|
VSantivirus No. 1508 Año 8, lunes 23 de agosto de 2004
Ataques a la sincronización de hora NTP en Windows
http://www.vsantivirus.com/vul-windows-ntp.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se ha reportado que la implementación NTP en los sistemas operativos de Windows 2000, XP y 2003, son vulnerables a ataques que modifican la hora del sistema.
NTP (Network Time Protocol), es un protocolo especial para el control de la hora en la red. Un servidor NTP envía los datos necesarios para sincronizar la hora de la PC, con la de un reloj atómico.
Si un equipo pertenece a un dominio, el reloj se sincronizará de forma automática mediante un servidor de hora de la red. Si su equipo no pertenece a un dominio, puede sincronizarse con un servidor de hora de Internet.
Tener la hora sincronizada, es vital muchas veces para el control de la expiración de certificados, tareas programadas, autenticación de servicios como kerberos, autenticación de dominios, expiración de certificados X.509, etc.
Un atacante podría alterar también la hora en el controlador del dominio de una víctima, causando que el dominio entero se sincronice con la hora del atacante. Esto habilita otras clases de ataques.
El problema ocurre con todas las versiones de Windows que soportan Directorio Activo (Windows 2000, Windows Server 2003 y Windows XP). El Directorio Activo, (Active Directory) incluido desde Windows 2000, es un sistema centralizado que automatiza la gestión de los datos de usuario, la seguridad, y los recursos distribuidos, además de permitir la interacción con otros directorios.
No hay reportes de exploits que se aprovechen de este fallo por el momento.
Microsoft ha implementado una protección contra fallos para la sincronización de la hora de la computadora con la de un servidor de Internet. Si la diferencia de hora con la entregada por un servidor NTP es mayor de 12 horas, simplemente es rechazada. De esta manera, un atacante podrá modificar la hora en incrementos de 12 horas o menos, por cada vez.
Ello lo habilita una clave indocumentada del registro, llamada "MaxAllowedClockErrInSecs", que puede especificar el mayor tiempo que un servidor NTP tiene permitido adelantar o atrasar el reloj. Por defecto su valor es de 43200 segundos (12 horas).
Si se modifica esto por menos tiempo, un atacante no podrá alterar significativamente la hora del PC.
Aunque esta clave no está presente en el registro por defecto, se presupone que la misma se podría agregar en la siguiente rama:
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config
MaxAllowedClockErrInSecs = [segundos]
El valor de [segundos] (en hexadecimal) es un DWORD. De acuerdo a lo que su PC atrase o adelante normalmente, usted podría elegir un valor menor para cuando se produzca la sincronización (por ejemplo, para 5 minutos el valor de [segundos] sería 300, para 10 minutos sería un valor de 600, etc.)
Créditos: 3APA3A <3APA3A@security.nnov.ru>
Referencias:
Security aspects of time synchronization infrastructure
http://www.securityfocus.com/archive/1/372197
Active Directory (Microsoft)
http://www.microsoft.com/windows2000/technologies/directory/ad/default.asp
NTP Home Page
http://www.ntp.org/
Security aspects of time synchronization infrastructure
http://www.security.nnov.ru/advisories/timesync.asp
Relacionados:
Utilidad para cambiar el intervalo de tiempo entre actualizaciones en Windows XP (normalmente es de una vez por semana). Con esta herramienta puede hacerse que la hora se sincronice en los intervalos que usted desee, por ejemplo, cada una hora.
Change Internet Time Sync Interval (de Doug Knox)
http://www.dougknox.com/xp/utils/xp_inet_time.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|