CERTA-2001-AVI-014

Vulnerability from certfr_avis - Published: - Updated:

Une vulnérabilité de l'agent NDDE (Network Dynamic Data Exchange) permet à un utilisateur mal intentionné d'élever ses privilèges et d'exécuter ainsi des commandes et des programmes auxquels il n'aurait normalement pas accès.

Description

NDDE est un service de Windows permettant le partage d'informations et de données d'applications entre plusieurs machines distantes.

Dans toutes les versions de Windows qui précédent Windows 2000, l'agent NDDE fonctionne avec les privilèges de l'utilisateur, ce qui limite les possibilités d'exécutions de commandes de ce dernier uniquement à celle qui lui sont autorisées. De plus si un partage de données est installé sur une machine, l'agent NDDE aura pour règles de sécurités celles qui s'appliquent à l'utilisateur local de cette machine.

Sous Windows 2000, cet agent fonctionne avec les privilèges du système (Local System). Une mauvaise gestion des limites d'action de NDDE permet à un utilisateur d'exécuter des commandes avec les privilèges du système. Si la machine victime est un serveur de domaine, il peut prendre possession du domaine entier.

Contournement provisoire

En règle générale, il ne faut pas laisser des utilisateurs sans privilège accéder localement à un serveur ou les autoriser à y exécuter du code à distance (rcmd, NDDE, etc.). Si cette règle est appliquée, elle limitera nettement les dégâts possibles de ce type de vulnérabilités.

Solution

Appliquer le correctif de Microsoft pour Windows 2000 présent à l'adresse suivante :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27526

Tout système Microsoft Windows connecté à Internet ou à un intranet comprenant des systèmes sous Windows 2000.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me Microsoft Windows connect\u00e9 \u00e0 Internet ou \u00e0 un  intranet comprenant des syst\u00e8mes sous Windows 2000.\u003c/P\u003e",
  "content": "## Description\n\nNDDE est un service de Windows permettant le partage d\u0027informations et\nde donn\u00e9es d\u0027applications entre plusieurs machines distantes.\n\nDans toutes les versions de Windows qui pr\u00e9c\u00e9dent Windows 2000, l\u0027agent\nNDDE fonctionne avec les privil\u00e8ges de l\u0027utilisateur, ce qui limite les\npossibilit\u00e9s d\u0027ex\u00e9cutions de commandes de ce dernier uniquement \u00e0 celle\nqui lui sont autoris\u00e9es. De plus si un partage de donn\u00e9es est install\u00e9\nsur une machine, l\u0027agent NDDE aura pour r\u00e8gles de s\u00e9curit\u00e9s celles qui\ns\u0027appliquent \u00e0 l\u0027utilisateur local de cette machine.\n\nSous Windows 2000, cet agent fonctionne avec les privil\u00e8ges du syst\u00e8me\n(Local System). Une mauvaise gestion des limites d\u0027action de NDDE permet\n\u00e0 un utilisateur d\u0027ex\u00e9cuter des commandes avec les privil\u00e8ges du\nsyst\u00e8me. Si la machine victime est un serveur de domaine, il peut\nprendre possession du domaine entier.\n\n## Contournement provisoire\n\nEn r\u00e8gle g\u00e9n\u00e9rale, il ne faut pas laisser des utilisateurs sans\nprivil\u00e8ge acc\u00e9der localement \u00e0 un serveur ou les autoriser \u00e0 y ex\u00e9cuter\ndu code \u00e0 distance (rcmd, NDDE, etc.). Si cette r\u00e8gle est appliqu\u00e9e,\nelle limitera nettement les d\u00e9g\u00e2ts possibles de ce type de\nvuln\u00e9rabilit\u00e9s.\n\n## Solution\n\nAppliquer le correctif de Microsoft pour Windows 2000 pr\u00e9sent \u00e0\nl\u0027adresse suivante :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27526\n",
  "cves": [],
  "links": [
    {
      "title": "La base de connaissances de Microsoft concernant NDDE :",
      "url": "http://support.microsoft.com/support/kb/articles/Q114/0/89.asp"
    },
    {
      "title": "L\u0027avis et la FAQ de Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/fq01-007.asp"
    },
    {
      "title": "L\u0027avis et la FAQ de Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms01-007.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-014",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-02-07T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 de l\u0027agent NDDE (\u003cspan class=\"textit\"\u003eNetwork Dynamic\nData Exchange\u003c/span\u003e) permet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027\u00e9lever\nses privil\u00e8ges et d\u0027ex\u00e9cuter ainsi des commandes et des programmes\nauxquels il n\u0027aurait normalement pas acc\u00e8s.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de l\u0027agent NDDE de Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "bulletin de s\u00e9curit\u00e9 Microsoft",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.