CERTA-2001-AVI-015

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur mal intentionné peut, par le biais d'une vulnérabilité dans l'authentification NTLM, exécuter du code arbitraire avec des privilèges élevés sur la machine cible.

Description

Une vulnérabilité de l'authentification NTLM (NT Lan Manager) permet à un utilisateur, disposant d'un compte sur la machine cible, d'exécuter du code arbitraire avec les privilèges «local system».

L'utilisation d'un programme spécifique permet d'émettre des requêtes au NTLM Security Support Provider afin d'exécuter le code de son choix. Il est impératif que l'attaquant dispose d'un compte valide sur la machine cible pour réussir cet exploit.

Contournement provisoire

En règle générale, il ne faut pas laisser des utilisateurs sans privilège accéder localement à un serveur ou les autoriser à y exécuter du code à distance (rcmd, NDDE, etc.). Si cette règle est appliquée, elle limitera nettement les dégâts possibles de ce type de vulnérabilités.

Solution

Télécharger le correctif sur le site Microsoft (version US) :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804

Nota : Le correctif pour Windows NT 4.0 Terminal Server n'est pas encore disponible sur le site.

None
Impacted products
Vendor Product Description
Microsoft Windows Windows NT 4.0 Server ;
Microsoft Windows Windows NT 4.0 Terminal Server Edition.
Microsoft Windows Windows NT 4.0 Server Entreprise Edition ;
Microsoft Windows Windows NT 4.0 Workstation ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows NT 4.0 Server ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT 4.0 Terminal Server Edition.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT 4.0 Server Entreprise Edition ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT 4.0 Workstation ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de l\u0027authentification NTLM (NT Lan Manager) permet \u00e0\nun utilisateur, disposant d\u0027un compte sur la machine cible, d\u0027ex\u00e9cuter\ndu code arbitraire avec les privil\u00e8ges \u00ablocal system\u00bb.\n\nL\u0027utilisation d\u0027un programme sp\u00e9cifique permet d\u0027\u00e9mettre des requ\u00eates au\nNTLM Security Support Provider afin d\u0027ex\u00e9cuter le code de son choix. Il\nest imp\u00e9ratif que l\u0027attaquant dispose d\u0027un compte valide sur la machine\ncible pour r\u00e9ussir cet exploit.\n\n## Contournement provisoire\n\nEn r\u00e8gle g\u00e9n\u00e9rale, il ne faut pas laisser des utilisateurs sans\nprivil\u00e8ge acc\u00e9der localement \u00e0 un serveur ou les autoriser \u00e0 y ex\u00e9cuter\ndu code \u00e0 distance (rcmd, NDDE, etc.). Si cette r\u00e8gle est appliqu\u00e9e,\nelle limitera nettement les d\u00e9g\u00e2ts possibles de ce type de\nvuln\u00e9rabilit\u00e9s.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft (version US) :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804\n\n  \n  \n\nNota : Le correctif pour Windows NT 4.0 Terminal Server n\u0027est pas encore\ndisponible sur le site.\n",
  "cves": [],
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms01-008.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-015",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-02-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut, par le biais d\u0027une vuln\u00e9rabilit\u00e9\ndans l\u0027authentification NTLM, ex\u00e9cuter du code arbitraire avec des\nprivil\u00e8ges \u00e9lev\u00e9s sur la machine cible.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Windows NT 4 dans l\u0027authentification NTLM",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS01-008",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.