Risque

Exécution de code arbitraire

Systèmes affectés

  • Windows NT 4.0 Workstation ;
  • Windows NT 4.0 Server ;
  • Windows NT 4.0 Server Entreprise Edition ;
  • Windows NT 4.0 Terminal Server Edition.

Résumé

Un utilisateur mal intentionné peut, par le biais d'une vulnérabilité dans l'authentification NTLM, exécuter du code arbitraire avec des privilèges élevés sur la machine cible.

Description

Une vulnérabilité de l'authentification NTLM (NT Lan Manager) permet à un utilisateur, disposant d'un compte sur la machine cible, d'exécuter du code arbitraire avec les privilèges «local system».

L'utilisation d'un programme spécifique permet d'émettre des requêtes au NTLM Security Support Provider afin d'exécuter le code de son choix. Il est impératif que l'attaquant dispose d'un compte valide sur la machine cible pour réussir cet exploit.

Contournement provisoire

En règle générale, il ne faut pas laisser des utilisateurs sans privilège accéder localement à un serveur ou les autoriser à y exécuter du code à distance (rcmd, NDDE, etc.). Si cette règle est appliquée, elle limitera nettement les dégâts possibles de ce type de vulnérabilités.

Solution

Télécharger le correctif sur le site Microsoft (version US) :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804


Nota : Le correctif pour Windows NT 4.0 Terminal Server n'est pas encore disponible sur le site.

Documentation

Bulletin de sécurité Microsoft :

http://www.microsoft.com/technet/security/bulletin/ms01-008.asp


Faq Microsoft :

http://www.microsoft.com/technet/security/bulletin/fq01-008.asp