26May/084
Acceso System en Windows Vista
Leo en Slashdot y McGrew Security que Jesse Varsalone ha publicado un pequeño truco que permite conseguir acceso System en Vista sin necesidad de conocer o cambiar el password del usuario Administrador, si se tiene acceso físico a la máquina y un CD de Linux (o cualquier otra cosa que te permita renombrar archivos en NTFS).
Simplemente se renombra el cmd .exe (espacio en el nombre patrocinado por mod_security) a Utilman.exe ( Utility Manager ) y en la pantalla de login de Vista presionas Windows-U. Inmediatamente se abrirá el nuevo Utilman.exe, dandonos una shell con privilegios SYSTEM.
Un vídeo demostrándolo aquí: http://www.offensive-security.com/movies/vistahack/vistahack.html
Aunque me lo creo... alguien con Vista que lo pueda probar?
May 26th, 2008 - 13:34
Es un truco guay pero por qué cojones en todos los medios lo tratan de bug??
Es sabido de hace decadas que si tienes acceso físico a una máquina es tuya. Acaso usar un livecd y arrancar un linux en modo single es un bug? Quitar la pila de la BIOS para que se borre la contraseña es un bug?? ¬¬, arrancar con un livecd y montar la partición ntfs de windows para quedarte con información sensible es un bug de windows?? Por favor…
Por lo menos me encuentro un blog que dice truco en lugar de bug. Ya era hora!!!!!
May 26th, 2008 - 16:09
Es un bug. El cmd de Vista debería realizar dos comprobaciones (o más) que no hace cuando es invocado:
1) verificar que se ejecuta por un usuario logueado en el equipo.
2) dropear permisos al estilo bash =>2.x setreuid().
La diferencia com un single mode es que al single le puedes poner contraseña y a esto del Utilman no.
El bug, a mi juicio, es grave. Otra cosa, como he comentado ya, es el impacto que pueda tener en el entorno en el que se intente explotar.
May 27th, 2008 - 05:15
Un apunte… no se supone que la idea (al menos así lo entendí yo, que no sabía ni que se podía ejecutar el Utilman en ese punto) es poder activar las opciones de accesibilidad antes de loguear a ningún usuario para que se puedan loguear los usuarios con algún tipo de problema auditivo/visual/loquesea ?
Entonces casi que lo suyo sería, a parte de los mínimos privilegios posibles, que puede que sean System para poder acceder a los widgets y demás puesto que no hay nadie logueado, comprobar que realmente se ejecuta lo que se tiene que ejecutar mediante una firma digital, cosa que ya tienen implementada para drivers por ejemplo.
Quizás haya otra solución mejor, pero a mí es lo que se me ocurre para seguir permitiendo la ejecución de Utilman.exe en la pantalla de Login.
May 27th, 2008 - 12:47
Vale 0x636f646572 tienes razón. Pero es la misma historia de siempre. Ha modificado los archivos antes de rearrancar windows. Aunque le pongas contraseña a un single o lo que sea, si modificas los archivos desde un livecd también puedes hacer lo que quieras.
Entiendo que esa aplicación no funciona correctamente y como debería como dice 0x636f646572 pero modificar desde el livecd es trampa.
El tema es en qué ámbito el sistema es realmente vulnerable y bueno, para evitarlo, ya se sabe, cifrado.