Todos os grupos Controle total do arquivo HOSTS

1

Estou no processo de documentar como instalar uma nova solução de acesso remoto na nossa base de usuários (nosso pequeno número concedido). Durante a instalação do cliente no XP, o programa pede para ter acesso ao arquivo hosts. Isso está bem por mim até agora. O problema é que ele não é concedido apenas a um administrador ou usuário único, mas ao Grupo \ Todos. Após a reinicialização, executei um teste de Permissões Efetivas no arquivo de hosts para a conta Convidado e baixo e eis que agora tem Controle total do arquivo de hosts.

Meu gerente não acha que isso seja excessivamente preocupante, pois não foi listado como uma vulnerabilidade para o produto que estamos usando. Eu sou um pouco mais cauteloso sobre isso, especialmente quando pedimos aos usuários que façam isso em seus PCs domésticos.

O fato de ter o grupo \ Todos com controle total para os hosts gera uma falha de segurança extremamente preocupante?

    
por Tim Alexander 17.02.2010 / 17:31

2 respostas

2

Eu ficaria preocupado. Você está agora dando permissão para que qualquer coisa mude o DNS. Por que isso é preocupante?

  • Quando o Windows se conecta à Microsoft, ele faz pesquisas de nome por meio do servidor de atualizações. Como isso acha isso? Através de pesquisas de nomes. O Windows irá então executar qualquer código recuperado deste servidor. Eu não sei que tipo de verificações de segurança o Windows executa nelas, então isso pode ser negado.
  • Quando você vai às compras, conecta-se a um servidor. O que acontece se o servidor e o servidor de certificado forem redirecionados para servidores de escolha de um invasor? Eu não sei como os certificados funcionam, então isso também pode ser negado.

Mas, mesmo se ambos forem negados, o que acontece se o invasor puder convencer o usuário a ignorar as verificações de segurança?

    
por 17.02.2010 / 17:53
0

Hmmm. Por um lado, obviamente sim, é um problema.

Por outro lado, existem muitas explorações de segurança do XP que se instalam como sistema local, até hoje (eu tenho tido um surto recente de infecções do Vundo, que parecem estar vindo de páginas da Web exploradas; A corporação da Symantec não está ajudando muito também. As chances são de que qualquer coisa que atinja sua máquina seja capaz de obter acesso ao arquivo Hosts, independentemente de como as permissões estão definidas.

Meh. Eu não me importo, eu mesmo. Não é possível confiar em um desktop para não ser explorado; você tem que planejar sua segurança acima dela.

    
por 17.02.2010 / 17:42

Tags