Windows XP: Escalada de privilegios

Como crear un usuario local teniendo acceso físico a una máquina con Windows XP y boot mediante CD o disquete habilitado:

Explicando la vulnerabilidad
Este tipo de ataque se llama, escalada de privilegios, pues te permite obtener acceso como Administrador a un equipo en el cual tenías derechos restringidos.
Resulta que por defecto Windows XP instala el software de ayuda y accesibilidad que se activa pulsando la tecla SHIFT 5 veces seguida. Si lo haces verás que aparece una ventana que te permite configurar la aplicación. El fichero que se ejecuta es sethc.exe ubicado en C:\WINDOWS\SYSTEM32. El ataque consiste en sustituir sethc.exe por cmd.exe (esto se puede hacer con un disco de arranque ntfsdos o con un LIVE CD de Knoppix) y así cuando pulsemos la tecla SHIFT 5 veces seguidas se nos abrirá la shell de comandos, desde la cual podemos hacer TODO lo que queramos con el equipo. La cosa está en pulsar 5 veces la tecla SHIFT antes de iniciar sesión, y se nos abrirá la shell con permisos de ADMINISTRADOR.

Ataque paso a paso
1. Necesitas acceso físico al equipo
2. Arranca el ordenador con un disco NTFSDOS o con una versión de Knoppix que permita lectura de discos NTFS. Yo he utilizado la 3.7 sin problemas
3. Una vez arranques con Knoppix dale con el botón derecho a las propiedades del disco /hda1 que es el de Windows. Desactiva el READ ONLY para que puedas escribir en él.
4. Haz clic con el botón izquierdo en el disco /hda1, entra en la carpeta /WINDOWS/SYSTEM32, borra o renombra el fichero sethc.exe y haz una copia de cmd.exe con el nombre sethc.exe. CMD.exe también se encuentra en /WINDOWS/SYSTEM32
5. Cierra el Knoppix
6. Reinicia el Windows XP
7. En la ventana de Login dale 5 veces al SHIFT y ¡¡¡PLAS!!! ahí tienes una shell de comandos lista para hackear
8. Lo más cómodo para usuarios no expertos en Shell es crearse un usuario con privilegios de administrador. Escribe en la shell: compmgmt.msc y dale a INTRO, se te abrirá el administrador de usuarios
9. Creáte un usuario con privilegios de administrador
10 Logéate en Windows XP con ese usuario y LISTO!! Ya estás dentro como Jefe del Equipo

Como proteger mi equipo de este ataque
Ni tan siquiera con los últimos parches instalados de Windows, un antivirus, un firewall... se podrá evitar este ataque. Es lo que tienen los agujeros, por mucho que te amuralles el agujero sino ha sido identificado como tal sigue ahí.
Para cerrar este agujero tan sólo tienes que desactivar la ayuda de ACCESIBILIDAD desde el panel de control.

Y de los comentarios de menéame:

Además, hace años que se conoce un truco idéntico que consiste en renombrar el archivo cmd.exe a logon.scr. En cuanto pasen unos segundos y se active el protector de pantalla, aparecerá la consola de comandos de Windows con el usuario SYSTEM.

(Vía menéame)