Comparticiones Administrativas en sistemas WindowsNT/2000/XP/2003
Para facilitar su administración, los sistemas Windows NT 4.0, Windows 2000, Windows XP pro y Windows 2003 crean automáticamente comparticiones administrativas ocultas de las unidades lógicas del sistema. Sin embargo, como el sistema crea por defecto las comparticiones, estas son de dominio público, lo cual las convierte en un destino fácil para atacantes.
Las comparticiones que se crean en los sistemas anteriores son las siguientes:
- C$, D$, E$ : Raíz de cada partición en el disco.
- ADMIN$ : Carpeta raíz del sistema (%SYSTEMROOT%). Se trata de la carpeta de Windows, y el recurso compartido administrativo proporciona a los administradores fácil acceso a la jerarquía de carpetas de la raíz del sistema a través de la red.
- FAX$ : Lo utilizan los clientes de fax en el proceso de enviar un fax. Almacena en caché los archivos y tiene acceso a las portadas almacenadas en el servidor de archivos.
- IPC$ : Se utiliza en las conexiones temporales entre clientes y servidores mediante canalizaciones con nombre que permiten la comunicación entre programas de red. Se utiliza principalmente para la administración remota de servidores de red.
- PRINT$ : Se utiliza para la administración remota de impresoras.
En los últimos meses han proliferado la presencia de troyanos de acceso remoto, que aprovechan estos agujeros de seguridad en los sistemas indicados, para entrar en los mismos y provocar la descarga de otros componentes víricos, gusanos o troyanos. Algunos de estos troyanos son el w32/Graps.worm, BAT/Mumu.worm, w32/Sluter.worm, w32/Sdbot.worm, etc..
El problema con las comparticiones administrativas, es que aunque se borren no son realmente eliminadas. El borrado de una compartición administrativa es sólo temporal; la compartición vuelve a aparecer después del siguiente reinicio del sistema. Además no es posible configurar permisos en comparticiones administrativas.
Microsoft, describe en el siguiente artículo http://support.microsoft.com/?kbid=314984 un método para incluir una clave en el registro del sistema, que impida la creación de dichas comparticiones al reinicio del sistema. Sin embargo, este método no impide que vuelva a generarse IPC$, la cual es utilizada a menudo por los hackers para enumerar sistemas antes de realizar un ataque, ya que es posible extraer una gran cantidad de información sobre la red, incluso utilizando una cuenta anónima.
Como solución, proponemos generar un fichero bat, que incluya las siguientes instrucciones (no copiar las líneas punteadas) y guardarlo en la carpeta de inicio de Windows, o bien lanzarlo vía logon script:
—— Inicio del fichero .bat ——–
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share ipc$ /delete
net share admin$ /delete
—— Fin del fichero .bat ——–
De este modo, cada vez que arranque el equipo se eliminarán las comparticiones administrativas habitualmente utilizadas por virus (generalmente, c$, d$, e$, ipc$ y admin$).
Nota importante: Según se indica en el artículo de Microsoft arriba referenciado (http://support.microsoft.com/?kbid=314984), algunos servicios de Windows dependen de la existencia de algunos recursos compartidos administrativos. Asimismo, algunos programas de terceros (p.e. ciertos programas de copia de seguridad) pueden requerir la existencia de algunos recursos compartidos.
SATINFO, VIRUSCAN SPAIN SERVICE 11 de Diciembre 2003