kad.

Jorge Gallegos' blog.

Ah, the irony


  • Thu 11 May 2006
  • work

En mi trabajo, frecuentemente hacen ''vulnerability scans'' para revisar que todas las máquinas se encuentren con los últimos parches.

Las búsquedas se hacen indiscriminadamente en todo el segmento de red, de esa manera se registran tanto los windows, los linux, los solaris...

Un amigo de mi anterior proyecto, me platicó algo ocurrido con uno de sus servidores (un redhat 9.0, actualizado por [fedora legacy](http://fedoralegacy.org)):

* Oye que crees, que el servidor $SERVER salió vulnerable

* Tsss, pues a parcharlo

* No puedo

* Que? como que no puedes? no sabes?

* No, simplemente no puedo, es imposible

Y entonces me envió el análisis de la búsqueda:

====Registry access unrestricted from network (winreg)====

===Risk Level:===

High

===Platforms:===

Windows: XP, Windows 2003: Server, Windows 2000: Any version, Windows NT: Any version

===Description:===

This check has determined that the SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg key is not present. This key controls remote access to the registry. If the everyone group is not allowed access, null session access to the registry can be prevented. This vulnerability can allow non-authenticated users to write registry keys, and if this key is not present, remote access to the registry is not controlled.

Sobra decir, es un falso positivo, pero aun asi me rei por un buen rato :-)