En la edición 37 de BlackHat publiqué un artículo el cual titulé: “Estudio, mente y paciencia”. El mismo trataba de resumir en pocas palabras los pasos que se deben dar para lograr echar por tierra la seguridad de un sistema operativo, ya sea lograr acceder al mismo sin la debida autorización o ya estando dentro, lograr adquirir los privilegios necesarios como para efectuar tareas que por lo general no se nos están permitidas.
Luego de la publicación ya oficial del artículo, varias amistades me lo criticaron, argumentando cosas como:
“es fácil decirlo, lo difícil es hacerlo”
“ojalá todo fuera como lo dices”
Estos comentarios bastaron para que, desde ese mismo instante, hiciera lo imposible para demostrar cuan verídico y real podía ser el artículo que había escrito, así que desde ese mismo instante me puse en función de buscar alguna debilidad que me permitiera acceder a Windows sin saber la contraseña de ninguno de los usuarios registrados.
Para lograr esta tarea lo primero que debía hacer es acogerme a los pasos que había citado en el artículo y en segundo lugar demostrar que lo logrado no es obra de ningún software, sino de muchas y muchas horas de estudio, un fuerte e intenso trabajo mental y una infinita paciencia; así que programas como el CIA o cualquier otro documento con trucos para desarrollar esta tarea resultarían in útiles para mi.
Como dije en aquel artículo, basarse en experiencias anteriores, ya sean propias o no, puede ser de gran ayuda, puesto que nos abre la mente y nos prepara para cosas que quizás de otra forma ni llegaremos a conocer. De esta forma tomé de Windows 98 la debilidad en la caja de diálogos del inicio de sesión y del Windows 2000 lo vulnerable que se volvía al permitirle a los usuarios acceder al archivo system.ini.
Con estas dos cosas como base me sentía un poco más preparado. Pero aún así el tipo de sistema al que trataba de acceder es totalmente distinto desde el punto de vista de seguridad. Para empezar Windows XP carece de un System.ini tan “fácil” como es el caso de Windows 2000, y pensar que con solo presionar Esc me saltaría la contraseña sería casi como mentarle la madre a Microsoft, así que esta variante ni la intenté. (Aunque no estaría de más perder un poco el tiempo intentándolo, ja ja ja)
En fin, mucho trabajo me costaría y muchas máquinas tendría que formatear antes de darme cuenta de un detalle que quizás por nuestra prisa pasa desapercibido ante nuestros ojos. *.scr
Para muchos quizás esta extensión no signifique nada, pero para otros un poco más curiosos, será sinónimo de refrescador de pantalla.
¿*.scr?
Bajo un sistema operativo coexisten miles de extensiones distintas, sin embargo, cada una se ejecuta de una forma determina, tanto así que se pudieran agrupar en conjuntos.Editables: *.doc, *.txt, *.ini, …
Multimedia: *.mp3, *.mpg, *.jpg, …
Ejecutables: *.exe, *.com, *.bat, …
…
(La cantidad de grupos que se puede crear está en dependencia del nivel de complejidad que se busque de las extensiones)
En este caso agrupé en las editables a aquellas que al editarlas con un editor de texto sencillo entendemos gran parte o todo el contenido de los archivos. Dentro de Multimedia puse las que nos muestran un gráfico o imagen y dentro de Ejecutables están todas aquellas que al hacerles doble clic se comportan como tales. Cual no fue mi sorpresa al ver que la extención .scr entraba dentro de este último grupo.
Resulta ser que tras una instalación la máquina por defecto adquiere una configuración determinada, configuración que incluye dentro de sí la carga del refrescador de pantalla tras 15 minutos de inutilización del equipo.
Cuando alguien va a entrar a Windows, aunque no haya puesto una contraseña, podemos decir que casi está dentro del sistema operativo, porque aunque no tenga acceso a nada, ya puede disfrutar de un entorno visual y otras características propias del entorno. Con la duda de saber hasta donde estoy dentro del sistema sin haber propasado la clásica pantalla de bienvenida, me cuestioné si podría obtener control de la máquina a partir de ahí, ¿con quíen? pues con un .scr
Confirmé mi hipótesis, y tras ver que el refrescador por defecto de Windows me reemplazó la pantalla de bienvenida comenzaron las preguntas.
1. Cada usuario puede aplicar un refrescador. Si yo tengo un solo usuario y no tiene el logotipo de Windows como refrescador, ¿de que usuario es este screensaver?
2. Si no estoy loggeado aún, ¿Quién más tiene poder suficiente para presentarme un refrescador de pantalla?
La respuesta a estas interrogantes solo podía ser una: El Administrador.
Al parecer, hasta tanto no se escoja un usuario, Administrador es quien manda en la PC, decidiendo cosas tan simples como la salida o no de un screensaver o cosas tan complejas como permitirle el acceso al sistema a un usuario no autorizado, basta para esto reemplazar el archivo logon.src que está en c:\windows\system32 por cualquier otro archivo ejecutable que se quiera cargar.
Nota: para esto probé solamente reemplazarlo por otro refrescador, por el cmd y por la calculadora de Windows. Sería buena idea reemplazarlo por explorer.exe y ver cuales son los resultados.
Soy usuario restringido, ¿Qué hago yo?
Todas las pruebas estas de las que les he hablado las realicé en mi máquina, donde soy administrador y además no tengo a nadie a quien restringir.No obstante, lo más posible es que quien quiera utilizar estos métodos para adquirir privilegios superiores a los que ya tiene este incapacitado para renombrar el archivo logon.scr, así que, para ellos, he aquí también la solución. Solo deben acceder a la máquina con un diskette de inicio y desde el mismo mandar a renombrar los archivos.
Espero que sirva este texto a muchos y de pie a también muchas variantes sobre el tema, cargándose en cada una de estas variantes distintos archivos y logrando con esto objetivos completamente diferentes.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario