|
Vulnerabilidad en instalación de Windows XP en IBM
|
|
VSantivirus No. 1534 Año 8, sábado 18 de setiembre de 2004
Vulnerabilidad en instalación de Windows XP en IBM
http://www.vsantivirus.com/18-09-04.htm
Por Angela Ruiz
angela@videosoft.net.uy
Las instalaciones OEM en equipos IBM de Windows XP y XP SP1, contienen una cuenta oculta de administrador implementada sin contraseña por defecto. El uso de esta cuenta permite a cualquier con acceso físico a estas computadoras, tomar el control total de las mismas, con la posibilidad de agregar cualquier clase de software, y de acceder a cualquier clase de archivo o documento.
IBM no informa al usuario de esta cuenta durante la instalación de Windows XP, y por lo tanto no ofrece la opción de poner una contraseña a la misma. Y peor aún, si el instalador encuentra la función para cambiar la contraseña para la cuenta de Administrador, recibe una advertencia de que si lo hiciera, podría sufrir la perdida de sus datos. Las buenas prácticas de seguridad requieren una contraseña en todas las cuentas administrativas (y root).
Debido a que el principal mercado de la compañía son organizaciones financieras, agencias de gobierno, y organizaciones dedicadas a la investigación en distintos ámbitos, esta característica se constituye en un grave riesgo de seguridad.
Versiones OEM de Windows XP Professional desarrolladas por empresas como Dell, HP y otras, no presentan estas características.
Las propias versiones ofrecidas directamente por Microsoft de su sistema operativo, advierten al instalador que se debe proporcionar un nombre y una contraseña para la cuenta llamada Administrador, y que se puede usar esa cuenta cuando el usuario necesite el acceso total a su computadora.
Aunque la instalación puede seguir si no se ingresa una contraseña, se enfatiza la necesidad de ingresar una. Adicionalmente, el usuario es incitado a crear una cuenta de usuario regular para uso general.
En contraste, la implementación de IBM del programa de instalación de Windows XP, no incluye estos pasos. La existencia de una cuenta de administrador nunca es mencionada. En lugar de esto, la instalación pregunta quién usará la computadora, para que se ingresen los nombres de cada una de estas personas.
Se advierte que Windows creará una cuenta separada para cada usuario, la que podrá luego ser personalizada. Por defecto, ninguna de las cuentas agregadas en ese paso tendrá contraseña. Tampoco existe una opción para agregar las contraseñas durante la instalación, aunque esto no es único del instalador de IBM, es una debilidad conocida en las versiones de Windows XP "fuera de la caja", incluyendo las de venta al por menor y las versiones OEM. Debido a que la cuenta de administrador nunca es solicitada, esto deja al sistema muy vulnerable.
Utilizando las "Herramientas Administrativas" del Panel de Control, "Administración de equipos", "Herramientas del sistema", "Usuarios locales y grupos", "Usuarios", puede verse que una cuenta Administrador ha sido agregada y habilitada. Esta cuenta, NO tiene contraseña. Si el instalador configura una contraseña por cada usuario mostrado bajo la herramienta "Cuentas de usuario" del Panel de Control, la cuenta por defecto de Administrador continuará sin contraseña.
El instalador de IBM nunca informará al usuario que dicha cuenta existe. Si el usuario intenta colocar manualmente una contraseña a la cuenta Administrador, entonces se le mostrará un mensaje de advertencia respecto a que se trata de la contraseña para el administrador del equipo, y que modificarla puede causar la perdida irreversible de información para el usuario de esa cuenta, dejándola inaccesible.
Esta vulnerabilidad ha existido desde que IBM comenzó a enviar sus sistemas con Windows XP. La reciente liberación de Windows XP SP2, debería ser una buena oportunidad para que IBM remedie esta situación.
IBM ha anunciado que liberará un parche para agregar la opción de solicitar la contraseña de administrador, el que será entregado primero en inglés (finales de setiembre) y luego en otros idiomas (durante octubre). Esto incluirá tanto SP1 como los sistemas SP2.
De todos modos, se recomienda agregar de inmediato contraseñas a todos los usuarios, incluyendo la cuenta Administrador, desde Panel de Control, "Herramientas Administrativas", "Administración de equipos", "Herramientas del sistema", "Usuarios locales y grupos", "Usuarios".
Créditos: Jason Lash, SECNAP Network Security, www.secnap.com
Reporte original:
Vulnerability in IBM Windows XP default hidden
Administrator account allows local Administrator access
http://www.secnap.com/security/20040806.html
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|