Falla en Windows permite crear cuentas administrativas 'invisibles' sin ser detectado
Un investigador publicó un hallazgo según el cual se podrían crear cuentas en un sistema Windows sin ser detectados y las mismas ser 'invisibles' y poseer privilegios de administrador.
El procedimiento describe cierta manipulación, que pasaría desapercibida, para crear cuentas locales en un equipo Windows, pues se trata de una 'falla' en el procesamiento de la base de usuarios locales conocida como SAM.
Leemos en BugTraq a un lector, Christian Sciberras, que pone en duda la importancia del hallazgo:
Y en escenarios de ajustes de personal en áreas de TI frente a la urticante pregunta de ¿quién audita al administrador?, agregaríamos ¿cómo asegurarse que un administrador despechado no 'siembre' cuentas de usuario 'invisibles' para tomar alguna acción posterior en contra de la organización o una no autorizada?
En escenarios donde ingresan consultores que requieren accesos administrativos ¿cómo detectar e impedir que realicen maniobras como la descripta en este fallo? ¿Serían detectadas actividades de este tipo particular?.
Si alguien ha experimentado con esto y quiere compartir algún hallazgo en materia de detección de este tipo de cambios lo invitamos a compartirlo en este espacio.
Raúl de la redacción de Segu-Info
El procedimiento describe cierta manipulación, que pasaría desapercibida, para crear cuentas locales en un equipo Windows, pues se trata de una 'falla' en el procesamiento de la base de usuarios locales conocida como SAM.
Leemos en BugTraq a un lector, Christian Sciberras, que pone en duda la importancia del hallazgo:
No entiendo ¿cómo podría ser esto relevante para la seguridad?Y la respuesta del investigador, apodado StenoPlasma, que explica:
Si un sistema fue comprometido, asumo que lo lógico sería investigar por qué y en última instancia que es lo que fue cambiado.
Las herramientas de auditoria detectarán esto en segundos, tanto como lo haría una persona (salvo que estemos hablando de más de 10 cuentas de usuario en la misma PC).
En cualquier caso, una PC comprometida debería por lo menos ser restaurada hasta el momento antes del ataque. Cualquiera que continúe corriendo así el sistema (después del ataque) merece ser hackeado una y otra vez.
Estoy de acuerdo con MS (y otros escenarios similares). La gente debe enfocarse en no ser hackeada, no en atrapar a los hackers *después de ser hackeado*.
A todos,Más allá del escenario, pensamos que una primera evaluación de esta 'falla' supone la necesidad de evaluar las herramientas de auditoria de cuentas de usuario. Incluso antes que eso deberíamos preguntarnos ¿estamos monitoreando los cambios de cuentas y grupos de usuarios locales privilegiados?.
La razón por la cual escribí este artículo no fue para explicar cómo crear una cuenta de usuario oculta. Lo escribí para mostrarles que pueden modificar la SAM en tiempo real de una forma que NADIE puede detectar. Esta modificación permite enmascarar cualquier cuenta de usuario como si fuera la cuenta nativa Administrador.
Christian,
"Acceso ininterrumpido" a un sistema significa que alguien ha comprometido un sistema y tienen acceso continuo. Esto implica que el administrador no sabe que ha sido comprometido. ¿Piensas que las herramientas de auditoria verán un cambio hexadecimal realizado en la SAM, cuando incluso los administradores locales no tienen acceso a la SAM?
Y en escenarios de ajustes de personal en áreas de TI frente a la urticante pregunta de ¿quién audita al administrador?, agregaríamos ¿cómo asegurarse que un administrador despechado no 'siembre' cuentas de usuario 'invisibles' para tomar alguna acción posterior en contra de la organización o una no autorizada?
En escenarios donde ingresan consultores que requieren accesos administrativos ¿cómo detectar e impedir que realicen maniobras como la descripta en este fallo? ¿Serían detectadas actividades de este tipo particular?.
Si alguien ha experimentado con esto y quiere compartir algún hallazgo en materia de detección de este tipo de cambios lo invitamos a compartirlo en este espacio.
Raúl de la redacción de Segu-Info
El correo de Sciberras:
ResponderBorrar1) no iba dirigido a la lista sino a StenoPlasma
2) es de una persona que no entiende muy bien de inseguridad informatica
Hola Kmilo,
ResponderBorrarEfectivamente el correo fue privado a StenoPlasma, el cual fue quien lo publicó y respondió públicamente en Bugtraq.
Lo que importa es la falla descripta y sus posibles consecuencias de seguridad.
Si Sciberas sabe o no de seguridad es anecdótico.
Saludos,
Raúl