Risque
- Exécution de code arbitraire
Systèmes affectés
- Windows NT 4.0 Server ;
- Windows NT 4.0 Server Entreprise Edition ;
- Windows NT 4.0 Terminal Server Edition.
- Windows NT 4.0 Workstation ;
Résumé
Un utilisateur mal intentionné peut, par le biais d'une vulnérabilité dans l'authentification NTLM, exécuter du code arbitraire avec des privilèges élevés sur la machine cible.
Description
Une vulnérabilité de l'authentification NTLM (NT Lan Manager) permet à un utilisateur, disposant d'un compte sur la machine cible, d'exécuter du code arbitraire avec les privilèges «local system».
L'utilisation d'un programme spécifique permet d'émettre des requêtes au NTLM Security Support Provider afin d'exécuter le code de son choix. Il est impératif que l'attaquant dispose d'un compte valide sur la machine cible pour réussir cet exploit.
Contournement provisoire
En règle générale, il ne faut pas laisser des utilisateurs sans privilège accéder localement à un serveur ou les autoriser à y exécuter du code à distance (rcmd, NDDE, etc.). Si cette règle est appliquée, elle limitera nettement les dégâts possibles de ce type de vulnérabilités.
Solution
Télécharger le correctif sur le site Microsoft (version US) :
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804
Nota : Le correctif pour Windows NT 4.0 Terminal Server n'est pas encore disponible sur le site.
Documentation
- Bulletin de sécurité Microsoft : http://www.microsoft.com/technet/security/bulletin/ms01-008.asp