de seguridad", seleccione el signo "+" en "Directivas
locales", pinche en "Asignación de derechos de usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva", pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario con los
privilegios de administrador podrá reactivar esa opción. Y
fundamentalmente, que de poco servirá si el usuario continúa
ingresando a su computadora como administrador, para el uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por First Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)

Preguntas similare

Leer las respuestas

#1 Zephryn Xirdal
20/02/2004 - 00:13 | Informe spam
Increíble.

Verdaderamente increíble.

A lo mejor es que soy tonto.

Seguro que se debe a que soy tonto.

Seguro.

Si no se permite una interfaz de depuración, ¿cómo cojones depuro? ¿Con
rezos a San Bug-mersindo?

¿Y si hago un driver?

Hostia, ya lo tengo [qué tonto que soy]:

¡¡¡¡¡¡¡¡Dejo el ordenador apagado!!!!!!!!!!!

o

¡¡¡¡¡¡¡¡Lo cambio por una cafetera!!!!!!!!! [Así llegaré a tiempo al curro].

En fin...

"Cosas vieredes, amigo Sancho"...


"Ille Corvus" escribió en el mensaje
news:
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz


Múltiples vulnerabilidades en el kernel de Windows XP, pueden permitir
a un usuario ganar los privilegios máximos (kernel mode).

Estas vulnerabilidades fueron probadas en Windows XP Pro SP1, con
todos los parches actualizados, y es probable que también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API nativas del kernel de
Windows XP, que permite a cualquier usuario con los privilegios para
acceder al debug (comando para eliminar los errores de un programa),
ejecutar código en forma arbitraria en el modo kernel (el nivel más
cercano al propio procesador), además de leer y escribir en cualquier
dirección de memoria, incluyendo la memoria usada por el propio
kernel.

API (Application Program Interface), es un conjunto de rutinas
utilizadas para solicitar y efectuar servicios de nivel inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO), residente en
memoria de forma permanente. Maneja los recursos del sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la computadora,
todo lo que el propio kernel puede. Ello incluye reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios para usar debug,
que normalmente son asignados a los administradores, la vulnerabilidad
parecería no ser seria. Pero en instalaciones domésticas, el único
usuario es normalmente el administrador, ya que de ese modo puede
instalar fácilmente cualquier dispositivo y acceder al kernel.

Microsoft ha dicho que esto no será corregido, ya que es correcta esta
configuración para permitir escribir en el kernel si se tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como administradores,
en lugar de crear un usuario y usarlo para el uso diario.

Pocos tienen en cuenta que de todos modos, para instalar algún
dispositivo o programa, pasar de un usuario a otro, es tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro de los permisos
de debug. Para ello, vaya a "Panel de control", "Herramientas
administrativas", pinche en el icono "Directiva de seguridad local".

En la ventana de "Configuración de seguridad local", bajo
"Configuración de seguridad", seleccione el signo "+" en "Directivas
locales", pinche en "Asignación de derechos de usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva", pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario con los
privilegios de administrador podrá reactivar esa opción. Y
fundamentalmente, que de poco servirá si el usuario continúa
ingresando a su computadora como administrador, para el uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por First Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
#2 Anonimo
20/02/2004 - 00:31 | Informe spam
Eso lo tienen todos los kernels, "incluso" el mismisisimo
san linux

Increíble.

Verdaderamente increíble.

A lo mejor es que soy tonto.

Seguro que se debe a que soy tonto.

Seguro.

Si no se permite una interfaz de depuración, ¿cómo


cojones depuro? ¿Con
rezos a San Bug-mersindo?

¿Y si hago un driver?

Hostia, ya lo tengo [qué tonto que soy]:

¡¡¡¡¡¡¡¡Dejo el ordenador apagado!!!!!!!!!!!

o

¡¡¡¡¡¡¡¡Lo cambio por una cafetera!!!!!!!!! [Así llegaré


a tiempo al curro].

En fin...

"Cosas vieredes, amigo Sancho"...


"Ille Corvus"


escribió en el mensaje
news:
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz


Múltiples vulnerabilidades en el kernel de Windows XP,




pueden permitir
a un usuario ganar los privilegios máximos (kernel




mode).

Estas vulnerabilidades fueron probadas en Windows XP




Pro SP1, con
todos los parches actualizados, y es probable que




también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API nativas




del kernel de
Windows XP, que permite a cualquier usuario con los




privilegios para
acceder al debug (comando para eliminar los errores de




un programa),
ejecutar código en forma arbitraria en el modo kernel




(el nivel más
cercano al propio procesador), además de leer y




escribir en cualquier
dirección de memoria, incluyendo la memoria usada por




el propio
kernel.

API (Application Program Interface), es un conjunto de




rutinas
utilizadas para solicitar y efectuar servicios de nivel




inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO),




residente en
memoria de forma permanente. Maneja los recursos del




sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la




computadora,
todo lo que el propio kernel puede. Ello incluye




reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o




cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios




para usar debug,
que normalmente son asignados a los administradores, la




vulnerabilidad
parecería no ser seria. Pero en instalaciones




domésticas, el único
usuario es normalmente el administrador, ya que de ese




modo puede
instalar fácilmente cualquier dispositivo y acceder al




kernel.

Microsoft ha dicho que esto no será corregido, ya que




es correcta esta
configuración para permitir escribir en el kernel si se




tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos




usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como




administradores,
en lugar de crear un usuario y usarlo para el uso




diario.

Pocos tienen en cuenta que de todos modos, para




instalar algún
dispositivo o programa, pasar de un usuario a otro, es




tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro




de los permisos
de debug. Para ello, vaya a "Panel de




control", "Herramientas
administrativas", pinche en el icono "Directiva de




seguridad local".

En la ventana de "Configuración de seguridad local",




bajo
"Configuración de seguridad", seleccione el signo "+"




en "Directivas
locales", pinche en "Asignación de derechos de




usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva",




pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y




reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario con




los
privilegios de administrador podrá reactivar esa




opción. Y
fundamentalmente, que de poco servirá si el usuario




continúa
ingresando a su computadora como administrador, para el




uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por First




Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)




.

Respuesta Responder a este mensaje
#3 rex
20/02/2004 - 09:41 | Informe spam
del propio documento:

De todos modos, cómo el usuario necesita privilegios para
usar debug, que normalmente son asignados a los
administradores, la vulnerabilidad parecería no ser seria


Desde luego, entre los que se pasan tres pueblos buscando
vulnerabilidades, y los desinformadores como el tonto la
p*cha del Ille Corvus que no sabe ni leer, andamos listos.

je!... no conozco ningun sistema operativo que en modo
root / administrador no te permita hacer todo eso.



Increíble.

Verdaderamente increíble.

A lo mejor es que soy tonto.

Seguro que se debe a que soy tonto.

Seguro.

Si no se permite una interfaz de depuración, ¿cómo


cojones depuro? ¿Con
rezos a San Bug-mersindo?

¿Y si hago un driver?

Hostia, ya lo tengo [qué tonto que soy]:

¡¡¡¡¡¡¡¡Dejo el ordenador apagado!!!!!!!!!!!

o

¡¡¡¡¡¡¡¡Lo cambio por una cafetera!!!!!!!!! [Así llegaré


a tiempo al curro].

En fin...

"Cosas vieredes, amigo Sancho"...


"Ille Corvus"


escribió en el mensaje
news:
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz


Múltiples vulnerabilidades en el kernel de Windows XP,




pueden permitir
a un usuario ganar los privilegios máximos (kernel




mode).

Estas vulnerabilidades fueron probadas en Windows XP




Pro SP1, con
todos los parches actualizados, y es probable que




también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API




nativas del kernel de
Windows XP, que permite a cualquier usuario con los




privilegios para
acceder al debug (comando para eliminar los errores de




un programa),
ejecutar código en forma arbitraria en el modo kernel




(el nivel más
cercano al propio procesador), además de leer y




escribir en cualquier
dirección de memoria, incluyendo la memoria usada por




el propio
kernel.

API (Application Program Interface), es un conjunto de




rutinas
utilizadas para solicitar y efectuar servicios de




nivel inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO),




residente en
memoria de forma permanente. Maneja los recursos del




sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la




computadora,
todo lo que el propio kernel puede. Ello incluye




reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o




cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios




para usar debug,
que normalmente son asignados a los administradores,




la vulnerabilidad
parecería no ser seria. Pero en instalaciones




domésticas, el único
usuario es normalmente el administrador, ya que de ese




modo puede
instalar fácilmente cualquier dispositivo y acceder al




kernel.

Microsoft ha dicho que esto no será corregido, ya que




es correcta esta
configuración para permitir escribir en el kernel si




se tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos




usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como




administradores,
en lugar de crear un usuario y usarlo para el uso




diario.

Pocos tienen en cuenta que de todos modos, para




instalar algún
dispositivo o programa, pasar de un usuario a otro, es




tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro




de los permisos
de debug. Para ello, vaya a "Panel de




control", "Herramientas
administrativas", pinche en el icono "Directiva de




seguridad local".

En la ventana de "Configuración de seguridad local",




bajo
"Configuración de seguridad", seleccione el signo "+"




en "Directivas
locales", pinche en "Asignación de derechos de




usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva",




pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y




reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario




con los
privilegios de administrador podrá reactivar esa




opción. Y
fundamentalmente, que de poco servirá si el usuario




continúa
ingresando a su computadora como administrador, para




el uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por




First Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)




.

Respuesta Responder a este mensaje
#4 Zephryn Xirdal
20/02/2004 - 23:15 | Informe spam
De ahí mi respuesta...


escribió en el mensaje
news:1327501c3f740$8f91f1e0$
Eso lo tienen todos los kernels, "incluso" el mismisisimo
san linux

Increíble.

Verdaderamente increíble.

A lo mejor es que soy tonto.

Seguro que se debe a que soy tonto.

Seguro.

Si no se permite una interfaz de depuración, ¿cómo


cojones depuro? ¿Con
rezos a San Bug-mersindo?

¿Y si hago un driver?

Hostia, ya lo tengo [qué tonto que soy]:

¡¡¡¡¡¡¡¡Dejo el ordenador apagado!!!!!!!!!!!

o

¡¡¡¡¡¡¡¡Lo cambio por una cafetera!!!!!!!!! [Así llegaré


a tiempo al curro].

En fin...

"Cosas vieredes, amigo Sancho"...


"Ille Corvus"


escribió en el mensaje
news:
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz


Múltiples vulnerabilidades en el kernel de Windows XP,




pueden permitir
a un usuario ganar los privilegios máximos (kernel




mode).

Estas vulnerabilidades fueron probadas en Windows XP




Pro SP1, con
todos los parches actualizados, y es probable que




también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API nativas




del kernel de
Windows XP, que permite a cualquier usuario con los




privilegios para
acceder al debug (comando para eliminar los errores de




un programa),
ejecutar código en forma arbitraria en el modo kernel




(el nivel más
cercano al propio procesador), además de leer y




escribir en cualquier
dirección de memoria, incluyendo la memoria usada por




el propio
kernel.

API (Application Program Interface), es un conjunto de




rutinas
utilizadas para solicitar y efectuar servicios de nivel




inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO),




residente en
memoria de forma permanente. Maneja los recursos del




sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la




computadora,
todo lo que el propio kernel puede. Ello incluye




reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o




cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios




para usar debug,
que normalmente son asignados a los administradores, la




vulnerabilidad
parecería no ser seria. Pero en instalaciones




domésticas, el único
usuario es normalmente el administrador, ya que de ese




modo puede
instalar fácilmente cualquier dispositivo y acceder al




kernel.

Microsoft ha dicho que esto no será corregido, ya que




es correcta esta
configuración para permitir escribir en el kernel si se




tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos




usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como




administradores,
en lugar de crear un usuario y usarlo para el uso




diario.

Pocos tienen en cuenta que de todos modos, para




instalar algún
dispositivo o programa, pasar de un usuario a otro, es




tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro




de los permisos
de debug. Para ello, vaya a "Panel de




control", "Herramientas
administrativas", pinche en el icono "Directiva de




seguridad local".

En la ventana de "Configuración de seguridad local",




bajo
"Configuración de seguridad", seleccione el signo "+"




en "Directivas
locales", pinche en "Asignación de derechos de




usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva",




pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y




reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario con




los
privilegios de administrador podrá reactivar esa




opción. Y
fundamentalmente, que de poco servirá si el usuario




continúa
ingresando a su computadora como administrador, para el




uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por First




Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)




.

Respuesta Responder a este mensaje
#5 fsck_awk
02/03/2004 - 17:57 | Informe spam
"rex" wrote in message news:<13cb701c3f78d$4d98e120$...
del propio documento:

De todos modos, c mo el usuario necesita privilegios para
usar debug, que normalmente son asignados a los
administradores, la vulnerabilidad parecer a no ser seria



je!... no conozco ningun sistema operativo que en modo
root / administrador no te permita hacer todo eso.



El problema es que hay una diferencia bastante grande entre
ser desarrollador (y por lo tanto necesitar ejecutar un
debugger sobre tus propios procesos) y el que tener permiso
para hacer eso sea equivalente a tener permiso para inspeccionar
y modificar la memoria del kernel.


Esta claro [1] que para ejecutar un debugger con Visual .NET
se requieren privilegios de Debug [2]; lo que no tendria mayores
implicaciones de seguridad si realmente el usuario solo pudiera
acceder a sus propios procesos.

Microsoft, en su documentacion [2] recomienda encarecidamente
no hacer los desarrollos (ni trabajar normalmente) desde cuentas
con privilegios de administrador.

De hecho, en multitud de entornos, un programador no tiene por
que ser Administrador en absoluto (un ejemplo muy claro: centros
de enseñanza).

Ahora bien, resulta que en la practica, por como esta dise~nado
el kernel de windows, el dar privilegios de Debug equivale a
dar acceso a todo el espacio de memoria del kernel. [3]

[1] How to Debug Script Code Using Visual Studio .NET
By Monica Rosculet

...
In order to be able to debug script code running on your machine
you need to be a member of the Debugger Users group.

[2] http://msdn.microsoft.com/library/e...frame=true

When you log on as a non-administrator, there is one feature
you will lose: Windows does not allow debugging of native
applications that are running as a different user unless you
have the special user right allowing it (SeDebugPrivilege),
and the .NET Framework does not allow debugging other users'
applications unless you are in the local Administrators group

You must be a member of the Debugger Users group in order to
attach to any process with the default Visual Studio .NET
mechanisms. Membership in this group does not give you access
to debug other users' programs, but simply allows you to use
the service that attaches the debugger to the process being
debugged.

[3] http://www.securityfocus.com/archive/1/354392

There exist several vulnerabilities in one of Windows XP
kernel's native API functions which allow any user with the
SeDebugPrivilege privilege to execute arbitrary code in kernel
mode, and read from and write to any memory address, including
kernel memory.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida