CERTA-2008-ALE-012

Vulnerability from certfr_alerte - Published: - Updated:

Une vulnérabilité dans Microsoft Windows permet à un utilisateur malintentionné d'élever ses privilèges à ceux de LocalSystem.

Description

Une vulnérabilité dans Microsoft Windows permet à un utilisateur malveillant, authentifié sur le système avec le compte NetworkService ou LocalService, d'élever ses privilèges au moyen d'un code exécutable malveillant.

Le service Internet Information Services (IIS) ou encore SQL Server permettent à un utilisateur d'accéder au système avec les comptes lui permettant d'exploiter la vulnérabilité décrite. Cependant, Microsoft annonce que tout service bénéficiant des privilèges SeImpersonatePrivilege peut être vulnérable et être utilisé par un individu malintentionné pour élever ses privilèges sur le système.

Cette vulnérabilité implique que l'utilisateur malveillant puisse télécharger et exécuter sur le serveur vulnérable un fichier exécutable malveillant.

Le savoir-faire nécessaire pour exploiter cette vulnérabilité est disponible sur l'Internet et peut être modifié par un utilisateur malveillant afin d'élever ses privilèges au travers d'autres services qu'Internet Information Services ou SQL Server.

Contournement provisoire

Microsoft propose trois contournements provisoires pour le service Internet Information Service version 6.0 et 7.0 à l'adresse suivante :

http://www.microsoft.com/technet/security/advisory/951306.mspx

Le CERTA recommande les actions suivantes :

  • interdire l'exécution de programme tiers par les services vulnérables accessibles depuis une zone non-sûre ;
  • interdire le téléchargement de fichiers distants sur le serveur ;
  • vérifier le contenu des fichiers téléchargés sur le serveur ;
  • autoriser l'accès au serveur uniquement aux utilisateurs de confiance.

Solution

Se référer au bulletin de sécurité MS09-012 de Microsoft pour l'obtention des correctifs (cf. section Documentation). Ce dernier est présenté dans l'avis CERTA-2009-AVI-142 du 15 avril 2009.

None
Impacted products
Vendor Product Description
Microsoft Windows Microsoft Windows Server 2008 32-bit, x64 et système Itanium.
Microsoft Windows Microsoft Windows Server 2003 x64 Edition et x64 Edition Service Pack 2 ;
Microsoft Windows Microsoft Windows Vista x64 Edition et Service Pack 1 ;
Microsoft Windows Microsoft Windows Vista et Service Pack 1 ;
Microsoft Windows Microsoft Windows XP Service Pack 2 et Service Pack 3 ;
Microsoft Windows Microsoft Windows Server 2003 Service Pack 1 et Service Pack 2 ;
Microsoft Windows Microsoft Windows Server 2003 Service Pack 1 et Service Pack 2 pour système Itanium ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Windows Server 2008 32-bit, x64 et syst\u00e8me Itanium.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows Server 2003 x64 Edition et x64 Edition Service Pack 2 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows Vista x64 Edition et Service Pack 1 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows Vista et Service Pack 1 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows XP Service Pack 2 et Service Pack 3 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows Server 2003 Service Pack 1 et Service Pack 2 ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Windows Server 2003 Service Pack 1 et Service Pack 2 pour syst\u00e8me Itanium ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2009-04-15",
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 dans Microsoft Windows permet \u00e0 un utilisateur\nmalveillant, authentifi\u00e9 sur le syst\u00e8me avec le compte NetworkService ou\nLocalService, d\u0027\u00e9lever ses privil\u00e8ges au moyen d\u0027un code ex\u00e9cutable\nmalveillant.\n\nLe service Internet Information Services (IIS) ou encore SQL Server\npermettent \u00e0 un utilisateur d\u0027acc\u00e9der au syst\u00e8me avec les comptes lui\npermettant d\u0027exploiter la vuln\u00e9rabilit\u00e9 d\u00e9crite. Cependant, Microsoft\nannonce que tout service b\u00e9n\u00e9ficiant des privil\u00e8ges\nSeImpersonatePrivilege peut \u00eatre vuln\u00e9rable et \u00eatre utilis\u00e9 par un\nindividu malintentionn\u00e9 pour \u00e9lever ses privil\u00e8ges sur le syst\u00e8me.\n\nCette vuln\u00e9rabilit\u00e9 implique que l\u0027utilisateur malveillant puisse\nt\u00e9l\u00e9charger et ex\u00e9cuter sur le serveur vuln\u00e9rable un fichier ex\u00e9cutable\nmalveillant.\n\nLe savoir-faire n\u00e9cessaire pour exploiter cette vuln\u00e9rabilit\u00e9 est\ndisponible sur l\u0027Internet et peut \u00eatre modifi\u00e9 par un utilisateur\nmalveillant afin d\u0027\u00e9lever ses privil\u00e8ges au travers d\u0027autres services\nqu\u0027Internet Information Services ou SQL Server.\n\n## Contournement provisoire\n\nMicrosoft propose trois contournements provisoires pour le service\nInternet Information Service version 6.0 et 7.0 \u00e0 l\u0027adresse suivante :\n\n    http://www.microsoft.com/technet/security/advisory/951306.mspx\n\nLe CERTA recommande les actions suivantes :\n\n-   interdire l\u0027ex\u00e9cution de programme tiers par les services\n    vuln\u00e9rables accessibles depuis une zone non-s\u00fbre ;\n-   interdire le t\u00e9l\u00e9chargement de fichiers distants sur le serveur ;\n-   v\u00e9rifier le contenu des fichiers t\u00e9l\u00e9charg\u00e9s sur le serveur ;\n-   autoriser l\u0027acc\u00e8s au serveur uniquement aux utilisateurs de\n    confiance.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 MS09-012 de Microsoft pour\nl\u0027obtention des correctifs (cf. section Documentation). Ce dernier est\npr\u00e9sent\u00e9 dans l\u0027avis CERTA-2009-AVI-142 du 15 avril 2009.\n",
  "cves": [
    {
      "name": "CVE-2008-1436",
      "url": "https://www.cve.org/CVERecord?id=CVE-2008-1436"
    }
  ],
  "links": [
    {
      "title": "Avis du CERTA CERTA-2009-AVI-142 du 15 avril 2009\u00a0:",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-142/"
    },
    {
      "title": "Bloc-note de Microsoft Security Response Center du 09    octobre 2008 :",
      "url": "http://blogs.technet.com/msrc/archive/2008/10/09/update-1-microsoft-security-advisory-951306.aspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS09-012 du 14 avril 2009 :",
      "url": "http://www.microsoft.com/technet/security/Bulletin/MS09-012.mspx"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft #951306 du 17 avril 2008 :",
      "url": "http://www.microsoft.com/technet/security/advisory/951306.mspx"
    },
    {
      "title": "R\u00e9f\u00e9rence CVE CVE-2008-1436 :",
      "url": "http://www.cve.mitre.org/cgi-bin/cvename=CVE-2008-1436"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS09-012 du 14 avril 2009 :",
      "url": "http://www.microsoft.com/france/technet/security/Bulletin/MS09-012.mspx"
    }
  ],
  "reference": "CERTA-2008-ALE-012",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2008-10-10T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences au bulletin de s\u00e9curit\u00e9 Microsoft MS09-012.",
      "revision_date": "2009-04-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "\u00c9l\u00e9vation de privil\u00e8ges"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 dans Microsoft Windows permet \u00e0 un utilisateur\nmalintentionn\u00e9 d\u0027\u00e9lever ses privil\u00e8ges \u00e0 ceux de LocalSystem.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bloc-note de Microsoft Security Response Center du 09 octobre 2008",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.