Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ataques a la sincronización de hora NTP en Windows
 
VSantivirus No. 1508 Año 8, lunes 23 de agosto de 2004

Ataques a la sincronización de hora NTP en Windows
http://www.vsantivirus.com/vul-windows-ntp.htm

Por Angela Ruiz
angela@videosoft.net.uy


Se ha reportado que la implementación NTP en los sistemas operativos de Windows 2000, XP y 2003, son vulnerables a ataques que modifican la hora del sistema.

NTP (Network Time Protocol), es un protocolo especial para el control de la hora en la red. Un servidor NTP envía los datos necesarios para sincronizar la hora de la PC, con la de un reloj atómico.

Si un equipo pertenece a un dominio, el reloj se sincronizará de forma automática mediante un servidor de hora de la red. Si su equipo no pertenece a un dominio, puede sincronizarse con un servidor de hora de Internet.

Tener la hora sincronizada, es vital muchas veces para el control de la expiración de certificados, tareas programadas, autenticación de servicios como kerberos, autenticación de dominios, expiración de certificados X.509, etc.

Un atacante podría alterar también la hora en el controlador del dominio de una víctima, causando que el dominio entero se sincronice con la hora del atacante. Esto habilita otras clases de ataques.

El problema ocurre con todas las versiones de Windows que soportan Directorio Activo (Windows 2000, Windows Server 2003 y Windows XP). El Directorio Activo, (Active Directory) incluido desde Windows 2000, es un sistema centralizado que automatiza la gestión de los datos de usuario, la seguridad, y los recursos distribuidos, además de permitir la interacción con otros directorios.

No hay reportes de exploits que se aprovechen de este fallo por el momento.

Microsoft ha implementado una protección contra fallos para la sincronización de la hora de la computadora con la de un servidor de Internet. Si la diferencia de hora con la entregada por un servidor NTP es mayor de 12 horas, simplemente es rechazada. De esta manera, un atacante podrá modificar la hora en incrementos de 12 horas o menos, por cada vez.

Ello lo habilita una clave indocumentada del registro, llamada "MaxAllowedClockErrInSecs", que puede especificar el mayor tiempo que un servidor NTP tiene permitido adelantar o atrasar el reloj. Por defecto su valor es de 43200 segundos (12 horas).

Si se modifica esto por menos tiempo, un atacante no podrá alterar significativamente la hora del PC.

Aunque esta clave no está presente en el registro por defecto, se presupone que la misma se podría agregar en la siguiente rama:

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config
MaxAllowedClockErrInSecs = [segundos]

El valor de [segundos] (en hexadecimal) es un DWORD. De acuerdo a lo que su PC atrase o adelante normalmente, usted podría elegir un valor menor para cuando se produzca la sincronización (por ejemplo, para 5 minutos el valor de [segundos] sería 300, para 10 minutos sería un valor de 600, etc.)


Créditos: 3APA3A <3APA3A@security.nnov.ru>

Referencias:

Security aspects of time synchronization infrastructure
http://www.securityfocus.com/archive/1/372197

Active Directory (Microsoft)
http://www.microsoft.com/windows2000/technologies/directory/ad/default.asp

NTP Home Page
http://www.ntp.org/

Security aspects of time synchronization infrastructure
http://www.security.nnov.ru/advisories/timesync.asp


Relacionados:

Utilidad para cambiar el intervalo de tiempo entre actualizaciones en Windows XP (normalmente es de una vez por semana). Con esta herramienta puede hacerse que la hora se sincronice en los intervalos que usted desee, por ejemplo, cada una hora.

Change Internet Time Sync Interval (de Doug Knox)
http://www.dougknox.com/xp/utils/xp_inet_time.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS