Ni que decir tiene que este tutorial esta hecho con fines educativos y
para que algun curioso practique en su sistema, no me hago responsable
del mal uso que podais hacer del mismo, recordad que hurgar en sistemas
ajenos es ilegal.
Antes de nada explicare un poco el porque de esta vulnerabilidad.
Este problema se debe a los programas
Stickykeys y
Togglekeys
que Windows instala por defecto para configurar los atajos de teclado a
la gente que este incapacitada para pulsar dos o mas teclas a la vez,
utilizando esta aplicación (stickykeys) un usuario podra hacer ctrl+b
pulsando primero una tecla y luego la otra o que (utilizando togglekeys)
windows emita un sonido fuerte al activar las teclas (bloq mayus, bloq
number o block despl) y una suave al desactivarlas. El fallo de esto es
que Windows configura por defecto un atajo para acceder a estas
aplicaciones, asi cuando un usuario da 5 veces a la tecla shift
(mayusculas) o presiona la tecla bloq num durante 5 segundos, se le
activaran los programas que hemos mencionado; el fichero que activan
estas aplicaciones se llama
sethc.exe (el mismo para los dos) y se encuentra en
C:\Windows\system32, lo que vamos a hacer es sustituir este fichero por
cmd.exe(que
se encuentra en la misma ruta que sethc.exe) para que cuando demos 5
veces a la tecla shift o presionemos durante 5 segundos la tecla bloq
num, se nos abra una consola con permisos de Administrador desde la cual
podremos crearnos una cuenta con permisos de Admin o hacer lo que nos
venga en gana (pero recordad que solo estamos investigando).
Escalando privilegios......
Despues de tanto rollo por fin vamos a ver como hacer todo lo que hemos
comentado, para llevar acabo esto necesitaremos acceso fisico al equipo y
el
E.R.D Commander, este un programa con el que podremos acceder
desde cd-rom a nuestro sistema y modificar el fichero que hemos
mencionado con anterioridad (al final de este texto extendere un poco la
informacion sobre esta aplicacion); seguro que si alguno conoce el ERD
salta diciendo y porque si usas este programa no cambias el pass del
Admin directamente y te dejas de tantas tonterias?, es cierto podriamos
cambiar el password del Admin con este software, pero la idea es
aprender un metodo con el cual no te haces notar.
1. Configuramos la BIOS para que arranque desde CD-Rom.
2. Metemos nuestro cd del E.R.D Commander(yo he utilizado el 2002 sin problemas).
3. Accedemos a nuestro sistema con el Commander y nos vamos a Mycomputer
C:\Windows\system32 aqui buscamos el archivo sethc.exe y lo
renombramos, luego en la misma ruta marcamos cmd.exe, le damos a boton
derecho y le damos a copy to, le decimos que nos lo copie en c: (por
ejemplo), despues vamos a C: , buscamos el archivo cmd.exe y lo
renombramos a sethc.exe, marcamos el fichero, le damos a la opcion move
to y le indicamos la ruta c:\Windows\system32; por ultimo comprueba que
el archivo sethc este en dicha ruta.
4. Sal del E.R.D dando a start, logoff y luego reinicia el PC dandole a la opcion Reboot.
5. Enciende tu PC como harias siempre y en la pantalla de bienvenida(o
en la clasica de windows) le damos 5 veces a Shift(o mantenemos
pulsado bloq num 5 segundos) y se nos abrira una consola(como habiamos
dicho antes)
.
6. Ahora crearemos un usuario Admin, para ello introducimos el siguiente comando:
Net user Elusuarioquequieras /add /expires:never /passwordreq:no
Esto nos creara un usuario que en este caso se llamara Elusuarioquequieras, el cual nunca caduca y no requiere de password.
7. Para darle permisos de Admin al usuario que hemos creado (aunque es
muy provable que no lo veas en la pantalla de bienvenida), ejecutamos el
siguiente comando:
Net localgroup Administradores /add Elusuarioquequieras
8. Reiniciamos el PC y ahora si que veremos a nuestro nuevo usuario con permisos de Admin :OO!!
Protegerse de este fallo......
Para protegerse de este fallo de seguridad basta con ir a panel de
control, darle a vista clásica y entrar en opciones de accesibilidad,
en la pestaña teclado nos fijamos en el cuadro que pone StickyKeys y le
damos a configuracion, dentro de esta ventana desmarcamos la opcion
utilizar metodo abreviado, aceptamos y listo, luego nos toca repetir los
mismos pasos con Togglekeys y con Filterkeys (aunque esta ultima no
termina lanzando la consola desde la pantalla de bienvenida si lo hace
desde una cuenta limitada por lo que es mejor desactivar la funcion
abreviada para mayor seguridad).
Con esto evitariamos que un usuario ejecute el punto numero 5 de este
texto desde una cuenta limitada, pero no evitaremos la ejecucion del
mismo punto desde la pantalla de bienvenida, algo que tendría que haber
sido corregido hace bastante tiempo.
==============================================================
ERD Commander es una aplicacion destinada a la reparacion y recuperacion
de sistemas Windows NT,2000 y XP el cual nos permite el acceso a dichos
sistemas con permiso de administrador desde donde podremos solucionar
cualquier problema de arranque del sistema, conflictos de controladores,
eliminar programas o archivos maliciosos, etc y todo esto arrancando
desde cd-rom (tambien puede ser instalado en el disco duro pero es
conveniente tenerlo en CD) lo que nos permitira un mejor analisis de
nuestro sistema y posterior solucion.
Estos datos son referentes al ERD Commander 2002, hoy en dia existe la version 2005 que tambien soporta sistemas 2003 server.