[Vulnerabilidad] Windows XP acceso a debug

20/02/2004 - 00:00 por Ille Corvus | Informe spam
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz
angela@videosoft.net.uy

Múltiples vulnerabilidades en el kernel de Windows XP, pueden permitir
a un usuario ganar los privilegios máximos (kernel mode).

Estas vulnerabilidades fueron probadas en Windows XP Pro SP1, con
todos los parches actualizados, y es probable que también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API nativas del kernel de
Windows XP, que permite a cualquier usuario con los privilegios para
acceder al debug (comando para eliminar los errores de un programa),
ejecutar código en forma arbitraria en el modo kernel (el nivel más
cercano al propio procesador), además de leer y escribir en cualquier
dirección de memoria, incluyendo la memoria usada por el propio
kernel.

API (Application Program Interface), es un conjunto de rutinas
utilizadas para solicitar y efectuar servicios de nivel inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO), residente en
memoria de forma permanente. Maneja los recursos del sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la computadora,
todo lo que el propio kernel puede. Ello incluye reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios para usar debug,
que normalmente son asignados a los administradores, la vulnerabilidad
parecería no ser seria. Pero en instalaciones domésticas, el único
usuario es normalmente el administrador, ya que de ese modo puede
instalar fácilmente cualquier dispositivo y acceder al kernel.

Microsoft ha dicho que esto no será corregido, ya que es correcta esta
configuración para permitir escribir en el kernel si se tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como administradores,
en lugar de crear un usuario y usarlo para el uso diario.

Pocos tienen en cuenta que de todos modos, para instalar algún
dispositivo o programa, pasar de un usuario a otro, es tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro de los permisos
de debug. Para ello, vaya a "Panel de control", "Herramientas
administrativas", pinche en el icono "Directiva de seguridad local".

En la ventana de "Configuración de seguridad local", bajo
"Configuración de seguridad", seleccione el signo "+" en "Directivas
locales", pinche en "Asignación de derechos de usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva", pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario con los
privilegios de administrador podrá reactivar esa opción. Y
fundamentalmente, que de poco servirá si el usuario continúa
ingresando a su computadora como administrador, para el uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por First Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
 

Leer las respuestas

#1 Zephryn Xirdal
20/02/2004 - 00:13 | Informe spam
Increíble.

Verdaderamente increíble.

A lo mejor es que soy tonto.

Seguro que se debe a que soy tonto.

Seguro.

Si no se permite una interfaz de depuración, ¿cómo cojones depuro? ¿Con
rezos a San Bug-mersindo?

¿Y si hago un driver?

Hostia, ya lo tengo [qué tonto que soy]:

¡¡¡¡¡¡¡¡Dejo el ordenador apagado!!!!!!!!!!!

o

¡¡¡¡¡¡¡¡Lo cambio por una cafetera!!!!!!!!! [Así llegaré a tiempo al curro].

En fin...

"Cosas vieredes, amigo Sancho"...


"Ille Corvus" escribió en el mensaje
news:
Fuente: http://www.vsantivirus.com/vul-xp-debug.htm

Acceso a debug puede ser un riesgo en Windows XP

Por Angela Ruiz


Múltiples vulnerabilidades en el kernel de Windows XP, pueden permitir
a un usuario ganar los privilegios máximos (kernel mode).

Estas vulnerabilidades fueron probadas en Windows XP Pro SP1, con
todos los parches actualizados, y es probable que también sea
vulnerable Windows Server 2003.

El fallo se produce en una de las funciones API nativas del kernel de
Windows XP, que permite a cualquier usuario con los privilegios para
acceder al debug (comando para eliminar los errores de un programa),
ejecutar código en forma arbitraria en el modo kernel (el nivel más
cercano al propio procesador), además de leer y escribir en cualquier
dirección de memoria, incluyendo la memoria usada por el propio
kernel.

API (Application Program Interface), es un conjunto de rutinas
utilizadas para solicitar y efectuar servicios de nivel inferior
ejecutados por el sistema operativo de un equipo.

El KERNEL, es la parte del sistema operativo (SO), residente en
memoria de forma permanente. Maneja los recursos del sistema, la
memoria, entradas y salidas, procesos y dispositivos.

El programa que explote este fallo, podrá hacerle a la computadora,
todo lo que el propio kernel puede. Ello incluye reprogramar cualquier
hardware como la memoria flash BIOS por ejemplo, o cambiar al propio
kernel en la memoria.

De todos modos, cómo el usuario necesita privilegios para usar debug,
que normalmente son asignados a los administradores, la vulnerabilidad
parecería no ser seria. Pero en instalaciones domésticas, el único
usuario es normalmente el administrador, ya que de ese modo puede
instalar fácilmente cualquier dispositivo y acceder al kernel.

Microsoft ha dicho que esto no será corregido, ya que es correcta esta
configuración para permitir escribir en el kernel si se tienen estos
privilegios.

Cómo decíamos, el mayor problema es que muchos usuarios, por comodidad
o por ignorancia, ingresan siempre a Windows XP como administradores,
en lugar de crear un usuario y usarlo para el uso diario.

Pocos tienen en cuenta que de todos modos, para instalar algún
dispositivo o programa, pasar de un usuario a otro, es tan fácil como
ir a Inicio, Cerrar sesión, Cambiar de usuario.

Aún así, se aconseja no incluir ningún usuario dentro de los permisos
de debug. Para ello, vaya a "Panel de control", "Herramientas
administrativas", pinche en el icono "Directiva de seguridad local".

En la ventana de "Configuración de seguridad local", bajo
"Configuración de seguridad", seleccione el signo "+" en "Directivas
locales", pinche en "Asignación de derechos de usuario", y luego en la
ventana de la derecha, bajo la columna "Directiva", pinche en "Debug
programs".

Quite todos los usuarios y grupos que aparezcan allí y reinicie su
computadora.

De todos modos, debe recordar que cualquier usuario con los
privilegios de administrador podrá reactivar esa opción. Y
fundamentalmente, que de poco servirá si el usuario continúa
ingresando a su computadora como administrador, para el uso diario,
aún cuando no tenga necesidad de instalar algo.

Reportado en BugTraq el 18 de febrero de 2004 por First Last

Más información:

Multiple WinXP kernel vulns can give user
mode programs kernel mode privileges
http://www.securityfocus.com/archive/1/354392


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)

Preguntas similares