certfr_avis - certa-2000-avi-063

CERTA-2000-AVI-063

Vulnerability from certfr_avis - Published: - Updated:

Il existe des vulnérabilités dans Hyper Terminal, un composant de Windows proposé par défaut lors de son installation, et Netmeeting qui est un composant gratuit des systèmes Microsoft, permettant de faire de la visio-conférence et du travail à distance.

Description

Microsoft Netmeeting est un outil de visio-conférence dont la composante Shared Desktop permet à la maintenance de prendre la main à distance sur une machine.

Un utilisateur distant peut, en envoyant un certains type de paquets vers sa victime sur le port de communication de Netmeeting pendant que le logiciel fonctionne, faire monter la charge du processeur jusqu'au blocage du logiciel à la fin de son attaque.

Il se peut que le gestionnaire des tâches de Windows, n'ai pas accès à la tâche en court, et qu'il faille un autre outils ne faisant pas partie intégrante du système, ou redémarrer la machine, pour arrêter l'effet de l'attaque.
Hyper Terminal est un outil ressemblant à telnet installé sur les systèmes Windows 98, 98SE, ME, NT et 2000, et c'est le client répondant par défaut à l'URL telnet:// pour les systèmes Windows 98, 98SE et ME.

Un utilisateur mal intentionné peut, à l'aide d'un lien telnet vers une URL malformée dissimulé par exemple dans une page web ou un mail, générer un dépassement de mémoire sur la machine qui lance le client telnet, et ainsi exécuter du code sur cette machine.

Contournement provisoire

Filtrer le port 1270 ou bloquer selon les besoins, avec un garde-barrière, afin d'éviter ce type d'attaque.

Supprimer Hyper Terminal, et utiliser telnet ou un équivalent pour se connecter à un serveur telnet.

Solution

Appliquer le correctif Microsoft :

Pour Netmeeting pour Windows 2000 (il n'y a pas encore de correctif pour Windows NT4) :
```
http://www.microsoft.com/Downloads/Release/Release.asp?ReleaseID=25029
```

Pour Hyper Terminal pour Windows 98 et 98SE :

http://download.microsoft.com/download/win98/Update/12395/W98/EN-US/274548USA8.EXE

Hyper Terminal pour Windows ME :

http://download.microsoft.com/download/winme/Update/12395/WinMe/EN-US/274548USAM.EXE

Windows 2000 (Gold et SP1 compris) :

http://www.microsoft.com/download/release.asp?releaseid=25112

Microsoft Netmeeting 3.01 sous Windows NT et 2000
Hyper Terminal
- Windows 98;
- Windows98SE;
- Windows Millenium Edition (ME);
- et Windows 2000.

Impacted products

	Vendor	Product	Description

References

Title

Publication Time

Tags

Bulletins de sécurité Microsoft	None	vendor-advisory
NTBugTraq	None	vendor-advisory
Les bulletins de sécurité de Microsoft et leur FAQ :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eMicrosoft Netmeeting 3.01 sous Windows NT et 2000\u003c/LI\u003e    \u003cLI\u003eHyper Terminal      \u003cUL\u003e        \u003cLI\u003eWindows 98;\u003c/LI\u003e        \u003cLI\u003eWindows98SE;\u003c/LI\u003e        \u003cLI\u003eWindows Millenium Edition (ME);\u003c/LI\u003e        \u003cLI\u003eet Windows 2000.\u003c/LI\u003e      \u003c/UL\u003e    \u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\n-   Microsoft Netmeeting est un outil de visio-conf\u00e9rence dont la\n    composante Shared Desktop permet \u00e0 la maintenance de prendre la main\n    \u00e0 distance sur une machine.\n\n    Un utilisateur distant peut, en envoyant un certains type de paquets\n    vers sa victime sur le port de communication de Netmeeting pendant\n    que le logiciel fonctionne, faire monter la charge du processeur\n    jusqu\u0027au blocage du logiciel \u00e0 la fin de son attaque.\n\n    Il se peut que le gestionnaire des t\u00e2ches de Windows, n\u0027ai pas acc\u00e8s\n    \u00e0 la t\u00e2che en court, et qu\u0027il faille un autre outils ne faisant pas\n    partie int\u00e9grante du syst\u00e8me, ou red\u00e9marrer la machine, pour arr\u00eater\n    l\u0027effet de l\u0027attaque.\n\n-   Hyper Terminal est un outil ressemblant \u00e0 telnet install\u00e9 sur les\n    syst\u00e8mes Windows 98, 98SE, ME, NT et 2000, et c\u0027est le client\n    r\u00e9pondant par d\u00e9faut \u00e0 l\u0027URL telnet:// pour les syst\u00e8mes Windows 98,\n    98SE et ME.\n\n    Un utilisateur mal intentionn\u00e9 peut, \u00e0 l\u0027aide d\u0027un lien telnet vers\n    une URL malform\u00e9e dissimul\u00e9 par exemple dans une page web ou un\n    mail, g\u00e9n\u00e9rer un d\u00e9passement de m\u00e9moire sur la machine qui lance le\n    client telnet, et ainsi ex\u00e9cuter du code sur cette machine.\n\n## Contournement provisoire\n\nFiltrer le port 1270 ou bloquer selon les besoins, avec un\ngarde-barri\u00e8re, afin d\u0027\u00e9viter ce type d\u0027attaque.\n\nSupprimer Hyper Terminal, et utiliser telnet ou un \u00e9quivalent pour se\nconnecter \u00e0 un serveur telnet.\n\n## Solution\n\nAppliquer le correctif Microsoft :\n\n-   Pour Netmeeting pour Windows 2000 (il n\u0027y a pas encore de correctif\n    pour Windows NT4) :\n\n        http://www.microsoft.com/Downloads/Release/Release.asp?ReleaseID=25029\n\n-   Pour Hyper Terminal pour Windows 98 et 98SE :\n\n        http://download.microsoft.com/download/win98/Update/12395/W98/EN-US/274548USA8.EXE\n\n-   Hyper Terminal pour Windows ME :\n\n        http://download.microsoft.com/download/winme/Update/12395/WinMe/EN-US/274548USAM.EXE\n\n-   Windows 2000 (Gold et SP1 compris) :\n\n        http://www.microsoft.com/download/release.asp?releaseid=25112\n",
  "cves": [],
  "links": [
    {
      "title": "Les bulletins de s\u00e9curit\u00e9 de Microsoft et leur FAQ :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms00-077"
    }
  ],
  "reference": "CERTA-2000-AVI-063",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-10-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service sur microsoft netmeeting shared desktop"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 cause d\u0027hyper terminal"
    }
  ],
  "summary": "Il existe des vuln\u00e9rabilit\u00e9s dans \u003cspan class=\"textit\"\u003eHyper\nTerminal\u003c/span\u003e, un composant de Windows propos\u00e9 par d\u00e9faut lors de son\ninstallation, et \u003cspan class=\"textit\"\u003eNetmeeting\u003c/span\u003e qui est un\ncomposant gratuit des syst\u00e8mes Microsoft, permettant de faire de la\nvisio-conf\u00e9rence et du travail \u00e0 distance.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans les composants de Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletins de s\u00e9curit\u00e9 Microsoft",
      "url": null
    },
    {
      "published_at": null,
      "title": "NTBugTraq",
      "url": null
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted