CERTA-2001-AVI-015
Vulnerability from certfr_avis

Un utilisateur mal intentionné peut, par le biais d'une vulnérabilité dans l'authentification NTLM, exécuter du code arbitraire avec des privilèges élevés sur la machine cible.

Description

Une vulnérabilité de l'authentification NTLM (NT Lan Manager) permet à un utilisateur, disposant d'un compte sur la machine cible, d'exécuter du code arbitraire avec les privilèges «local system».

L'utilisation d'un programme spécifique permet d'émettre des requêtes au NTLM Security Support Provider afin d'exécuter le code de son choix. Il est impératif que l'attaquant dispose d'un compte valide sur la machine cible pour réussir cet exploit.

Contournement provisoire

En règle générale, il ne faut pas laisser des utilisateurs sans privilège accéder localement à un serveur ou les autoriser à y exécuter du code à distance (rcmd, NDDE, etc.). Si cette règle est appliquée, elle limitera nettement les dégâts possibles de ce type de vulnérabilités.

Solution

Télécharger le correctif sur le site Microsoft (version US) :

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804

Nota : Le correctif pour Windows NT 4.0 Terminal Server n'est pas encore disponible sur le site.

None
Impacted products
Vendor Product Description
Microsoft Windows Windows NT 4.0 Server ;
Microsoft Windows Windows NT 4.0 Terminal Server Edition.
Microsoft Windows Windows NT 4.0 Server Entreprise Edition ;
Microsoft Windows Windows NT 4.0 Workstation ;
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Windows NT 4.0 Server ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT 4.0 Terminal Server Edition.",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT 4.0 Server Entreprise Edition ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Windows NT 4.0 Workstation ;",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nUne vuln\u00e9rabilit\u00e9 de l\u0027authentification NTLM (NT Lan Manager) permet \u00e0\nun utilisateur, disposant d\u0027un compte sur la machine cible, d\u0027ex\u00e9cuter\ndu code arbitraire avec les privil\u00e8ges \u00ablocal system\u00bb.\n\nL\u0027utilisation d\u0027un programme sp\u00e9cifique permet d\u0027\u00e9mettre des requ\u00eates au\nNTLM Security Support Provider afin d\u0027ex\u00e9cuter le code de son choix. Il\nest imp\u00e9ratif que l\u0027attaquant dispose d\u0027un compte valide sur la machine\ncible pour r\u00e9ussir cet exploit.\n\n## Contournement provisoire\n\nEn r\u00e8gle g\u00e9n\u00e9rale, il ne faut pas laisser des utilisateurs sans\nprivil\u00e8ge acc\u00e9der localement \u00e0 un serveur ou les autoriser \u00e0 y ex\u00e9cuter\ndu code \u00e0 distance (rcmd, NDDE, etc.). Si cette r\u00e8gle est appliqu\u00e9e,\nelle limitera nettement les d\u00e9g\u00e2ts possibles de ce type de\nvuln\u00e9rabilit\u00e9s.\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif sur le site Microsoft (version US) :\n\n    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27804\n\n  \n  \n\nNota : Le correctif pour Windows NT 4.0 Terminal Server n\u0027est pas encore\ndisponible sur le site.\n",
  "cves": [],
  "initial_release_date": "2001-02-08T00:00:00",
  "last_revision_date": "2001-02-08T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft :",
      "url": "http://www.microsoft.com/technet/security/bulletin/ms01-008.asp"
    }
  ],
  "reference": "CERTA-2001-AVI-015",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-02-08T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Un utilisateur mal intentionn\u00e9 peut, par le biais d\u0027une vuln\u00e9rabilit\u00e9\ndans l\u0027authentification NTLM, ex\u00e9cuter du code arbitraire avec des\nprivil\u00e8ges \u00e9lev\u00e9s sur la machine cible.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de Windows NT 4 dans l\u0027authentification NTLM",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft MS01-008",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.