|
Titre: Microsoft Windows Plug and Play Remote Vulnerability (MS05-039) Posté par: PEGASE le 03 Octobre 2005 à 21:02:12 Date de Publication : 2005-08-09 © FrSIRT.COM - Voir Notice Légale
Titre : Microsoft Windows Plug and Play Remote Vulnerability (MS05-039) Identifiant : FrSIRT/AVIS-2005-1354 CVE : CAN-2005-1983 Risque : Critique Exploitable à distance : Oui Exploitable en local : Oui * Description Technique * Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau du service Plug and Play qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires. Note : Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000. Seul un utilisateur authentifié peut exploiter cette vulnérabilité sous Windows XP Service Pack 1. Seul un administrateur peut accéder au composant affecté sur Windows XP Service Pack 2 et Windows Server 2003 (dans ce cas, il s'agit strictement d'une vulnérabilité exploitable localement). Update - Apparition du ver Zotob.A exploitant cette vulnérabilité (Cf. Références). Update - Microsoft a publié le bulletin 906574 concernant Windows XP SP1. * Exploits * http://www.frsirt.com/exploits/20050811.MS05-039.c.php http://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.php http://www.frsirt.com/exploits/20050812.HOD-ms05039-pnp-expl.c.php * Versions Vulnérables * Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 (Itanium) Microsoft Windows Server 2003 SP1 (Itanium) Microsoft Windows Server 2003 x64 Edition * Solution * Appliquer les correctifs : http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx * Références * http://www.frsirt.com/bulletins/1734 http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx http://www.frsirt.com/virus/20050814.ZotobA.php http://www.microsoft.com/technet/security/advisory/906574.mspx * Crédit * Vulnérabilité découverte par Neel Mehta et Jean-Baptiste Marchand * ChangeLog * 2005-08-09 : Version Initiale 2005-08-11 : Exploits publics 2005-08-14 : Ver Zotob.A 2005-08-24 : Microsoft Security Advisory 906574 cet un put1 d exploit contre ki plein de pc n ont p encore ete patches !!!! Titre: Microsoft Windows Plug and Play Remote Vulnerability (MS05-039) Posté par: Invit le 04 Octobre 2005 à 06:17:24 Euh, y'a qu'un truc que je pige pas...
Citation de: PEGASE Seul un administrateur peut accéder au composant affecté sur Windows XP Service Pack 2 et Windows Server 2003 (dans ce cas, il s'agit strictement d'une vulnérabilité exploitable localement). Dans ce cas ça sert à quoi d'exploiter la faille vu qu'on tourne déjà avec les privilèges admin ? :rolleyes:Titre: Microsoft Windows Plug and Play Remote Vulnerability (MS05-039) Posté par: comtezero le 04 Octobre 2005 à 13:15:40 parce que :
Citation Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000. ;)peut etre qu'il parle du super admin enfin celui de l'installation mais une fois admin c'est sur que sous win on peut tout faire. Titre: Microsoft Windows Plug and Play Remote Vulnerability (MS05-039) Posté par: Invit le 04 Octobre 2005 à 19:34:47 En fait après y avoir réfléchis (pas longtemps certes :p) me dis qu'il s'agit peut-etre d'avoir un accès admin sur le réseau pour acceder la békane pour ensuite obtenir un accès admin de la machine en question (différent d'un compte admin sur le rezo)
C'est une hypothèse, si quelqu'un peut confirmer ou infirmer, en sait plus... |