CERTA-2002-AVI-249

Vulnerability from certfr_avis - Published: - Updated:

Il est possible d'exécuter du code arbitraire à distance en effectuant une requête RDS utilisée par les composants MDAC installés sur une machine cible.

Description

MDAC (Microsoft Data Access Components) fournit des fonctions pour exploiter des bases de données, comme connecter plusieurs bases de données entre elles, ou renvoyer des réponses à un client, etc.

RDS (Remote Data Services) est un des composants de MDAC qui permet à un client d'accéder à des bases de données à travers une interface web.

Les navigateurs Internet Explorer possèdent un client MDAC installé avec le client RDS activé par défaut.

La fonction nommée RDS Data Stub permet d'interpréter des requêtes HTML et de les transformer en requêtes RDS pour les transmettre à une base de données.

Une vulnérabilité de RDS Data Stub permet à un utilisateur mal intentionné d'effectuer une attaque de type débordement de mémoire à distance.

Il peut ainsi exécuter du code arbitraire à distance au moyen d'une requête RDS effectuée à travers une URL astucieusement construite et dirigée vers un serveur web possédant MDAC avec RDS activé.

La même attaque peut être effectuée contre un client Internet Explorer en incluant une réponse HTTP habilement construite dans une page web ou dans un message au format HTML.

URLScan est un outil du paquetage IISLockdown (servant à renforcer la sécurité des serveurs web IIS) de Microsoft qui permet de journaliser et/ou de bloquer les attaques par le biais d'URL habilement construites. Les URL passent dans un filtre ASCII avant d'être transférées et traitées par le serveur web.

Par conséquent il est impossible d'exécuter un binaire au moyen de cette attaque au travers des filtres d'URLScan.

Cependant elle aura pour conséquence un déni de service en bloquant la machine victime.

Solution

Consulter le bulletin de sécurité MS02-065 de Microsoft (voir paragraphe documentation) pour connaître la disponibilité des correctifs à appliquer.

  • Microsoft Data Access Component 2.1 ;
  • Microsoft Data Access Component 2.5 ;
  • Microsoft Data Access Component 2.6 ;
  • Internet Explorer 5.01 ;
  • Internet Explorer 5.5 ;
  • Internet Explorer 6.0.

Nota :

  • Remote Data Services (RDS) n'est pas activé par défaut lors de l'installation d'Internet Information Server (IIS).

    Mais les serveurs IIS qui utilisent une version affectée de Microsoft Data Access Component MDAC et ayant activé RDS sont vulnérables.

  • MDAC est installé et RDS activé par défaut sur les clients Internet Explorer. Actuellement, il n'est pas possible de le désactiver.
  • Sous Windows XP, la version 2.7 de MDAC est installée. Cette vulnérabilité n'affecte donc pas les systèmes sous Windows XP.
  • Selon Microsoft les outils URLScan ne devraient pas permettre l'exécution de code arbitraire mais il est possible de bloquer le système à distance au moyen de la vulnérabilité décrite dans cet avis.
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cUL\u003e    \u003cLI\u003eMicrosoft Data Access Component 2.1 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Data Access Component 2.5 ;\u003c/LI\u003e    \u003cLI\u003eMicrosoft Data Access Component 2.6 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 5.01 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 5.5 ;\u003c/LI\u003e    \u003cLI\u003eInternet Explorer 6.0.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003e\u003cTT\u003eNota\u003c/TT\u003e :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eRemote Data Services (\u003cTT\u003eRDS\u003c/TT\u003e) n\u0027est pas activ\u00e9 par    d\u00e9faut lors de l\u0027installation d\u0027Internet Information Server    (IIS).      \u003cP\u003eMais les serveurs IIS qui utilisent une version affect\u00e9e      de Microsoft Data Access Component \u003cTT\u003eMDAC\u003c/TT\u003e et ayant      activ\u00e9 \u003cTT\u003eRDS\u003c/TT\u003e sont vuln\u00e9rables.\u003c/P\u003e    \u003c/LI\u003e    \u003cLI\u003e\u003cTT\u003eMDAC\u003c/TT\u003e est install\u00e9 et \u003cTT\u003eRDS\u003c/TT\u003e activ\u00e9 par    d\u00e9faut sur les clients Internet Explorer. Actuellement, il    n\u0027est pas possible de le d\u00e9sactiver.\u003c/LI\u003e    \u003cLI\u003eSous Windows XP, la version 2.7 de \u003cTT\u003eMDAC\u003c/TT\u003e est    install\u00e9e. Cette vuln\u00e9rabilit\u00e9 n\u0027affecte donc pas les syst\u00e8mes    sous Windows XP.\u003c/LI\u003e    \u003cLI\u003eSelon Microsoft les outils \u003cTT\u003eURLScan\u003c/TT\u003e ne devraient    pas permettre l\u0027ex\u00e9cution de code arbitraire mais il est    possible de bloquer le syst\u00e8me \u00e0 distance au moyen de la    vuln\u00e9rabilit\u00e9 d\u00e9crite dans cet avis.\u003c/LI\u003e  \u003c/UL\u003e",
  "content": "## Description\n\nMDAC (Microsoft Data Access Components) fournit des fonctions pour\nexploiter des bases de donn\u00e9es, comme connecter plusieurs bases de\ndonn\u00e9es entre elles, ou renvoyer des r\u00e9ponses \u00e0 un client, etc.\n\nRDS (Remote Data Services) est un des composants de MDAC qui permet \u00e0 un\nclient d\u0027acc\u00e9der \u00e0 des bases de donn\u00e9es \u00e0 travers une interface web.\n\nLes navigateurs Internet Explorer poss\u00e8dent un client MDAC install\u00e9 avec\nle client RDS activ\u00e9 par d\u00e9faut.\n\nLa fonction nomm\u00e9e RDS Data Stub permet d\u0027interpr\u00e9ter des requ\u00eates HTML\net de les transformer en requ\u00eates RDS pour les transmettre \u00e0 une base de\ndonn\u00e9es.\n\nUne vuln\u00e9rabilit\u00e9 de RDS Data Stub permet \u00e0 un utilisateur mal\nintentionn\u00e9 d\u0027effectuer une attaque de type d\u00e9bordement de m\u00e9moire \u00e0\ndistance.\n\nIl peut ainsi ex\u00e9cuter du code arbitraire \u00e0 distance au moyen d\u0027une\nrequ\u00eate RDS effectu\u00e9e \u00e0 travers une URL astucieusement construite et\ndirig\u00e9e vers un serveur web poss\u00e9dant MDAC avec RDS activ\u00e9.\n\nLa m\u00eame attaque peut \u00eatre effectu\u00e9e contre un client Internet Explorer\nen incluant une r\u00e9ponse HTTP habilement construite dans une page web ou\ndans un message au format HTML.\n\nURLScan est un outil du paquetage IISLockdown (servant \u00e0 renforcer la\ns\u00e9curit\u00e9 des serveurs web IIS) de Microsoft qui permet de journaliser\net/ou de bloquer les attaques par le biais d\u0027URL habilement construites.\nLes URL passent dans un filtre ASCII avant d\u0027\u00eatre transf\u00e9r\u00e9es et\ntrait\u00e9es par le serveur web.\n\nPar cons\u00e9quent il est impossible d\u0027ex\u00e9cuter un binaire au moyen de cette\nattaque au travers des filtres d\u0027URLScan.\n\nCependant elle aura pour cons\u00e9quence un d\u00e9ni de service en bloquant la\nmachine victime.\n\n## Solution\n\nConsulter le bulletin de s\u00e9curit\u00e9 MS02-065 de Microsoft (voir paragraphe\ndocumentation) pour conna\u00eetre la disponibilit\u00e9 des correctifs \u00e0\nappliquer.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2002-AVI-249",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2002-11-21T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service uniquement sur les outils urlscan"
    }
  ],
  "summary": "Il est possible d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance en effectuant\nune requ\u00eate RDS utilis\u00e9e par les composants MDAC install\u00e9s sur une\nmachine cible.\n",
  "title": "Vuln\u00e9rabilit\u00e9 des composants \u003cTT\u003eMDAC\u003c/TT\u003e sous Microsoft Windows",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 MS02-065 de Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS02-065.asp"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.