Two comments/questions: 1. On laptops, setting the BIOS password can also be used to have the disk controller perform disk encryption. I don't know how strong it REALLY is, but at least with IBM laptops, you can send the hard disk out to some outfit and for $100 they will return it to you unlocked in a couple of weeks. That does raise the bar a little. 2. On XP, and Win2K also, if you use EFS (Encrypting File System) the OS will decrypt the files for users with access to the keys. Does this vulnerability hit the system at a level where having the Administrator password means you also get the EFS password? 3. (so I can't count) I run a product that encrypts the disk below the OS. That should help a little with this vulnerability, though I'm sure there are many others that it won't protect me from. -JR > FYI, > > BTW question: they recommend to have a strong BIOS password as > countermeasure, but is not just possible to put a new BIOS in or reset > it to bypass this feature??? > > WEN > > > ---------------------------------------------------------------------- > -- > 'Information is the currency of victory on the battlefield.' > GEN Gordon Sullivan, CSA (1993) > ------------------------------------------------------------------------ > > Wanja Eric Naef > Principal Researcher > IWS - The Information Warfare Site > http://www.iwar.org.uk > > ---------------------------------------------------------------------- > -- > Join the IWS Infocon Mailing List @ > http://www.iwar.org.uk/general/mailinglist.htm > ------------------------------------------------------------------------ > > > > La version française suit > > THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY > PREPAREDNESS > > ***************** > ADVISORY > ***************** > > Number: AV03-008 > Date: 17 February 2003 > > ******************************************* > Microsoft Windows XP Password Vulnerability > ******************************************* > > PURPOSE > This advisory brings attention to a report of a password vulnerability > associated with Microsoft Windows XP operating system. > > ASSESSMENT > Password security can be bypassed on a Microsoft Windows XP system by > booting up with a Microsoft Windows 2000 CD and running the Windows > 2000 Recovery Console. This will allow an user to gain Administrator > level read, write, and execute privileges on the Microsoft Windows XP > system. It does > not appear this vulnerability can be exploited by a remote attacker. > > SUGGESTED ACTION > It is recommended that organizations restrict physical access to > Microsoft Windows XP systems to essential personnel and disable > booting from a CD device in the system BIOS. A strong administrator > password should be used > to prevent unauthorized changes to the BIOS settings. > > For further details please refer to: > http://www.briansbuzz.com/w/030213/ > > > CONTACT US > For urgent matters or to report any incidents, please contact OCIPEP's > Emergency Operations Centre at: > > Phone: (613) 991-7000 > Fax: (613) 996-0995 > Secure Fax: (613) 991-7094 > Email: opscen@ocipep-bpiepc.gc.ca > > For general information, please contact OCIPEP's Communications > Division > at: > > Phone: (613) 944-4875 or 1-800-830-3118 > Fax: (613) 998-9589 > Email: communications@ocipep-bpiepc.gc.ca > Web Site: www.ocipep-bpiepc.gc.ca > > > NOTICE TO READERS > When the situation warrants, OCIPEP issues Advisories to communicate > information about potential, imminent or actual threats, > vulnerabilities or incidents > assessed > by OCIPEP as limited in scope but having possible impact on the > Government > of Canada > or other sectors of Canada's critical infrastructure. Recipients are > encouraged to > consider the real or possible impact on their organization of the > information > presented in the Advisory, and to take appropriate action. > > The information in this OCIPEP Advisory has been drawn from a from a > variety of > external sources. Although OCIPEP makes reasonable efforts to ensure the > accuracy, > currency and reliability of the content, OCIPEP does not offer any > guarantee > in that > regard. > > Unauthorized use of computer systems and mischief in relation to data > are serious > Criminal Code offences in Canada. Upon conviction of an indictable > offence, > an > individual is liable to imprisonment for a term not to exceed ten years. > Any > > suspected criminal activity should be reported to local law > enforcement organizations. The RCMP National Operations Centre (NOC) > provides a 24/7 service to receive > such > reports or to redirect callers to local law enforcement organizations. > The > NOC can be > reached at (613) 993-4460. National security concerns should be reported > to > the > Canadian Security Intelligence Service (CSIS). > > ================================================== > > > LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA > PROTECTION CIVILE > > ************************ > AVIS DE SÉCURITÉ > ************************ > > Numéro: AV03-008 > Date: 17 Février 2003 > > ********************************************************************** > ** > **** > ********* > Vulnérabilité du mot de passe rattaché au système d'exploitation > Microsoft > Windows XP > ************************************************************************ > **** > ********* > > BUT > Cet avis attire votre attention sur un rapport au sujet de la > vulnérabilité du mot de passe rattaché au système d'exploitation > Windows XP. > > ÉVALUATION > La sécurité par mot de passe peut être contournée sur un système > Microsoft Windows XP en initialisant par l'entremise d'un CD Microsoft > Windows 2000 et > en opérant le Windows 2000 Recovery Console. Ceci permettra à un usager > d'obtenir les privilèges d'accès lecture-écriture-exécution du niveau > d'administrateur sur le système Microsoft Windows XP. Il ne semble pas > que > cette vulnérabilité puisse être exploitée à distance par un utilisateur > malveillant. > > MESURE PROPOSÉE > Nous recommandons que les organisations restreignent l'accès physique > aux systèmes Microsoft Windows XP aux personnes essentielles et > désactivent l'initialisation à partir d'un appareil CD dans le système > BIOS. Un mot de > passe fort de l'administrateur devrait être utilisé pour empêcher des > changements non autorisés aux paramètres BIOS. > > Pour de plus amples renseignements, veuillez vous reporter au site > suivant : http://www.briansbuzz.com/w/030213/ > > > COMMENT COMMUNIQUER AVEC NOUS > En cas de questions urgentes, ou pour signaler des incidents, veuillez > communiquer avec le Centre des opérations d'urgence du BPIEPC au : > > Téléphone : (613) 991-7000 > Télécopieur : (613) 996-0995 > Télécopieur sécuritaire : (613) 991-7094 > Courriel : opscen@bpiepc-ocipep.gc.ca > > Pour obtenir des renseignements généraux, veuillez communiquer avec la > Division des communications du BPIEPC au : > > Téléphone : (613) 944-4875 ou 1-800-830-3118 > Télécopieur : (613) 998-9589 > Courriel : communications@bpiepc-ocipep.gc.ca > Site Web : www.bpiepc-ocipep.gc.ca > > > AVIS AUX DESTINATAIRES > Les avis de sécurité émis par le BPIEPC visent à renseigner les > destinataires au sujet de menaces possibles, imminentes, ou réelles, > de vulnérabilités ou d'incidents, > évalués par le BPIEPC comme étant d'une portée limitée, mais ayant des > répercussions > possibles sur le gouvernement du Canada ou sur certains secteurs des > infrastructures > essentielles. Les avis de sécurité peuvent contenir des renseignements > et > des analyses > non disponibles dans le domaine public. Les destinataires sont priés > d'examiner les > répercussions réelles et possibles des renseignements présentés sur > leurs > organisations > et de prendre les mesures nécessaires. > > Les renseignements présentés dans les avis de sécurité du BPIEPC sont > tirés d'un > éventail de sources. Bien que le BPIEPC déploie des efforts > raisonnables > afin de > s'assurer de l'exactitude, de l'actualité et de la fiabilité du contenu > des > avis > de sécurité, il ne peut offrir aucune garantie à cet égard. > > L'utilisation non autorisée des systèmes informatiques et les dommages > relatifs aux données constituent une faute grave au Code criminel > canadien. Si une personne est > trouvée coupable d'une telle faute, elle est passible d'emprisonnement > pour > une période > n'excédant pas dix ans. Toute activité criminelle présumée doit être > signalée > immédiatement à un organisme d'application de la loi local. Le Centre > national des > opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur > 24, > pour > recevoir de tels rapports ou pour réacheminer les appels aux organismes > locaux > d'application de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. > Les > > préoccupations portant sur la sécurité nationale doivent être > signalées au Service > canadien du renseignement de sécurité (SCRS). > > >
This archive was generated by hypermail 2b30 : Mon Feb 17 2003 - 18:21:36 PST