Artículos anteriores
https://windowstips.wordpress.com/2011/01/10/system-causa-y-efecto-i-de-iv/
https://windowstips.wordpress.com/2011/01/11/system-causa-y-efecto-ii-de-iv/
https://windowstips.wordpress.com/2011/01/17/system-causa-y-efecto-iii-de-iv/
Hola a tod@s!
En este último post, nos centraremos en cómo la cuenta SYSTEM se comporta a la hora de ser utilizada de forma interactiva.
Para ello, y en el banco de pruebas que hemos montado, realizaremos una elevación de privilegios, tal y como se ha comentado ampliamente por la Red. Tenéis artículos con formas de realizar este tipo de elevación en los siguientes links:
http://vtroger.blogspot.com/2005/09/mas-vale-quedarse-corto.html
http://www.securitybydefault.com/2010/12/bienaventurados-los-que-no-ven-porque.html
Al realizar el truco, (que no vulnerabilidad) y cambiar alguno de los componentes de accesibilidad por una Shell de Windows, ésta se iniciará de forma interactiva y podremos interactuar con la misma. Entre las “curiosidades” iniciales que nos encontraremos, podremos enumerar las siguientes:
- El panel de control, no funciona
- El explorador de Windows, junto con el escritorio, funciona de forma parcial
- La Shell finaliza al cabo de un tiempo
El acceso total al sistema, lo tenemos única y exclusivamente a través de la línea de comandos.
Esta “irregularidad” viene dada por culpa de las claves de registro que se asocian a cada perfil de usuario.
Cuando un usuario se crea en el sistema, éste recibe un perfil de usuario. La cuenta de sistema, es decir, la cuenta SYSTEM, precarga en memoria la clave HKEY_LOCAL_MACHINE, y el usuario que trabaja de forma interactiva en el sistema cargará a su vez la clave HKEY_CURRENT_USER, la cual se carga a través de un fichero en el perfil de usuario, que se llama NTUSER.DAT.
Si realizamos una comparación de las claves de registro que crea en el perfil la cuenta SYSTEM, con las que se crean cuando iniciamos sesión con una cuenta de usuario normal, podremos ver ciertas características que no se encuentran en el perfil de SYSTEM.
Si analizamos esas claves con alguna herramienta que permita abrir este tipo de ficheros (NTUSER.DAT), podremos ver ese tipo de diferencias, y contemplar qué claves carga la cuenta SYSTEM cuando inicia sesión en el sistema.
Para el desarrollo de este artículo, se utilizará la herramienta Windows Registry Recovery, la cual nos permite visualizar este tipo de ficheros de forma amistosa y rápida.
Imagen 1.- Claves cargadas por el usuario SYSTEM en Windows 7
Como se puede ver en la anterior imagen, la cuenta SYSTEM carga lo justo y necesario para realizar su trabajo, sin cargar más de lo necesario.
Imagen 2.- Claves cargadas por un usuario típico en Windows 7
En cuando a la imagen anterior, se puede visualizar que un usuario típico, carga lo que necesita para poder interactuar con el sistema. Algo lógico por parte del sistema operativo, ya que estos usuarios son los que están diseñados para trabajar de manera interactiva con el sistema.
Por otra parte, el usuario SYSTEM, opera desde la instancia HKEY_USERS\.DEFAULT. Esta instancia, es en realidad un alias de HKEY_USERS\S-1-5-18, instancia que identifica al SID de la cuenta SYSTEM. Al inicializar la elevación de privilegios, y siempre que no se inicie otro usuario en el sistema, la cuenta SYSTEM, utilizará una instancia que se cargará en 3 sitios diferentes. La ruta de carga es la que se muestra a continuación:
- HKEY_CURRENT_USER
- HKEY_USERS\.DEFAULT
- HKEY_USERS\S-1-5-18
Para verificar lo anterior, desde la Shell de comandos arrancada cuando se realiza la elevación de privilegios, se puede crear una clave en HKEY_CURRENT_USER. Esta clave, se mostrará a su vez en las claves HKEY_USERS\.DEFAULT y HKEY_USERS\S-1-5-18.
Imagen 3.- Instancias cargadas por el usuario SYSTEM
Imagen 4.- Instancias cargadas por el usuario SYSTEM
Estas instancias, a su vez, contienen la información para interactuar con el sistema, es decir, contienen las claves de registro necesarias para lanzar un escritorio interactivo, pero tienen pequeñas diferencias. Estas diferencias, analizadas con cualquier herramienta de monitoreo, muestran como a la hora de lanzar el escritorio interactivo, éste falla al intentar encontrar ciertas claves de registro, necesarias para mostrar iconos, accesos directos, y rutas de lanzamiento a las aplicaciones. El efecto final es que el sistema operativo es capaz de «pintar» el escritorio, pero al no encontrar rutas a las aplicaciones, ni accesos directos que llamen a un programa, éste se queda «a medias».
Imagen 5.- Rutas no encontradas
Como habréis podido observar a lo largo de estos cuatro artículos, es que una elevación de privilegios en Windows implica el conocimiento de muchos factores a la hora de lanzar un posible ataque, y las posibles consecuencias de que este funcione, o no…
Un saludo a tod@s!
El diario de Juanito 
Ganas tenia de volver a leerte, muy interesante, como siempre. Por cierto, ya van dos años que te escaqueas de la rooted, a ver si el que viene te pillo.
Saludos