"Esta zona del blog no será actualizada. Visita el nuevo Blog del Laboratorio Hispasec"

23
mayo
2012

Windows permite, por defecto, eludir el modo protegido a programas de hace casi 10 años

Desde su versión Vista, Windows implementa MACL ("Mandatory Access Control List"). Todos sus objetos tienen un “nivel de integridad” asociado. Normalmente “medio”. Los objetos (procesos, ficheros, carpetas…) que tengan asociado un nivel de integridad “bajo”, no podrán acceder a niveles superiores (“medio”o “alto”), mientras que los de nivel “medio” o “alto” sí podrán acceder a los objetos definidos con nivel de integridad “bajo”. Esto deja a los procesos o archivos definidos con nivel de integridad “bajo”, en una especie de sandbox, puesto que no pueden llegar nada con nivel medio… o sea, nada del disco duro.


Uno de los programas que hace eso de estos niveles de integridad es Internet Explorer, y al hecho de usarlo en sus procesos (pestañas) Windows lo llama “Modo protegido”. Pero claro, ¿cómo es posible grabar algo descargado desde el navegador, o realizar cambios en el sistema, si en teoría con el modo protegido el navegador no puede acceder a esas partes del disco? Internet Explorer maneja el concepto de “broker” que es un proceso en modo de integridad medio, que siempre se ejecuta y hace de intermediario para que el navegador y sus pestañas no se encuentren totalmente aisladas.


Esto puede suponer un punto de exposición. ¿Quién es "broker" en Windows? ¿Qué otros programas actúan de esta manera? Los que están definidos en esta rama de registro:


SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

Tanto en su versión de LocalMachine como de CurrentUser.


Muchass extensiones y plugins de Internet Explorer requieren de estas políticas de elevación para poder funcionar cómodamente. Si no fuese así, muchas de estos programas integrados en el navegador, necesitarían confirmación cada vez que son ejecutados, y aparecería un diálogo como este:




Así que si la rama "Policy" del programa "broker" tiene el valor 3, una instancia del programa que se ejecute con integridad “baja” podrá invocarlo de forma silenciosa (sin que apareciese el diálogo) y manejará la petición en modo de integridad “medio”... lo que supone un peligro. Una buena parte del adware que se instala en forma de barra en Internet Explorer, también se introduce en esa rama del registro para ejecutarse de forma transparente. Sobre todo este asunto de la seguridad avanzada en Windows, se habla en este libro: Máxima seguridad en Windows


Mientras trabajaba en un pequeño programa para estudiar esto, he notado que todos los Windows Vista, 7, e incluso 8 en todas sus versiones, vienen con una serie de programas predefinidos por defecto para poder eludir la política sin preguntar (valor 3). Esto no sería demasiado sorprendente, porque podría responder a acuerdos comerciales con algunos fabricantes, lo que no dejaría de ser malo, pero al menos tendría lógica. Así, algunos programas querrían poder ejecutarse sin necesidad de que apareciese por defecto, o al menos la primera vez, un diálogo de confirmación. Como digo, “sería normal”… si no fuera por la antigüedad de los programas.


En concreto, tanto Windows Vista, 7 como 8, en todas sus versiones, traen de serie estas rutas como los programas a los que se le permite “eludir” el modo protegido:


C:\Program Files (x86)\adobe\acrobat 6.0\Acrobat\acrobat.exe

C:\Program Files (x86)\adobe\acrobat 6.0\reader\acrodr32.exe

C:\Program Files (x86)\adobe\acrobat 6.0\reader\ acrodr32.exe

C:\Program Files (x86)\adobe\acrobat 7.0\Acrobat Elements\Acrobat Elements.exe

C:\Program Files (x86)\adobe\acrobat 7.0\Acrobat\acrobat.exe

C:\Program Files (x86)\adobe\acrobat 7.0\reader\acrodr32.exe

C:\Program Files (x86)\adobe\acrobat 6.0\Acrobat Elements\Acrobat Elements.exe




Estos programas son de 2003 y 2005. No existe ninguna razón para instalarlos (llevan años sin soporte) y mucho menos permitirles por defecto el eludir la política de modo protegido de Internet Explorer. Incluso para cuando se creó Windows Vista (y se introdujo el modo protegido), estos programas ya eran antiguos.


Lo normal es que el programa pregunte (en la imagen de más arriba un ejemplo de Foxit Reader preguntando en el navegador) y, si se marca la opción, se almacenaría en el registro la entrada correspondiente.


No parece existir ninguna razón para almacenar estas ramas del registro ahí. Incluso pueden llevar a engaño y a suponer un problema de seguridad. ¿Alguien en el desarrollo de Windows al que se le olvidó eliminar unas pruebas? Quién sabe.

Enviado por ssantos a las 12:37 | Enlace permanente | Comentarios (4) | Trackbacks (0)
Comentarios
Re: Windows permite, por defecto, eludir el modo protegido a programas de hace casi 10 años

Interesante descubrimiento, gracias por el post y el programa Sergio!

"¿Alguien en el desarrollo de Windows al que se le olvidó eliminar unas pruebas?"

Detrás de esta pregunta hay una teoría de la conspiración que puede ser incluso graciosilla, pero no la pillo. ¿A qué te refieres?

Posted by: anon at mayo 23,2012 19:42
Re: Windows permite, por defecto, eludir el modo protegido a programas de hace casi 10 años

No, no es ninguna teoría de conspiración. Quizás quede confuso... No menciono "pruebas" en el sentido de "evidencias", sino de "test"... Quizás estaban comprobando el funcionamiento del modo protegido con esos programas, y nunca fueron eliminados... Me refería simplemente a eso.

Posted by: ssantos at mayo 23,2012 20:22
Re: Windows permite, por defecto, eludir el modo protegido a programas de hace casi 10 años

Raymond Chen, empleado de MS desde hace muchos años (http://blogs.msdn.com/b/oldnewthing/) ha comentado en varias ocasiones que a fin de cuentas MS es un negocio, y que uno de sus objetivos es que la gente actualize a la siguiente versión de Windows (como es lógico). Si se cambia de versión de Windows y un programa deja de funcionar, la gente le va a echar la culpa a la nueva versión de Windows, sin importar lo viejo, mal hecho o poco seguro que sea el programa en cuestión.

Por tanto, aunque es cierto que MS ha mejorado bastante su actitud hacia la seguridad, yo creo que casos como estos se dan porque piensan tambien en las ventas y algunos clientes importantes se lo habrán pedido (las empresas grandes tienen su propia burocracia y factores como la seguridad no parecen que importen mucho en las políticas de actualización), o porque tienen constancia de que esos programas los usa un nº alto de personas (cuando tienes una clientela potencial de mil millones de usuarios, un 3% es mucha gente).

Posted by: Alberto Martinez at mayo 24,2012 16:57
Re: Windows permite, por defecto, eludir el modo protegido a programas de hace casi 10 años

Entonces, si alguna aplicación peligrosa (virus, malware, etc.) logra quedar en algunas de las rutas heredades. ¿sería posible su ejecución sin el dialogo de modo protegido?

Posted by: Pedro at junio 11,2012 21:05
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/411/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario

Está deshabilitado la publicación de comentarios