Date de Publication : 2005-08-09 © FrSIRT.COM - Voir Notice Légale
Titre : Microsoft Windows Plug and Play Remote Vulnerability (MS05-039)
Identifiant : FrSIRT/AVIS-2005-1354
CVE : CAN-2005-1983
Risque : Critique
Exploitable à distance : Oui
Exploitable en local : Oui
* Description Technique *
Une vulnérabilité critique a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable ou des attaquants locaux afin d'obtenir des privilèges élevés. Le problème résulte d'une erreur de type buffer overflow présente au niveau du service Plug and Play qui ne gère pas correctement certaines requêtes malformées, ce qui pourrait être exploité par des attaquants afin d'exécuter des commandes arbitraires.
Note : Un attaquant non-authentifié peut exploiter à distance cette vulnérabilité sous Windows 2000. Seul un utilisateur authentifié peut exploiter cette vulnérabilité sous Windows XP Service Pack 1. Seul un administrateur peut accéder au composant affecté sur Windows XP Service Pack 2 et Windows Server 2003 (dans ce cas, il s'agit strictement d'une vulnérabilité exploitable localement).
Update - Apparition du ver Zotob.A exploitant cette vulnérabilité (Cf. Références).
Update - Microsoft a publié le bulletin 906574 concernant Windows XP SP1.
* Exploits *
http://www.frsirt.com/exploits/20050811.MS05-039.c.phphttp://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.phphttp://www.frsirt.com/exploits/20050812.HOD-ms05039-pnp-expl.c.php * Versions Vulnérables *
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 (Itanium)
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 x64 Edition
* Solution *
Appliquer les correctifs :
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx * Références *
http://www.frsirt.com/bulletins/1734http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspxhttp://www.frsirt.com/virus/20050814.ZotobA.phphttp://www.microsoft.com/technet/security/advisory/906574.mspx * Crédit *
Vulnérabilité découverte par Neel Mehta et Jean-Baptiste Marchand
* ChangeLog *
2005-08-09 : Version Initiale
2005-08-11 : Exploits publics
2005-08-14 : Ver Zotob.A
2005-08-24 : Microsoft Security Advisory 906574
cet un put1 d exploit contre ki plein de pc n ont p encore ete patches !!!!