CERTA-2002-AVI-033

Vulnerability from certfr_avis - Published: - Updated:

Un utilisateur mal intentionné peut utiliser une vulnérabilité de l'agent SNMP sous Microsoft Windows pour exécuter du code arbitraire à distance avec les privilèges de l'administrateur du système.

Le bulletin de sécurité de Microsoft à été mis à jour suite à l'ajout de correctifs et à une erreur dans l'implémentation de plusieurs correctifs.

Description

Les tests effectués par l'université finlandaise d'Oulu ont mis en évidence la présence de vulnérabilités dans les routines de décodage et de traitement des messages SNMP dans de nombreuses implémentations (se référer au bulletin d'alerte CERTA-2002-ALE-004 du CERTA).

Une vulnérabilité de l'agent SNMP, permet à un utilisateur mal intentionné d'exécuter du code arbitraire avec les privilèges de l'administrateur du système. Cette vulnérabilité, de type débordement de mémoire, est exploitable à distance.

Des correctifs pour les systèmes Microsoft qui n'étaient pas encore disponibles lors de la première version de cet avis ont été ajoutés le 5 mars 2002 pour Windows NT 4.0 server et le 11 mars pour Windows NT 4.0 Terminal Server Edition.

Pour des raisons de disponibilité et de moindres effets de bords des correctifs, il est souvent plus judicieux d'installer les systèmes des serveurs dans leur langue de développement (ici l'anglais). Cependant suite à la détection d'erreurs dans les correctifs pour les versions anglaise et allemande de Windows NT 4.0 Terminal Server Edition, Microsoft a modifié ces dernières.

Les administrateurs de systèmes Microsoft Windows Terminal Server Edition installés en langue anglaise sont donc invités à aller télécharger la nouvelle version du correctif.

Contournement provisoire

  • S'il n'est pas utilisé, ou en attendant d'obtenir le correctif, désactiver SNMP.

    Pour vérifier si le service SNMP est installé et démarré et l'arrêter s'il existe, procéder de la façon suivante :

    • Pour Windows 9x :
      1. Dans le panneau contrôle ouvrir les paramètres du réseau.
      2. Cliquer sur l'onglet configuration et sélectionner Agent SNMP dans la liste des composants installés.
      3. cliquer sur le bouton supprimer.
    • Pour Windows NT 4.0 (Terminal server compris) :
      1. Dans le panneau contrôle ouvrir les paramètres du services.
      2. Sélectionner le service SNMP, cliquer sur le bouton arrêter.
      3. Dans la liste des modes de démarrage (en dessous), cliquer sur le bouton Désactivé.
      4. Puis cliquer sur OK pour fermer cette fenêtre.
    • Sous Windows 2000 and XP :
      1. Ouvrir la Gestion de l'ordinateur dans les Outils d'administration ;
      2. Choisir Services et Applications, puis Services ;
      3. Sélectionner le service SNMP, cliquer sur le bouton arrêter.
      4. Dans la liste des modes de démarrage, sélectionner Désactivé.
      5. Puis cliquer sur OK pour fermer, puis fermer la fenêtre d'administration.

  • filtrer le port 161/UDP utilisé par l'agent SNMP au niveau du garde-barrière afin d'empêcher l'exploitation de ces vulnérabilités depuis l'Internet.

Solution

Se référer au bulletin de Microsoft MS02-006 pour le disponibilité des correctifs.

Microsoft Windows 9x, ME, XP, NT et 2000.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eMicrosoft Windows 9x, ME, XP, NT et 2000.\u003c/P\u003e",
  "content": "## Description\n\nLes tests effectu\u00e9s par l\u0027universit\u00e9 finlandaise d\u0027Oulu ont mis en\n\u00e9vidence la pr\u00e9sence de vuln\u00e9rabilit\u00e9s dans les routines de d\u00e9codage et\nde traitement des messages SNMP dans de nombreuses impl\u00e9mentations (se\nr\u00e9f\u00e9rer au bulletin d\u0027alerte CERTA-2002-ALE-004 du CERTA).\n\nUne vuln\u00e9rabilit\u00e9 de l\u0027agent SNMP, permet \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire avec les privil\u00e8ges de\nl\u0027administrateur du syst\u00e8me. Cette vuln\u00e9rabilit\u00e9, de type d\u00e9bordement de\nm\u00e9moire, est exploitable \u00e0 distance.\n\nDes correctifs pour les syst\u00e8mes Microsoft qui n\u0027\u00e9taient pas encore\ndisponibles lors de la premi\u00e8re version de cet avis ont \u00e9t\u00e9 ajout\u00e9s le 5\nmars 2002 pour Windows NT 4.0 server et le 11 mars pour Windows NT 4.0\nTerminal Server Edition.\n\nPour des raisons de disponibilit\u00e9 et de moindres effets de bords des\ncorrectifs, il est souvent plus judicieux d\u0027installer les syst\u00e8mes des\nserveurs dans leur langue de d\u00e9veloppement (ici l\u0027anglais). Cependant\nsuite \u00e0 la d\u00e9tection d\u0027erreurs dans les correctifs pour les versions\nanglaise et allemande de Windows NT 4.0 Terminal Server Edition,\nMicrosoft a modifi\u00e9 ces derni\u00e8res.\n\nLes administrateurs de syst\u00e8mes Microsoft Windows Terminal Server\nEdition install\u00e9s en langue anglaise sont donc invit\u00e9s \u00e0 aller\nt\u00e9l\u00e9charger la nouvelle version du correctif.\n\n## Contournement provisoire\n\n-   S\u0027il n\u0027est pas utilis\u00e9, ou en attendant d\u0027obtenir le correctif,\n    d\u00e9sactiver SNMP.\n\n    Pour v\u00e9rifier si le service SNMP est install\u00e9 et d\u00e9marr\u00e9 et\n    l\u0027arr\u00eater s\u0027il existe, proc\u00e9der de la fa\u00e7on suivante :\n\n    -   Pour Windows 9x :\n        1.  Dans le panneau contr\u00f4le ouvrir les param\u00e8tres du r\u00e9seau.\n        2.  Cliquer sur l\u0027onglet configuration et s\u00e9lectionner Agent\n            SNMP dans la liste des composants install\u00e9s.\n        3.  cliquer sur le bouton supprimer.\n    -   Pour Windows NT 4.0 (Terminal server compris) :\n        1.  Dans le panneau contr\u00f4le ouvrir les param\u00e8tres du services.\n        2.  S\u00e9lectionner le service SNMP, cliquer sur le bouton arr\u00eater.\n        3.  Dans la liste des modes de d\u00e9marrage (en dessous), cliquer\n            sur le bouton D\u00e9sactiv\u00e9.\n        4.  Puis cliquer sur OK pour fermer cette fen\u00eatre.\n    -   Sous Windows 2000 and XP :\n        1.  Ouvrir la Gestion de l\u0027ordinateur dans les Outils\n            d\u0027administration ;\n        2.  Choisir Services et Applications, puis Services ;\n        3.  S\u00e9lectionner le service SNMP, cliquer sur le bouton arr\u00eater.\n        4.  Dans la liste des modes de d\u00e9marrage, s\u00e9lectionner\n            D\u00e9sactiv\u00e9.\n        5.  Puis cliquer sur OK pour fermer, puis fermer la fen\u00eatre\n            d\u0027administration.\n\n-   filtrer le port 161/UDP utilis\u00e9 par l\u0027agent SNMP au niveau du\n    garde-barri\u00e8re afin d\u0027emp\u00eacher l\u0027exploitation de ces vuln\u00e9rabilit\u00e9s\n    depuis l\u0027Internet.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de Microsoft MS02-006 pour le disponibilit\u00e9 des\ncorrectifs.\n",
  "cves": [],
  "links": [
    {
      "title": "Le bulletin de s\u00e9curit\u00e9 Microsoft MS02-006 :",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-006.asp"
    }
  ],
  "reference": "CERTA-2002-AVI-033",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-02-13T00:00:00.000000"
    },
    {
      "description": "premi\u00e8re r\u00e9vision : erreur dans la num\u00e9rotation (tableau \u003cSPAN class=\"textit\"\u003eGestion du Document\u003c/SPAN\u003e et balise \u003cSPAN class=\"textit\"\u003ereference\u003c/SPAN\u003e).",
      "revision_date": "2002-02-25T00:00:00.000000"
    },
    {
      "description": "seconde r\u00e9vision : ajout de correctifs Microsoft et erreur dans le correctif en version anglaise et allemande concernant Windows NT Server Terminal Edition",
      "revision_date": "2002-03-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut utiliser une vuln\u00e9rabilit\u00e9 de\nl\u0027agent SNMP sous Microsoft Windows pour ex\u00e9cuter du code arbitraire \u00e0\ndistance avec les privil\u00e8ges de l\u0027administrateur du syst\u00e8me.\n\nLe bulletin de s\u00e9curit\u00e9 de Microsoft \u00e0 \u00e9t\u00e9 mis \u00e0 jour suite \u00e0 l\u0027ajout de\ncorrectifs et \u00e0 une erreur dans l\u0027impl\u00e9mentation de plusieurs\ncorrectifs.\n",
  "title": "Vuln\u00e9rabilit\u00e9 du service \u003cTT\u003eSNMP\u003c/TT\u003e sous Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS02-006",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin d\u0027alerte du CERTA-2002-ALE-004",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.