Acaba de ser reportada una grave vulnerabilidad en el kernel de Windows XP, que puede permitir a un usuario ganar los privilegios máximos (kernel mode).
(VSAntivirus) Estas vulnerabilidades fueron probadas en Windows XP Pro SP1, con todos los parches actualizados, y es probable que también sea vulnerable Windows Server 2003.
El fallo se produce en una de las funciones API nativas del kernel de Windows XP, que permite a cualquier usuario con los privilegios para acceder al debug (comando para eliminar los errores de un programa), ejecutar código en forma arbitraria en el modo kernel (el nivel más cercano al propio procesador), además de leer y escribir en cualquier dirección de memoria, incluyendo la memoria usada por el propio kernel.
API (Application Program Interface), es un conjunto de rutinas utilizadas para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo.
El KERNEL, es la parte del sistema operativo (SO), residente en memoria de forma permanente. Maneja los recursos del sistema, la memoria, entradas y salidas, procesos y dispositivos.
El programa que explote este fallo, podrá hacerle a la computadora, todo lo que el propio kernel puede. Ello incluye reprogramar cualquier hardware como la memoria flash BIOS por ejemplo, o cambiar al propio kernel en la memoria.
De todos modos, cómo el usuario necesita privilegios para usar debug, que normalmente son asignados a los administradores, la vulnerabilidad parecería no ser seria. Pero en instalaciones domésticas, el único usuario es normalmente el administrador, ya que de ese modo puede instalar fácilmente cualquier dispositivo y acceder al kernel.
Microsoft ha dicho que esto no será corregido, ya que es correcta esta configuración para permitir escribir en el kernel si se tienen estos privilegios.
Cómo decíamos, el mayor problema es que muchos usuarios, por comodidad o por ignorancia, ingresan siempre a Windows XP como administradores, en lugar de crear un usuario y usarlo para el uso diario.
Pocos tienen en cuenta que de todos modos, para instalar algún dispositivo o programa, pasar de un usuario a otro, es tan fácil como ir a Inicio, Cerrar sesión, Cambiar de usuario.
Aún así, se aconseja no incluir ningún usuario dentro de los permisos de debug. Para ello, vaya a "Panel de control", "Herramientas administrativas", pinche en el icono "Directiva de seguridad local".
En la ventana de "Configuración de seguridad local", bajo "Configuración de seguridad", seleccione el signo "+" en "Directivas locales", pinche en "Asignación de derechos de usuario", y luego en la ventana de la derecha, bajo la columna "Directiva", pinche en "Debug programs".
Quite todos los usuarios y grupos que aparezcan allí y reinicie su computadora.
De todos modos, debe recordar que cualquier usuario con los privilegios de administrador podrá reactivar esa opción. Y fundamentalmente, que de poco servirá si el usuario continúa ingresando a su computadora como administrador, para el uso diario, aún cuando no tenga necesidad de instalar algo.
Reportado en BugTraq el 18 de febrero de 2004 por First Last
Más información:
http://www.vsantivirus.com/vul-xp-debug.htm
