Comparticiones Administrativas en sistemas
WindowsNT/2000/XP/2003
Para facilitar su administración, los
sistemas Windows NT 4.0, Windows 2000, Windows XP pro y Windows 2003 crean
automáticamente comparticiones administrativas ocultas de las unidades lógicas del
sistema. Sin embargo, como el sistema crea por defecto las comparticiones, estas son de
dominio público, lo cual las convierte en un destino fácil para atacantes.
Las comparticiones que se crean en los
sistemas anteriores son las siguientes:
C$, D$, E$ : Raíz de cada partición
en el disco.
ADMIN$ : Carpeta raíz del sistema
(%SYSTEMROOT%). Se trata de la carpeta de Windows, y el recurso compartido administrativo
proporciona a los administradores fácil acceso a la jerarquía de carpetas de la raíz
del sistema a través de la red.
- FAX$ : Lo utilizan los clientes de fax en el
proceso de enviar un fax. Almacena en caché los archivos y tiene acceso a las portadas
almacenadas en el servidor de archivos.
- IPC$ : Se utiliza en las conexiones
temporales entre clientes y servidores mediante canalizaciones con nombre que permiten la
comunicación entre programas de red. Se utiliza principalmente para la administración
remota de servidores de red.
- PRINT$ : Se utiliza para la administración
remota de impresoras.
En los últimos meses han
proliferado la presencia de troyanos de acceso remoto, que aprovechan estos agujeros de
seguridad en los sistemas indicados, para entrar en los mismos y provocar la descarga de
otros componentes víricos, gusanos o troyanos. Algunos de estos troyanos son el w32/Graps.worm,
BAT/Mumu.worm, w32/Sluter.worm, w32/Sdbot.worm, etc..
El problema con las comparticiones
administrativas, es que aunque se borren no son realmente eliminadas. El borrado de una
compartición administrativa es sólo temporal; la compartición vuelve a aparecer
después del siguiente reinicio del sistema. Además no es posible configurar permisos en
comparticiones administrativas.
Microsoft, describe en el siguiente
artículo http://support.microsoft.com/?kbid=314984 un método para incluir una clave en el registro
del sistema, que impida la creación de dichas comparticiones al reinicio del sistema. Sin
embargo, este método no impide que vuelva a generarse IPC$, la cual es utilizada a menudo
por los hackers para enumerar sistemas antes de realizar un ataque, ya que es posible
extraer una gran cantidad de información sobre la red, incluso utilizando una cuenta
anónima.
Como solución, proponemos generar un fichero
bat, que incluya las siguientes instrucciones (no copiar las líneas punteadas) y
guardarlo en la carpeta de inicio de Windows, o bien lanzarlo vía logon script:
------ Inicio del fichero .bat --------
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share ipc$ /delete
net share admin$ /delete
------ Fin del fichero .bat --------
de este modo, cada vez que
arranque el equipo se eliminarán las comparticiones administrativas habitualmente
utilizadas por virus (generalmente, c$, d$, e$, ipc$ y admin$).
Nota importante: Según se
indica en el artículo de Microsoft arriba referenciado (http://support.microsoft.com/?kbid=314984), algunos servicios de Windows dependen de la
existencia de algunos recursos compartidos administrativos. Asimismo, algunos programas de
terceros (p.e. ciertos programas de copia de seguridad) pueden requerir la existencia de
algunos recursos compartidos.
SATINFO,
VIRUSCAN SPAIN SERVICE 11 de Diciembre 2003
Anterior 
