Microsoft et les clés de registre trop permissives

Date :12 Juillet 2005

Publication: Article

En mars et avril dernier, Microsoft avait élaboré un outil permettant de restreindre les permissions sur des clés de registre trop permissives sous Windows NT 4.0 (Cf partie " Informations intéressantes " des bulletins n°30 et 31 du CERT-IST).

Ce mois-ci, Microsoft a amélioré son outil permettant de sécuriser 4 nouvelles clés de registres permissives concernant 3 services de Windows NT 4.0 :

  • Servie SNMP (Simple Network Management Protocol)
  • Service RAS (Remote Access Service)
  • Servie MTS (Microsoft Transaction Server)

Il est à noter que ces 3 services ne sont pas installés par défaut sur le système.

  • Clés PermittedManagers et ValidCommunities du service SNMP :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters

Lorsque le service d'administration réseau SNMP est configuré sur un système Windows NT 4.0, les clé de registres associées sont créés avec des permissions insuffisamment restrictives (clés PermittedManagers et ValidCommunities).

Ainsi, un utilisateur local (ou distant si la base de registres est accessible à distance) peut lire le nom de la communauté SNMP et les adresses IP des machine pouvant administrer la communauté. Cela permet alors à cet utilisateur, suivant les droits associés à cette communauté (lecture ou lecture/écriture), de lire ou modifier des informations sur les différents équipements faisant partie de cette communauté, mais également de les reconfigurer ou les stopper.

Le service SNMP est généralement utilisé sur des équipements critiques où le nombre de comptes utilisateurs est très restreint.

On peut noter que le protocole SNMP version 1 est un protocole non sûr par défaut et qu'en installant un analyseur de trafic sur le réseau , un utilisateur peut obtenir les mêmes informations que celles citées ci-dessus.

 

  • Clé RAS Administration du service RAS :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS

L'accès RAS permet à des utilisateurs de venir se connecter directement sur la machine via un modem et une ligne téléphonique.

Lors de l'installation de ce service, une clé de registre permettant d'introduire un logiciel tiers à l'accès RAS est créé avec des permissions non sûres (clé RAS Administration).

Ainsi, un utilisateur local (ou distant si la base de registres est accessible à distance) peut modifier la valeur de cette clé afin de la faire pointer sur un cheval de Troie qui sera exécuté avec les privilèges système.

Le service RAS est généralement utilisé sur des équipements critiques où le nombre des comptes utilisateurs pouvant ouvrir une session sur le système est très restreint.

 

  • Clé MTS Package Administration du service MTS :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Transaction Server\Packages

Microsoft Transaction Server est un système permettant de gérer des applications réseaux transactionnelles.

Lors de l'installation de ce service, une clé de registre est créé avec des permissions non sûres (clé MTS Package Administration).

Elle permet alors à un utilisateur local (ou distant si la base de registres est accessible à distance) de modifier la configuration du service MTS.

 

L'outil corrigeant les faiblesses de ces clés de registre est disponible à l'adresse suivante : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24501

Bulletin MS00-095 : http://www.microsoft.com/technet/security/bulletin/MS00-095.asp

Bulletin MS00-096 : http://www.microsoft.com/technet/security/bulletin/MS00-096.asp