En su línea habitual, Microsoft afirma que Windows Server 2008 (que -por cierto- acaba de ser adoptado por MySpace) es el servidor Windows más seguro que nunca ha creado, pero -como también viene siendo habitual- no todo el mundo parece estar de acuerdo.

Así César Cerrudo, fundador y CEO de la empresa argentina Argeniss, afirma haber encontrado algunas debilidades que convertirían en inútiles las mejoras de seguridad de Windows Server 2008.

Para Cerrudo, se trata de problemas de diseño que no fueron identificados por los ingenieros de Microsoft durante el Security Development Lifecycle (SDL) y que permiten que cuentas utilizadas normalmente por servicios Windows puedan utilizarse para una escalada de privilegios que permita el control total del sistema operativo…

Microsoft ha manifestado estar al corriente de los trabajos de Cerrudo, pero no reconoce en ellos ninguna nueva vulnerabilidad, sino que afirma que sólo describen cuestiones de diseño, ya que las cuentas que señala Cerrudo (NetworkService y LocalService) deben ser consideradas al mismo nivel que la de Administrador, sin que Cerrudo describa cómo un atacante podría hacerse con el control de las mismas.

Al parecer Microsoft invitó a Cerrudo a demostrar sus afirmaciones en Blue Hat, pero el investigador (que planea explicar los detalles en HITBSecConf2008 el próximo 17 de Abril) alegó “problemas de agenda” para rechazar la invitación.

Referencias | Windows Server 2008 security not as advertised, says researcher.

Vía| kriptopolis