16 diciembre 2010

Este es un método para entrar en sistemas Windows un poco antiguo y bastante sencillote y agresivo. Sin embargo, a lo largo de las versiones de Windows no han parcheado nunca y, de hecho, poca documentación es la que he encontrado al respecto.

Normalmente, para entrar en una máquina Windows sin tener autorización para ello, era necesario saber las contraseñas, ya sean del usuario o de administrador, esto se hacía “a mano” o con distribuciones de Linux especificas y con la ayuda de alguna tabla Rainbow. Otra forma era utilizar Kon-Boot para parchear el proceso de autenticación en memoria.

A continuación, voy a explicar una forma de poder crear un usuario administrador, sin haber tenido que acceder con algún usuario que ya fuera administrador de la máquina anteriormente.

Todos sabemos que Windows está especialmente concienciado con las opcines de accesibilidad, teniendo en cuenta por ejemplo, a la personas con dificultades para leer bien, por lo que incluso al hacer el login ya te da la opción de usar las utilidades para ayudar a estas personas.

Por lógica, esto es un programa que te busca el cursor y todo lo que tenga alrededor lo hace mas grande. Sin embargo, pensando cómo es Windows o en general cualquier sistema operativo, todo programa estará asociado a una cuenta que sea la que lo haya ejecutado. Pero...¿Qué cuenta lo ejecuta si ni hemos puesto la contraseña de la nuestra? Por lógica debería de ser uno con privilegios mínimos. 

Vamos a probar....

1º Descargamos alguna distribución Linux en pendrive como Ubuntu o sucedáneos o algún bartpc.
2º Arrancamos desde ese usb y montamos al partición de windows.
3º Nos vamos a la ruta C:\Windows\System32
4º Nos hacemos una copia de seguridad del fichero Magnify.exe.


5º Borramos el fichero Magnify.exe.
6º Copiamos el fichero cmd.exe y lo cambiamos de nombre a Magnify.exe


7º Reiniciamos el ordenador y dejamos que arranque Windows.


8 º Volvemos a ejecutar la herramienta de lupa.


Nos acaba de salir una bonita ventana de comandos. Lo curioso es el path del principio, que parece de administrador.
Comprobamos quiénes somos.


Bingo! somos uno de los usuarios con permisos especiales del sistema.

¿Nos dejará tocar el registro?


Ooops! Parece que sí, así que vamos a crearnos un usuario administrador vía línea de comandos:

net user /add test2
net localgroup administrators test2 /add
net user test2 *



Un aplauso lento para Microsoft. Ya tenemos un usuario administrador creado sin ni siquiera haber iniciado sesión, solamente falta que reiniciéis y ya tendréis el sistema para vosotros.

Una cosa negativa de este método es que hasta que no inicies sesión, no puedes acceder a panel de control y a Mi PC. Si inicias el iexplorer algunas veces va bien y otras mal. Si aun así lo queréis probar, ejecutad en la consola de comandos el proceso explorer.exe.

Si alguien tiene más maña en la consola de comandos, se lo puede pasar especialmente bien.

Este método ha sido probado en Windows 7 y Windows Server 2008, aunque imaigno que Windows Vista también lo permite. Os dejo un video con el procedimiento completo.




Artículo cortesía de: Jorge Alejandro

50 comments :

Darioxhcx dijo...

muy buena ,la verdad desconocia esta forma , bastante ingeniosa...
saludos

fossie dijo...

Es curioso que este método siga funcionando ya que como bien dices, una solución seria que se ejecutase con una cuenta de permisos reducidos en lugar de como administrador.

El método lo conocía pero sustituyendo el fichero sethc.exe pero para el caso, es lo mismo.

Gracias

elPerroVerde dijo...

Pero la gente de MS no era esa empresa que se estaba gastando millones en seguridad de sus equipos¿?¿? bien es cierto que con acceso físico a un pc es evidentemente más fácil jugar con el. Aún así, MS demuestra que tiene muchos deberes por hacer.

Anónimo dijo...

Hay más ejecutables con los que hacer el truco (en un DC es muy divertido }:-} ), de entrada, todo lo que se lanza dentro de la ventana que sale al pulsar el botón gordo azul (incluido el famoso sethc y el de la lupa que comentas), más el propio exe del botón gordo azul.
Si tienes acceso físico a la máquina, la máquina esta muerta, sea el sistema operativo que sea, a no ser que el disco esté cifrado, pero a veces se agradece que sea así de cutre, te puede sacar de algún que otro apuro:)

@elPerroVerde
Es cierto que Microsoft se está gastando millones en la seguridad de sus sistemas, piensa que sólo este año han salido más de 100 boletines de seguridad, con sus correspondientes parches (y parches del parche }:-} ) y eso sin duda, vale una pasta:)
A wxp todavía le queda algún que otro año, a 2003 server lo mismo...la de parches que quedan por hacer todavía...yo creo que mantener eso es un pastón.

Buen post.

Un saludo.
Manolo.

Anónimo dijo...

Es más rápido que sustituir c:\windows\system32\scrnsasve.scr y esperar a que se dispare el salvapantallas en la ventana de login... no se me había ocurrido. Muy bueno.

Pedro Laguna dijo...

Con el trancazo que llevo y el mal cuerpo con el que me he despertado y me encuentro encima con esto...

Yo pense que estas cosas ya estaban superadas, que se reconocia que con acceso fisico al ordenador (y que no estuviera usando cifrado de disco) el sistema estaba vendido.

El autor menciona que ha encontrado "poca documentacion". No se si se refiere a paginas de la MSDN explicando como funciona el arranque de Windows o a paginas explicando este tipo de ataques en concreto. Si es sobre lo primero seguro que una busqueda como esta (http://social.msdn.microsoft.com/Search/en-US/?Refinement=177&Query=boot+process) en la MSDN algo le ayuda y si se refiere al ataque es que no sabe usar Google:

http://www.javipas.com/2008/05/26/como-hackear-vista-con-backtrack/
http://barrapunto.com/articles/08/05/27/0735243.shtml

Incluso en Barrapunto, conocidos por su adversion a Microsoft, reconocen que esto es una soberana tonteria!!

Por otro lado se echa de menos que el articulo no acabe con ironia ("un aplauso lento para Microsoft") y si con consejos sobre como evitar estos ataques. No se, como ya he dicho, cifrado de disco duro por ejemplo.

Para terminar mencionar lo desafortunado del titulo del post, "Bienaventurados los que no ven", pues no creo que a los familiares de personas ciegas (o si algun discapacitado visual lee este blog) les haga mucha gracia. Se que se puede tomar como una licencia literaria, pero en este caso un poco desafortunada.

En fin, no me enrrollo mas, nos leemos mañana con alguno otro articulo de calidad de los que nos teneis acostumbrados :)

deese dijo...

Hombre, no creo que el culpable sea Microsoft. Esto en un linux, pasa igual y en un (ponga aqui su SO favorito).

Siempre tienes la opción de cifrar el disco con bitlocker ;D

Alejandro Ramos dijo...

Perdona Pedro, no entiendo tu comentario. Quieres decir que como se conoce que una vez se tiene acceso físico al sistema este está vendido, ¿no tiene sentido conocer todas las maneras posibles?

Lo siento, este no es un blog para gente que solo busca una solución para un problema, o que una vez ha encontrado una solución, pasa al siguiente.

Esa es gente simple, no nuestros lectores.

Aquí somos más abiertos y creemos que el saber no ocupa lugar. A mi, profano de windows, por lo menos me ha enseñado que hay un ejecutable que se llamaba Magnify.exe, que ni lo conocía y quien sabe si algún día me sirve para esto o para cualquier otra cosa.

En cuanto al título, creo que vienes con la inercia de querer dar caña y te da igual ya incluso basarte en esa tontería para hacer cualquier comentario, aunque oye, como te he dicho anteriormente, agradecemos cualquier tipo de información. Incluso este feedback de alguien tan respetuoso como tú, que no ha tarda en insultar y denominar "tecnicoless" a nuestro trabajo.

Un saludo y gracias.

Jandro dijo...
Este comentario ha sido eliminado por el autor.
H dijo...

Yo lo conocía con el sethc.exe pero viene a ser lo mismo

Tengo que coincidir en parte con Pedro Laguna, me parece que soléis publicar artículos más interesantes

Anónimo dijo...

Sorprenderia a más de uno la cantidad de ordenadores que en XP, pulsado F8 arrancan en modo seguro y el usuario administrador aparece automágicamente sin password.

Muy común en los XP pro pirata que pululan por ahí

fossie dijo...

Chicos, solo es un artículo, tampoco hay que darle tanta importancia al asunto.

Esta claro que teniendo acceso físico a un PC se pueden hacer mil cosas pero la verdad es que no creo que a microsoft le fuera tan complicado corregir este problema.

Windows, al igual que la mayor parte de sistemas operativos, no es perfecto y simplemente se ha expuesto una de las formas de entrar al sistema. Puede que un dia se os olvide vuestra clave de acceso y os sea útil.

Anónimo dijo...

Este viejo truco me recuerda a una cosa similar que se puede hacer en sistemas Linux, editando LILO o GRUB:
http://www.securitypronews.com/it/operatingsystems/spn-22-20040209LostRootPasswordLinux.html

El concepto a tener en cuenta aquí es que si tienes acceso físico a la máquina, y no está cifrada, poco se puede hacer para evitar este tipo de cosas. No lo considero un problema de seguridad de Microsoft.

No está mal que de vez en cuando utilicéis artículos de "refresco" como este. Al fin y al cabo, no es fácil sacar cosas nuevas e interesantes todos los días.

Me sumo a Pedro en lo de recomendar algún consejo para evitar esto, en vez de terminar con un comentario irónico sobre Microsoft que, reitero, ni tiene culpa de esto, ni va a hacer nada por "arreglarlo".

Espero poder seguir leyendo artículos de calidad a la que nos tenéis acostumbrados.

Jandro dijo...

A pesar de algun que otro comentario incendiario, me esta gustando los comentarios que se estan escribiendo.

Como dice fossie en el ultimo post, entrar a un windows hay mil y una formas y que si cada uno pone su forma pues se hace una especie de BBDD.

Gracias por los animos de la gente :)

Anónimo dijo...

El problema real no es que tengas acceso físico y ala, pa´dentro, en eso creo que estamos todos de acuerdo. El problema es que un diseño MUY deficiente hace que, por ejemplo, el código que se ejecuta antes de hacer logon, o con la sesión bloqueada, se ejecuta como SYSTEM

ESE es el puñetero problema que Microsoft DEBE solucionar y no lo hace.

Otra cosa es que alguien acceda al disco, te saque la SAM y la destripe, eso es otra cuestión, es como si alguien se lleva el cajero del banco y lo destripa en casa.

La cuestión es
¿Por qué Windows permite que el usuario ejecute código sin hacer logon?

Y más grave aun, ¿Por qué dicho código se ejecuta con privilegios de SYSTEM?

En utilman.exe (%systemroot\system32), está escrito que el ejecutable a llamar en un evento concreto es sethc.exe, si se pudiera cambiar eso, también se altera el funcionamiento.Más fácil aún (como ya sabemos) si se cambia el ejecutable por otro, se altera el funcionamiento.
y digo yo, ¿por qué coño no se comprueba un hash del ejecutable antes de lanzarlo, para asegurarse de que se ejecuta lo que se debe y no otra cosa? pues muy fácil, porque es MUCHO MAS FACIL hardcodear el exe dentro de otro exe y a correr.

¿en cuántas claves de registro habrá cosas similares?
¿en cuántos ficheros de configuración?
¿en cuantos exe/dll?

Está claro lo que dice Pedro, si tengo acceso a la máquina y el disco no está cifrado, estas muerto en cualquier OS pero, si Microsoft (en este caso, mañana será otro) hubiera diseñado esta parte del software con la seguridad como premisa, ahora no estaríamos hablando de esto, joder que era tan sencillo como tener una cuenta sin privilegios para ejecutar los 4 exes de marras y este truco de niños no funcionaría... pues no, tenía que ser SYSTEM, ante la duda todos los privilegios que así seguro que no falla...

Pedro, te sorprendería saber la inmensa cantidad de gente que no conoce esta "chorrada", ni sus variantes.
Lo del sethc.exe (y mira que es viejo) se lo he llegado a enseñar incluso a un técnico (muy bueno, por cierto) de Microsoft y no lo conocía. No por el hecho de estar publicado en mil sitios, todo el mundo lo conoce. Por eso mismo, porque enseña algo a quien no lo sabe, creo que en general es un buen post, aunque el título tampoco me gusta:)

Un saludo.
Manolo

fossie dijo...

Me uno a Anonimo/Manolo. Lo que dice es muy cierto, es "fácil" de resolver y no se ha hecho. En ocasiones las cosas más simples son las que funcionan y seguramente están arreglando bugs complicadisimos pero este tipo de cosas ni las miran.

Pero vamos que no es que sea exclusivo de Microsoft seguro que ocurre en casi todos los OS (por no decir todos)

En fin, parece que hoy estamos todos de vacaciones que estamos dandole caña al post ¿vamos por el record de comentarios por post? ;D

Anónimo dijo...

Buenas, me gustaría hacer unas preguntas aun que soy bastante ignorante en estos aspectos, algo se pero no hasta tantos niveles como muchos de vosotros, pero desde que encontré esta web la suelo leer todos los días.
Mi pregunta es la siguiente:

Para poder entrar has de estar "físicamente" detrás de la maquina verdad? así que si este es un servidor de alguna empresa no creo que sea muy fácil poder estar cerca de ellos.
Y si deshabilitas desde la bios los usb , y la bios la tienes protegida con password? entonces eso no sirve de mucho no?


Muchas gracias
Felices Fiestas a todos
Hombredevyl

Ole dijo...

@Pedro Laguna, te digo mas o menos lo mismo que el dab (aunque yo no me lo he tomado tan mal, no es mi blog :P). Esta bien comentar todas las formas de entrar a un sistema, aunque sea necesitando acceso fisico.

Al igual que dab, yo tambien he aprendido bastante con esta entrada, yo no tengo mucha idea de sistemas windows y he aprendido que hay un ejecutable magnify.exe, me ha enseñado que se puede buscar (no solo en windows, sino en cualquiera) todos los programas que se ejecuten antes del login y que son susceptibles a ver con que privilegios se ejecutan y que se pueden pisar y poner en ellos "trucos". Tambien he aprendido como añadir usuarios desde consola (que no me podria imaginar que se hacia con el comando net... red? wtf!).

Decir "si tienes acceso fisico a la maquina ya esta" no es cierto. Con unas tecnicas muy sencillas (sin cifrar el disco ni nada) ya mitigas un monton. A saber, poner contraseña en:

- La BIOS para que no editen opciones alli
- El gestor de arranque para que no editen y pongan opciones de arranque a el/los nucleo/s.
- En el orden de arranque para que no puedan venir con un pen o cd con otro sistema y empezar a trapetear, mezclado claro esta con que el primer dispositivo de arranque sea el que tiene los sistemas que tu has puesto.

Personalmente esta entrada me ha parecido MUY didactica.

Román Ramírez dijo...

Lo primero de todo, tengo que deciros que llevo un rato descojonado leyendo los comentarios.

Tomáis, en general y sin querer abrir un flame, una postura excesivamente criticona en los comentarios.

Pues claro que estas cosas están vistas, pero no deja de aportar un post de este tipo. Nadie está vendiendo novedad, están vendiendo detalle.

Y el nivel de detalle, se agradece. Suscribo lo que dice Alex de que es interesante publicar múltiples maneras de hacer las cosas...

¿No se puede publicar nada sobre reversing de packers o máquinas virtuales en ejecutables porque ya se ha hecho? Pues hombre, lo mío no es reversear y para aprender cosas, leo artículos que más o menos novedosos me aclaren los conceptos.

Anónimo dijo...

En linux los scripts de GDM PreSession/Default y PostSession/Default tambien se ejecutan con permisos root

asi que linux comparte este diseño TAN deficiente

Y es que si puedes cambiar fisicamente un ejecutable por otro, ¿que te falta para comprometer la maquina?

fossie dijo...

@Ole
Si tienes acceso físico puedes abrir el ordenador y resetear la BIOS para toquetear las opciones e iniciar con un PEN así que tampoco es solución.

La mejor solución sería corregirlo ;D

Luis dijo...

Hablais de corregirlo y demás, pero si tienes acceso físico sí estas vendido puesto que al igual que estas accediendo para modificar el ejecutable, puedes perfectamente resetear la contraseña de administrador y entrar libremente (o guardarla para luego restaurarla y que no se "note"). Por lo tanto, yo ya no lo veo tan problema de microsoft (que no quiere decir que esté bien que se ejecute con esos privilegios) porque salvo que modifiques su estado original no puedes hacer nada.

Para mi la única opción es tener el disco cifrado (aparte de password en la BIOS y demás) y así me evito cualquier mirada indiscreta (aunque no tenga nada confidencial).

Con respecto al articulo, aunque no cuente nada nuevo y sea el mismo método de siempre pero cambiando el ejecutable, sigue siendo interesante pues como han dicho, vamos viendo cuales se pueden ejecutar y por tanto modificar para el ataque, pues como todos sabemos, las politicas de parcheo suele ser arreglar un fallo pero no la raiz de éste.

Un saludo!

Adama dijo...

Buenas! Este método creo que lo vi por primera vez en windows xp. Está claro que para actuar de supercracker, rey del mal, no te sirve. Si quieres romperlo todo desde el linux ya lo puedes hacer. Pero sí que sirve como una herramienta por si un día pierdes la contraseña.

Siempre es bueno saber estas cosillas. El título sí que es un poco desafortunado aunque tampoco creo que haya que hacer sangre.

Saludos!

Ole dijo...

@Fossie, yo no he dicho que se puede evitar todo tipo de ataque que requiera tener acceso fisico a la maquina con lo que he puesto, he dicho que se mitiga mucho este tipo de tecnicas chorras y efectivas xD.

Lo comentaba porque se hablaba de cosas como el cifrado del disco duro o como tu mismo comentas flashear la BIOS y demas y creo que sin irse cosas tan rocambolescas (en comparacion con lo que puse que no tiene ciencia ninguna, ya ves, 3 contraseñas) se puede reducir bastante la incidencia de este tipo de ataques. La diferencia entre este "ataque" y el que comentas es que los ataques de "cojo el destornillador, me tiro al piso y empiezo a llevarme un disco duro o una placa madre", me parece que cantan un poco mas que reiniciar el sistema y toda esta movida xDDDD, ¿no te parece?

De todas formas soy consciente de que no se evitan todos los ataques de acceso fisico. Se me ocurre por ejemplo uno muy molon, lo llamo "el ataque del catacrack", consiste en ir al sistema con un martillo pilon y... CATACRACK!! sistema vulnerado :). Toma DoS del bueno xDD.

Anónimo dijo...

Buen post, ahora conocemos un método para recuperar el usuario administrador perdido en Windows.

Siempre claro está que tengamos accesos físico a la máquina y que la partición del S.O. no este encriptada.

Supongo que todos esos críticos, que parecen saber tanto, conocen ya como se hace esto en Linux, Unix (incluido MAC Os/X) mediante un disco de arranque.

Un saludo.

Anónimo dijo...

Vaya la que se ha montado... A mi personalmente el articulo me gustó, simple y sencillo, y no tenia ni idea del Magnify.exe.

Saludos

fossie dijo...

Mi teoria es que el autor del post lo único que queria era montar polémica para que pusieramos muchos comentarios y así él pudiera descubrir cuantos visitantes somos asiduos del blog jejejejeje es broma!!!! :D

juanma dijo...

Qué jaleo no? A mi me parece buen post y además me ha desperezado para recuperar una vm a la que le caducó la cuenta en AD y de la que olvidé la contraseña de administrador local. Me daba mucha pereza generar tablas rainbow y ponerme a probar. Aquí tenéis un local privilege escalation de hace unos años que también era muy trivial de explotar y precisamente eso lo hace más interesante (y crítico). http://www.securityfocus.com/archive/1/365537

fon dijo...

Pues la verdad, no sé a qué viene tanta polémica..
El autor ha expuesto una forma de comprometer a una máquina bajo windows teniendo acceso físico y sin tener que destriparla (una de ellas). Y ahora saltan todos los polémicos diciendo que ésto no es un fallo de Microsoft, que otros SOs es también posible y bla bla... ¿acaso el autor ha mencionado que no lo sea?, a mí me ha servido la entrada pues no conocía ésta técnica, si alguno de los polémico nos quiere enseñar en su blog alguna técnica similar en otro SO, pues adelante!, es que a veces parece que algunos vienen ya buscando guerra.
Y sí, si por ejemplo el Magnify.exe junto con el resto de ejecutables que se ejecutan en el logon se ejecutaran en un usuario sin privilegios podrías mitigar yo creo que bastante el asunto, no en todos lados puedes fácilmente abrir un pc sin que te venga el conserje a marear.
Mi conclusión es bien sencilla: Buen post.

Un saludo,
fon

Anónimo dijo...

Hombre teniendo en cuenta que lo tienes físicamente el ordenador ya puedes hacer perrerias con la CD live, pero es curiosa la puerta.

Ole dijo...

Acabo de probar a hacerlo en Ubuntu 10.10, el ejecutable con el que he probado ha sido el "magnifier" (para no variar mucho xD).

Este ejecutable se ejecuta (a que no se lo imaginaban!) con el usuario gdm, que no tiene permisos para añadir usuarios, asi de golpe podras sacarle al fallo todo el jugo que le puedas sacar al usuario gdm.

Aunque no lo he intentado estoy bastante seguro de que podemos ir mas alla. Una vez hayamos arrancado con otro sistema podemos ir al binario magnifier (o a cualquier otro de los muchos que se ejecutan) y sustituirlo por un pequeño script tal que:

#!/bin/bash
useradd -g root pepe
passwd -d pepe

Y luego a este script ponerle permisos chulos:

# chmod 4755 script_chulo
# cp script_chulo /usr/bin/magnifier

Y asinn lograremos que se ejecute con permisos de root. Solo necesitaria comprobar que efectivamente se escribe con el SUID activo al sistema de ficheros en disco duro, pero 99% seguro de que si.

Perooooo... PARA QUE LECHES HACEMOS ESTO? Es rizar el rizo, tambien podemos montar esa particion, coger el /etc/passwd y añadirle un usuario a mano, coger el /etc/group y meterlo en root y coger /etc/shadow y activar la cuenta de pepe sin contraseña (ya se la pondremos al reiniciar si queremos, o ahora con un par de comandos mas, lo mismo da que da lo mismo).

Pues eso, que en gnu/linux añadir un usuario pudiendo arrancar desde nuestro propio sistema es cacho mas facil :)

SiD dijo...

Como muchos otros han comentado ya, acceso físico a la máquina... rotura física; no hay más.

A día de hoy, la única protección contra el acceso físico es el cifrado del componte a proteger.

Quien quiere jugar con la pila de la placa, dejando evidencias del cacharreo, si sólo se necesita http://fon.gs/gu5or4/ más http://fon.gs/m0qjdb/ más http://fon.gs/rx2fmn/

Usa el cifrado Luke...

Anónimo dijo...

Pues a mi se me acaba de ocurrir que se puede hacer un DoS contra un servidor tirando de todos los cables (o cortándolos). Si llamas a unos colegas para que te ayuden se considera un DDoS.

Anda que... la crítica es que en SbD pubicáis cosas interesantes... y esto está tela de visto, tanto que parece de cachondeo, hubiese bastado con un enlace a los sitios donde se explica esta "técnica" y haber comentado a lo mejor todas las posibles variantes... no se, algo con más chicha.

Anónimo dijo...

No es estrictamente necesario el acceso físico. Lo que es requisito imprescindible es cambiar el ejecutable A por el ejecutable B para habilitar esta puerta, y si lo logras hacer, el sistema cae, con cifrado del disco o sin el.

El autor del post nos enseña (con un detalle magnífico) una forma sencilla de dar el cambiazo, pero la clave real que nos muestra es que, si doy el cambiazo soy system sin siquiera hacer logon, es decir, nos enseña la puerta.

Si tuvieras un usuario (no administrador), que pudiera escribir en system32, porque usas una aplicación vieja de no se que, que si no tiene ese permiso no funciona bien (esas cosas pasan), lo único que necesitas es dar el cambiazo, cerrar sesión, y el sistema es tuyo. Esto en XP/2003 es tan "sencillo" como disponer del permiso para escribir en ..\system32\ y SABER que ejecutable tocar. Gracias al post ya lo sabe más gente (para eso es este blog ¿no?)

En W7 no es "tan fácil". Hay un privilegio nuevo muy interesante (TrustedInstaller) que si no lo tienes, no te va a dejar hacer el cambio. Debes ser Owner del objeto para poder alterarlo, y si no eres owner, debes ser admin (o tener el permiso de cambio de propietario) para poder convertirte en owner, y todo eso junto ya es más dificil de conseguir, pero aun así, no resuelve el problema (ni el cifrado, ni la pass de BIOS, etc.)

El problema es que NUNCA se debería poder ejecutar nada como system, porque si encuentro una forma de hacerlo, el sistema es mío (con acceso físico o sin el)

Insisto y no es por ser pesao, en mi humilde opinión, permitir ejecutar código (mucho, por lo visto) con privilegios de SYSTEM sin siquiera iniciar sesión, es un grave problema de diseño, que existe desde XP y se mantiene hasta W7 y que se debería corregir. Para mi esto es un vector de ataque muy interesante, con acceso físico o sin el.

Enhorabuena al autor por el post y a SBD por publicarlo.

Un saludo.
Manolo

Anónimo dijo...

He entrado a ver los comentarios para ver si alguien decía lo que es obvio... y veo que Pedro Laguna ha dado en el clavo.

Yo ya noté un cambio en los post de sbd, de hecho creo que el post del Barça-Madrid rozó la línea más baja (incluso mucho más que este para mi gusto).

Es lo que hay.

Alejandro Ramos dijo...

@Anónimo: veo que algo de esperanza te queda en nosotros cuando sigues entrando incluso pese al post tan malo del Madrid-Barça, así que muchas gracias por la confianza y por la crítica.

Te estaríamos infinítamente más agradecidos si nos pusieras un mail a contacto@ y nos contases que no te gusta exactamente y que otros artículos te han gustado más. Lo mismo nos abres los ojos y podemos reconducirlo o lo mismo simplemente te ignoramos porque decidimos que este blog no es lo que tu estas buscando.

Sea como sea, muchas gracias otra y esperamos leerte ansiosos.

Anónimo dijo...

@Alejandro, evidentemente hay posts muy buenos y no tan buenos, no por ver post malos voy a dejar de entrar, ya que siempre habrá alguno bueno. Con mi comentario no quería decir que esto fuera a peor, sino que últimamente se han publicado algunos artículos que creo que no ivan con la línea que me imaginaba en sbd.

Pero bueno, es mi humilde opinión, yo no voy a deciros que me gusta y que no, creo que vosotros ya estais suficientemente capacitados para saber que queréis publicar y que no.

Tampoco quiero desmerecer al autor del artículo, solo que quizás y según mi opinión no acaba de encajar aquí, pero el autor seguro que es un gran profesional.

Saludos

Laenzima dijo...

Muy buen post!

Anónimo dijo...

Pues yo agradezco mucho este tipo de posts ya que llevo poco tiempo en este mundillo. Vamos, que no tenia ni idea :-P

No entiendo cual es el problema de publicar de vez en cuando "viejos conocidos". Los que conozcan esas tecnicas pueden pasar al siguiente post.

Claro que no sere yo quien decida la orientacion de este blog.

car dijo...

La verdad es que esto mismo se puede hacer con alguna que otra Live cd de linux sin embargo este método es cuanto menos novedoso (al menos para mi) y la rapidez con la que se efectúa el proceso es increíble, en fin bajo mi punto de vista el post esta muy bien, sobre todo para los mas neofitos como yo. Saludos

Christian Hernández dijo...

A mi me ha gustado, cualquier cosa tendrá sus detractores y sus seguidores, a mi me ha encantado porque seguro que en algún momento, cuando esté comiéndome algún marrón, a las tantas de la madrugada o en algún rincón perdido, me acordaré de esta técnica, aunque no sea para aplicarlo al pie de la letra.

surgat dijo...

No había probado en windows 7 daba por echo que lo habrían solucionado, lo probe hace tiempo en xp con el salvapantallas.

Ya que estamos
Alguien sabe algún método rápido y sencillo para w7 en controlador de dominio, con acceso solo como usuario, para escalar a admin.

Me asustaría que existiera algo relativamente sencillo

las condiciones son que arranca desde disco duro, se pueden pinchar usbs y cdrom, pero no bootear desde ellos, vamos lo que creo que es el escenario mas habitual actualmente.

z3ti4n dijo...

interesante el post
una pregunta no se podria hacer lo mismo Bienaventurados los que no ven, porque suyo será el reino de los Windows en server 2003 cambiando el archivo que abre la ayuda antes de oprimir ctrl+alt+supr en el inicio de sesión ?

beto dijo...

Buen post.

Y a mí si me gustó bastante el título.

Anónimo dijo...

Lo siento, pero todo lo que comentas en este artículo es puro FUD.

Si se tiene acceso físico a la máquina y puedes cambiar archivos del sistema, el sistema operativo no tiene absolutamente nada que hacer ante ello.

El hecho de que cambies "magnify.exe" por otro binario y se pueda ejecutar no tiene nada de sorprendente. Por esta regla de tres, podrías argumentar que si accedes al disco duro y cambias el sector de arranque, puedes ejecutar lo que te de la gana antes del sistema operativo y puedes obtener control absolute del sistema. Aja. Por supuesto.

A menos que tengas el disco cifrado, la seguridad del SO se restringe a proteger el acceso por red, no físico.

Yo no es que sea partidario de Windows, pero este tipo de artículos no ayudan a nadie.

fossie dijo...

@Anonimo dijo:
"Yo no es que sea partidario de Windows, pero este tipo de artículos no ayudan a nadie."

Pues debe ser que no has leido bien los comentarios ya que hay gente que si ha dicho que le ha sido de utilidad.
Yo lo que pienso es que ciertamente el SO esta vendido si se tiene acceso físico a él, esta claro que si le das el cambiazo al HD o el otro lo pinchas como esclavo puedes acceder a él como te venga en gana (si no esta cifrado) pero creo que de lo que se trata es "ponerlo dificil", es decir, que lo que hay que hacer es simplemente cambiar un fichero por otro y ya se tiene acceso al sistema. Esto te puede servir para muchas cosas, incluso si se te ha olvidado la contraseña del equipo y no hace falta estar cambiando el disco duro ni trasteando el sector de arranque.

Si yo quisiera entrar de forma rápida a un PC no iría con destornillador en mano, simplemente intentaría sustituir el ficherito, haría lo que quisiera y saldría con las mismas y no hace falta que nadie me vea tirado en el suelo abriendo el PC

¿Es culpa de Windows? pues sí y no. No es su culpa en el sentido de que teniendo acceso físico el sistema es muy difícil de asegurar pero si es culpa de Windows porque esta forma es muy simple de realizar y también muy simple de evitar por lo que no les habría costado mucho bloquearla.

Jandro dijo...

@ultimo anonimo

Como ya dije antes, no todo el mundo tiene del disco cifrado, es mas, ni si quiera saben como hacerlo.

Como también dije antes, es muy curioso que Microsoft se haya puesto las pilas con los permisos de ejecución cuando el usuario a logado al sistema (la ventanita esa que dice que si estas seguro de querer ejecutar tal programa en modo administrador) pero que ha dejado de lado la politica de minimos privilegios en la ventana del login. Como bien dice @fossie en su ultima entrada, el metodo es sencillisimo pero su arreglo por parte de Microsoft también ¿Porque no lo hicieron?, si me contestas que en linux también se puede hacer .... yo no quiero compararme con linux, yo quiero hacer el sistema lo mas seguro que pueda. Recordemos que esto está probado en los ultimos Windows (7 y 2008 Server).

Sobre la utilidad que se le puede dar son muchas, como por ejemplo darle permisos de administrador a cualquier usuario que ya esté en el sistema (para no levantar sospechas al aparecer un usuario nuevo).

Una situación un poco mas compleja (pero posible) es la aparición de un 0day en windows (contra esto, no hay cifrado que valga y tampoco necesito software de terceros), haces el cambio, y aunque arreglen el 0day siempre vas a tener la posibilidad de entrar como administrador.

Esto es una prueba de concepto que ha ayudado a mucha gente, pero también tienes que ver que donde dice magnify.exe puede ser otro ejecutable, y donde dice cmd.exe puedes poner lo que quieras. Solo hay que echarle imaginación.

Me decis que no haya puesto posibles soluciones, pero es que la unica solución razonable es que sean los de Microsoft los que arreglen esto. Otra forma seria comprobar la consistencia en el sistema de ficheros.

Madrikeka dijo...

Contesto tarde pero contesto....

Por que acceso físico, que perra habéis cogido, esto lo puedes hacer desde una ILO o DRAC o KVM, es decir, si no tienes acceso físico pero tienes estos elementos este post está mas que bien, además, ya no es que te valga solo para crearte usuarios, es que te sirve para hacer otras perrerias!!

Pero aquí la mayoría os habéis obcecado con el acceso físico.

Se que os encanta las cosas aquí que hay que dar mil vueltas, que si mete linux, que si busca modificar este fichero, que si monta esta partición...etc.....

Pero con este modo y de forma muy rápida, en un dominio la puedes liar muchísimo y ahora con la powershell ya...ni te imaginas!!

Ojalá, algún día no tengais acceso físico...ni posibilidad de conseguir una live de linux...sólo un CD de Windows, entonces, os acordaréis de haber vuelto a recordar estas cosillas gracias a este post.

Un saludo a todos y gracias por estos "pequeños" detalles que a muchos nos han ayudado o nos ayudarán.

Lorenzo Martínez dijo...

Este comentario fue escrito por CoYo. Tuvimos un error en la gestión de comentarios y nos vimos obligados a borrarlo para no afectar una prueba del Wargame.

Coyo, te pedimos disculpas por ello y aquí va el comentario que dejaste:

------------------------------------


Gente: No existe sistema 100% seguro. Pero obvio que si vas a hacer algo masivo, deberías preocuparte mas porque lo sea, ya que están en riesgo los datos de millones de usuarios.
No ataquen al "mensajero", sino al que genera las malas noticias. Si bien es medio infortunado el título, quedo claro que es una alusión a "por donde viene la falla" y no una agresión.

Estos trucos, cuando los bien usas, mas de una vez te salvan. Gracias por compartirlo, y no pretendan que Micro$oft lo arregle, no les importa, y mas aún en la medida que le sigan comprando sus productos.

Saludos

jptidus asdf dijo...

genial con ustedes aprendere todo que no me quieren enseñar en la universidad gracias