[ SET ] Bug en la Administracion de Discos en Windows 2000 Febrero 2001 http://www.set-ezine.org ---[ CONTENIDOS ]--- - 01 - Sinopsis - 02 - Descripcion - 03 - Solucion - 01 ---------------------- Sinopsis ------------------------ Es posible acceder a determinadas funciones administrativas partiendo de una cuenta de usuario no restringido en una maquina que use Windows 2000, debido a la incorrecta configuracion de los permisos de las claves en el registro de Windows 2000 un usuario malicioso puede acceder al servicio de administracion de discos consiguiendo por tanto un gran control sobre la maquina hasta el punto de poder formatear las particiones con la perdida total de datos del sistema. - 02 ---------------------- Descripcion ------------------------ El servicio de administracion de discos esta por defecto reservado al administrador de la maquina, ofrece la posibilidad de crear y borrar particiones, acceder a las propiedades de los discos duros tales como permisos, comparticion, cambiar la letra o ruta de acceso a la unidad, etc. El funcionamiento de este servicio esta controlado principalmente por dos claves del registro. Servicio del administrador de discos logicos (dmadmin) HKEY_CLASSES_ROOT\AppID\dmadmin.exe El valor AppID de la clave anterior apunta a: HKEY_CLASSES_ROOT\AppID\{4FB6BB00-3347-11d0-B40A-00AA005FF586} Cliente remoto del administrador de discos logicos (dmremote) HKEY_CLASSES_ROOT\AppID\dmremote.exe El valor AppID de la clave anterior apunta a: HKEY_CLASSES_ROOT\AppID\{D485DDC0-49C6-11d1-8E56-00A0C92C9D5D} Los usuarios estandar pueden establecer valores en estas claves lo que posibilita acceder a las funciones del administrador de discos mediante la modificacion de los valores usando una herramienta como regedt32, una serie de cambios que ha demostrado su exito consiste en cambiar los valores de tipo reg_binary En dmadmin Launch Permission Access Permission En dmremote LaunchPermission Access Permission Una muestra ejemplificadora del tipo de valor que podemos dar a estas claves es la siguiente: 0100048094000000B00000000000000014000000020080000400000000001800010000000101 00000000000100000000000000000000180001000000010100000000000512000000000000000 000240001000000010500000000000515000000A065CF7E784B9B5FE77C877026220000000024 0001000000010100000000000504000000A065CF7E784B9B5FE77C87702622000001050000000 0000515000000A065CF7E784B9B5FE77C877026220000010500000000000515000000A065CF7E 784B9B5FE77C877026220000 Mediante la adecuada sustitucion de estos valores se consigue sobrepasar el habitual cuadro de dialogo: "Se ha denegado el acceso al administrador de discos en no tiene derechos de acceso al servicio" El acceder a este servicio no implica que obtengamos derechos especiales sobre los archivos de la maquina, las pruebas realizadas indican por contra que es plenamente factible eliminar fisicamente todas las particiones del disco y acceder a otras funciones del administrador de discos. Incidentalmente conviene destacar que es posible modificar las claves de manera que el administrador NO pueda acceder al servicio de administracion de discos hasta que repare las claves del registro. - 03 ---------------------- Solucion ------------------------ La solucion propuesta consiste en reforzar los permisos en las claves involucradas de manera que las cuentas de usuario solo tengan permisos de lectura y especificamente prohibir "establecer valores", "crear nueva subclave", "crear subclave" y "eliminar". Estos permisos se pueden modificar usando "regedt32" SET .1996-2001.