L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

annonce de vulnérabilité CVE-2011-1984

Windows : élévation de privilèges via WINS ECommEndDlg

Synthèse de la vulnérabilité

Lorsque WINS est activé sur un serveur Windows, un attaquant local peut envoyer une requête illicite, pour corrompre la mémoire, afin de mener un déni de service ou de faire exécuter du code privilégié.
Systèmes vulnérables : Windows 2003, Windows 2008 R0, Windows 2008 R2.
Gravité de cette menace : 2/4.
Conséquences d'un hack : accès/droits administrateur, déni de service du service.
Origine du pirate : compte utilisateur.
Date création : 13/09/2011.
Références de cette faille : 2571621, BID-49523, CERTA-2011-AVI-510, CORE-2011-0526, CVE-2011-1984, MS11-070, VIGILANCE-VUL-10982.

Description de la vulnérabilité

Le protocole WINS (Windows Internet Name Service) permet de trouver l'adresse IP d'une machine à partir de son nom NetBIOS. Ce service n'est pas activé par défaut. Il s'exécute avec les privilèges SYSTEM sous Windows 2003.

Les clients demandent la résolution de nom NetBIOS en se connectant sur le port 137/udp. Les serveurs WINS répliquent leurs bases en se connectant mutuellement sur les ports 42/tcp et 42/udp. Lors de la réplication, un port dynamique est ouvert, en écoute sur l'interface loopback (127.0.0.1).

Les messages de réplication envoyés sur le port dynamique sont traités par la fonction ECommEndDlg() du service WINS. Ces messages de réplication, contiennent l'offset des données à traiter. Cependant, le service WINS ne vérifie pas cet offset avant de le convertir en pointeur.

Lorsque WINS est activé sur un serveur Windows, un attaquant local peut donc envoyer une requête illicite, pour corrompre la mémoire, afin de mener un déni de service ou de faire exécuter du code privilégié.
Bulletin Vigil@nce complet... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une contre-mesure de vulnérabilité applicative. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.