[PEGASE]

Date de Publication : 2005-08-09 © FrSIRT.COM -   Voir Notice Légale  
Titre : Microsoft Windows Plug and Play Remote Vulnerability (MS05-039)
Identifiant : FrSIRT/AVIS-2005-1354
CVE : CAN-2005-1983
Risque : Critique
Exploitable à distance : Oui
Exploitable en local : Oui
 
 * Description Technique *    

Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau du service Plug and Play qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires.

Note : Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000. Seul un utilisateur authentifié peut exploiter cette vulnérabilité sous Windows XP Service Pack 1. Seul un administrateur peut accéder au composant affecté sur Windows XP Service Pack 2 et Windows Server 2003 (dans ce cas, il s'agit strictement d'une vulnérabilité exploitable localement).

Update - Apparition du ver Zotob.A exploitant cette vulnérabilité (Cf. Références).

Update - Microsoft a publié le bulletin 906574 concernant Windows XP SP1.

 * Exploits *

http://www.frsirt.com/exploits/20050811.MS05-039.c.php
http://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.php
http://www.frsirt.com/exploits/20050812.HOD-ms05039-pnp-expl.c.php

 * Versions Vulnérables *

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 (Itanium)
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 x64 Edition

 * Solution *

Appliquer les correctifs :
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

 * Références *

http://www.frsirt.com/bulletins/1734
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
http://www.frsirt.com/virus/20050814.ZotobA.php
http://www.microsoft.com/technet/security/advisory/906574.mspx

 * Crédit *

Vulnérabilité découverte par Neel Mehta et Jean-Baptiste Marchand

 * ChangeLog *

2005-08-09 : Version Initiale
2005-08-11 : Exploits publics
2005-08-14 : Ver Zotob.A
2005-08-24 : Microsoft Security Advisory 906574

cet un put1 d exploit contre ki plein de pc n ont p encore ete patches !!!!

[Invit]

Euh, y'a qu'un truc que je pige pas...

Seul un administrateur peut accéder au composant affecté sur Windows XP Service Pack 2 et Windows Server 2003 (dans ce cas, il s'agit strictement d'une vulnérabilité exploitable localement).

Dans ce cas ça sert à quoi d'exploiter la faille vu qu'on tourne déjà avec les privilèges admin ?

[comtezero]

parce que :

Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000.

peut etre qu'il parle du super admin enfin celui de l'installation mais une fois admin c'est sur que sous win on peut tout faire.

[Invit]

En fait après y avoir réfléchis (pas longtemps certes :p) me dis qu'il s'agit peut-etre d'avoir un accès admin sur le réseau pour acceder la békane pour ensuite obtenir un accès admin de la machine en question (différent d'un compte admin sur le rezo)
C'est une hypothèse, si quelqu'un peut confirmer ou infirmer, en sait plus...