Re: CRIME OCIPEP AV03-008 - Microsoft Windows XP Password Vulnerability

From: Jacob Redding (dextor@private)
Date: Mon Feb 17 2003 - 16:22:09 PST

  • Next message: Seth Arnold: "Re: CRIME OCIPEP AV03-008 - Microsoft Windows XP Password Vulnerability"

    <rant>
       I have to ask the question. HOW is this a vulnerability. This is
    Common,
    very very very very common. Come'on I can boot with a Linux boot disk and
    access your files, I can boot with winternals and gain access to your
    disk AND reset your password.
      And a bios password? whatever, have these people never heard of a
    jumper? or pulling the battery, or just simply replacing the bios. Heck if
    push comes to shove I'll just take the drive and put it in my linux box,
    dd it and put it back in your box. You'd be none the wiser.
    
      Yes I'm cynical, but sheesh-us are we so paranoid lately that we
    freak-out on the obvious?
    
    And for my suggestions actions.
    1.) Restrict access to the box
    2.) use syskey to tighten your locally stored passwords
    3.) if its a personal box use pgp or XPs EFS, (i prefer pgp)
    4.) Dell server have a nifty (kinda chinsy but better than nothing) front
    cover for their rack server, use it, lock it and keep the screw tight.
    Thus making the person work for it.
    5.) Restrict access to the box.
    
      I'm sorry I still fail to see how this warrants a "security warning", to
    me its synonymous with "If a burglar is in your house he/she may be able
    to steal your stuff"!! well duh..
    
      </rant>
      Note: The above was not an attack on the poster to the CRIME list, but
    rather to "THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY
     PREPAREDNESS"
    
      Sorry to have bothered you all with my ramblings...
    
    -Jacob
    
    
    On Mon, 17 Feb 2003, Wanja Eric Naef [IWS] wrote:
    
    > FYI,
    >
    > BTW question: they recommend to have a strong BIOS password as
    > countermeasure, but is not just possible to put a new BIOS in or reset
    > it to bypass this feature???
    >
    > WEN
    >
    >
    > ------------------------------------------------------------------------
    > ‘Information is the currency of victory on the battlefield.’
    > GEN Gordon Sullivan, CSA (1993)
    > ------------------------------------------------------------------------
    >
    > Wanja Eric Naef
    > Principal Researcher
    > IWS - The Information Warfare Site
    > http://www.iwar.org.uk
    >
    > ------------------------------------------------------------------------
    > Join the IWS Infocon Mailing List @
    > http://www.iwar.org.uk/general/mailinglist.htm
    > ------------------------------------------------------------------------
    >
    >
    >
    > La version française suit
    >
    > THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY
    > PREPAREDNESS
    >
    > *****************
    > ADVISORY
    > *****************
    >
    > Number: AV03-008
    > Date:   17 February 2003
    >
    > *******************************************
    > Microsoft Windows XP Password Vulnerability
    > *******************************************
    >
    > PURPOSE
    > This advisory brings attention to a report of a password vulnerability
    > associated with Microsoft Windows XP operating system.
    >
    > ASSESSMENT
    > Password security can be bypassed on a Microsoft Windows XP system by
    > booting up with a Microsoft Windows 2000 CD and running the Windows 2000
    > Recovery Console.  This will allow an user to gain Administrator level
    > read,
    > write, and execute privileges on the Microsoft Windows XP system.  It
    > does
    > not appear this vulnerability can be exploited by a remote attacker.
    >
    > SUGGESTED ACTION
    > It is recommended that organizations restrict physical access to
    > Microsoft
    > Windows XP systems to essential personnel and disable booting from a CD
    > device in the system BIOS.  A strong administrator password should be
    > used
    > to prevent unauthorized changes to the BIOS settings.
    >
    > For further details please refer to: http://www.briansbuzz.com/w/030213/
    >
    >
    > CONTACT US
    > For urgent matters or to report any incidents, please contact OCIPEP's
    > Emergency
    > Operations Centre at:
    >
    > Phone:      (613) 991-7000
    > Fax:        (613) 996-0995
    > Secure Fax: (613) 991-7094
    > Email:      opscen@ocipep-bpiepc.gc.ca
    >
    > For general information, please contact OCIPEP's Communications Division
    > at:
    >
    > Phone:     (613) 944-4875 or 1-800-830-3118
    > Fax:       (613) 998-9589
    > Email:     communications@ocipep-bpiepc.gc.ca
    > Web Site:  www.ocipep-bpiepc.gc.ca
    >
    >
    > NOTICE TO READERS
    > When the situation warrants, OCIPEP issues Advisories to communicate
    > information
    > about potential, imminent or actual threats, vulnerabilities or
    > incidents
    > assessed
    > by OCIPEP as limited in scope but having possible impact on the
    > Government
    > of Canada
    > or other sectors of Canada's critical infrastructure. Recipients are
    > encouraged to
    > consider the real or possible impact on their organization of the
    > information
    > presented in the Advisory, and to take appropriate action.
    >
    > The information in this OCIPEP Advisory has been drawn from a from a
    > variety
    > of
    > external sources. Although OCIPEP makes reasonable efforts to ensure the
    > accuracy,
    > currency and reliability of the content, OCIPEP does not offer any
    > guarantee
    > in that
    > regard.
    >
    > Unauthorized use of computer systems and mischief in relation to data
    > are
    > serious
    > Criminal Code offences in Canada. Upon conviction of an indictable
    > offence,
    > an
    > individual is liable to imprisonment for a term not to exceed ten years.
    > Any
    >
    > suspected criminal activity should be reported to local law enforcement
    > organizations.
    > The RCMP National Operations Centre (NOC) provides a 24/7 service to
    > receive
    > such
    > reports or to redirect callers to local law enforcement organizations.
    > The
    > NOC can be
    > reached at (613) 993-4460. National security concerns should be reported
    > to
    > the
    > Canadian Security Intelligence Service (CSIS).
    >
    > ==================================================
    >
    >
    > LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA
    > PROTECTION CIVILE
    >
    > ************************
    > AVIS DE SÉCURITÉ
    > ************************
    >
    > Numéro: AV03-008
    > Date:   17 Février 2003
    >
    > ************************************************************************
    > ****
    > *********
    > Vulnérabilité du mot de passe rattaché au système d'exploitation
    > Microsoft
    > Windows XP
    > ************************************************************************
    > ****
    > *********
    >
    > BUT
    > Cet avis attire votre attention sur un rapport au sujet de la
    > vulnérabilité
    > du mot de passe rattaché au système d'exploitation Windows XP.
    >
    > ÉVALUATION
    > La sécurité par mot de passe peut être contournée sur un système
    > Microsoft
    > Windows XP en initialisant par l'entremise d'un CD Microsoft Windows
    > 2000 et
    > en opérant le Windows 2000 Recovery Console. Ceci permettra à un usager
    > d'obtenir les privilèges d'accès lecture-écriture-exécution du niveau
    > d'administrateur sur le système Microsoft Windows XP. Il ne semble pas
    > que
    > cette vulnérabilité puisse être exploitée à distance par un utilisateur
    > malveillant.
    >
    > MESURE PROPOSÉE
    > Nous recommandons que les organisations restreignent l'accès physique
    > aux
    > systèmes Microsoft Windows XP aux personnes essentielles et désactivent
    > l'initialisation à partir d'un appareil CD dans le système BIOS. Un mot
    > de
    > passe fort de l'administrateur devrait être utilisé pour empêcher des
    > changements non autorisés aux paramètres BIOS.
    >
    > Pour de plus amples renseignements, veuillez vous reporter au site
    > suivant :
    > http://www.briansbuzz.com/w/030213/
    >
    >
    > COMMENT COMMUNIQUER AVEC NOUS
    > En cas de questions urgentes, ou pour signaler des incidents, veuillez
    > communiquer
    > avec le Centre des opérations d'urgence du BPIEPC au :
    >
    > Téléphone :    (613) 991-7000
    > Télécopieur :  (613) 996-0995
    > Télécopieur sécuritaire : (613) 991-7094
    > Courriel :     opscen@bpiepc-ocipep.gc.ca
    >
    > Pour obtenir des renseignements généraux, veuillez communiquer avec la
    > Division des
    > communications du BPIEPC au :
    >
    > Téléphone :    (613) 944-4875 ou 1-800-830-3118
    > Télécopieur :  (613) 998-9589
    > Courriel :     communications@bpiepc-ocipep.gc.ca
    > Site Web :     www.bpiepc-ocipep.gc.ca
    >
    >
    > AVIS AUX DESTINATAIRES
    > Les avis de sécurité émis par le BPIEPC visent à renseigner les
    > destinataires au
    > sujet de menaces possibles, imminentes, ou réelles, de vulnérabilités ou
    > d'incidents,
    > évalués par le BPIEPC comme étant d'une portée limitée, mais ayant des
    > répercussions
    > possibles sur le gouvernement du Canada ou sur certains secteurs des
    > infrastructures
    > essentielles. Les avis de sécurité peuvent contenir des renseignements
    > et
    > des analyses
    > non disponibles dans le domaine public. Les destinataires sont priés
    > d'examiner les
    > répercussions réelles et possibles des renseignements présentés sur
    > leurs
    > organisations
    > et de prendre les mesures nécessaires.
    >
    > Les renseignements présentés dans les avis de sécurité du BPIEPC sont
    > tirés
    > d'un
    > éventail de sources.  Bien que le BPIEPC déploie des efforts
    > raisonnables
    > afin de
    > s'assurer de l'exactitude, de l'actualité et de la fiabilité du contenu
    > des
    > avis
    > de sécurité, il ne peut offrir aucune garantie à cet égard.
    >
    > L'utilisation non autorisée des systèmes informatiques et les dommages
    > relatifs aux
    > données constituent une faute grave au Code criminel canadien. Si une
    > personne est
    > trouvée coupable d'une telle faute, elle est passible d'emprisonnement
    > pour
    > une période
    > n'excédant pas dix ans. Toute activité criminelle présumée doit être
    > signalée
    > immédiatement à un organisme d'application de la loi local. Le Centre
    > national des
    > opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur
    > 24,
    > pour
    > recevoir de tels rapports ou pour réacheminer les appels aux organismes
    > locaux
    > d'application de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460.
    > Les
    >
    > préoccupations portant sur la sécurité nationale doivent être signalées
    > au
    > Service
    > canadien du renseignement de sécurité (SCRS).
    >
    >
    >
    



    This archive was generated by hypermail 2b30 : Mon Feb 17 2003 - 16:51:04 PST