Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Tous les serveurs Microsoft Internet Information Server 4.0 (Windows NT) et 5.0 (Windows 2000).

Résumé

Un utilisateur mal intentionné peut exécuter du code arbitraire à distance sur un serveur IIS 4.0 ou 5.0 grâce à un débordement de mémoire dans la gestion des scripts HTR.

Description

ISAPI (Internet Services Application Programming Interface) est une technologie permettant aux développeurs de site web de fournir des services plus ou moins élaborés par le biais d'une interface web.

L'extension ISAPI HTR est le prédécesseur des extensions ASP (Active Server Pages) permettant de gérer les mots de passe des utilisateurs de Windows NT à distance au moyen d'une interface web IIS.

Cette extension était installée par défaut sous IIS 2.0, et peut encore être installée sur les serveurs IIS 4.0 à 5.1 de façon à maintenir une compatibilité ascendante.

Le mécanisme de transfert des données engendrées par les scripts HTR est vulnérable aux débordements de mémoire.

Un utilisateur mal intentionné peut ainsi exécuter du code arbitraire à distance sur un serveur web IIS utilisant l'extension ISAPI HTR.

Le code sera exécuté dans le contexte de sécurité du compte IWAM_Nom_de_machine qui ne possède normalement pas de privilèges particuliers.

Contournement provisoire

Dans la mesure du possible désactiver les extensions HTR et leur préférer les extensions ASP.

Solution

Consulter le bulletin de sécurité MS02-028 de Microsoft (Voir paragraphe Documentation) pour connaître la disponibilité des correctifs.

Documentation