Risques
- Déni de service
- Exécution de code arbitraire
Systèmes affectés
- Microsoft Internet Explorer 5.01 SP2, 5.5 SP1, 5.5 SP2, 6.0 ;
- Microsoft ISA Server 2000.
- Microsoft Proxy Server 2.0 ;
Résumé
Un utilisateur mal intentionné peut effectuer un débordement de tampon et exécuter du code arbitraire sur la machine cible.
Description
Gopher est un protocole empirique utilisé pour la transmission de données de type texte sur l'Internet. Le protocole HTTP a rendu depuis obsolète son utilisation et l'on ne l'utilise plus que pour traiter les données qui n'ont pas encore été transférées vers HTTP. Les différents produits Microsoft permettent encore d'utiliser le protocole gopher dans un souci de compatibilité.
Microsoft Internet Explorer, Proxy Server et ISA Server utilisent la même fonction pour traiter le protocole gopher. Ils sont tous les trois vulnérables.
Un utilisateur mal intentionné peut utiliser cette vulnérabilité pour exécuter du code arbitraire sur l'ordinateur cible. Le code ainsi exécuté se verra appliquer les restrictions liées à l'utilisateur qui à démarré l'application.
- Pour Internet Explorer, les droits de l'utilisateur sont généralement limités ;
- Proxy Server et ISA Server fonctionnent généralement avec un haut niveau de privilèges permettant à un utilisateur mal intentionné de prendre le contrôle total du serveur.
Contournement provisoire
Il est possible de se protéger de cette attaque en configurant les différents produits de façon à ce qu'ils n'utilisent pas le protocole gopher :
- Pour Internet Explorer, configurer l'utilisation d'un serveur mandataire (proxy) pour le protocole gopher en faisant pointer l'adresse du serveur mandataire sur une machine ne traitant pas ce protocole (ex : localhost) ;
- pour ISA Server et Proxy Server, désactiver l'utilisation du protocole gopher.
Consulter le bulletin #MS02-027 de Microsoft pour avoir la procédure complète.
Solution
Des correctifs sont disponibles en téléchargement sur le site web de Microsoft.
http://www.microsoft.com/technet/security/bulletin/MS02-027.asp
Documentation
- Bulletin de sécurité de Microsoft #MS02-027 : http://www.microsoft.com/technet/security/bulletin/MS02-027.asp