Boletín de Seguridad/UNAM-CERT

UNAM-CERT

Departamento de Seguridad en Cómputo

DGSCA- UNAM

Boletín de Seguridad UNAM-CERT 2002-033

Vulnerabilidad de Overflow de Heap en Microsoft Data Access
Components (MDAC)

------------------------------------------------------------------

El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de una vulnerabilidad en Microsoft Data Access
Components (MDAC) que podría permitir la ejecución remota de
código con privilegios del proceso o usuario actual.

Fecha de 21 de Noviembre de
Liberación: 2002
Ultima Revisión: - - - - -
CERT/CC y diversos
Fuente: reportes de Equipos de
Respuesta a
Incidentes.

SISTEMAS AFECTADOS

Todos los sistemas Microsoft Windows ejecutando:

* Versiones de Microsoft Data Access Components (MDAC)
anteriores a la 2.7
* Internet Explorer versión 6
* Internet Explorer versión 5.5
* Internet Explorer versión 5.1

Se debe hacer notar que Microsoft Windows XP viene con la versión
2.7 de MDAC y no es vulnerable de forma predeterminada, aún si
Internet Explorer 6.0 se encuentra instalado.

Debido a que la operación normal de varias aplicaciones y
servidores Web en un sistema depende de la propia operación del
control Active X de MDAC, otros programas podrían ser utilizados
para explotar ésta vulnerabilidad. Por ejemplo, Internet
Information Server puede ser configurado para utilizar MDAC.

DESCRIPCIÓN

Microsoft Data Access Components (MDAC) es una colección de
utilidades y rutinas para procesar requerimientos entre bases de
datos y aplicaciones de red. Existe una vulnerabilidad de buffer
overflow en el componente Remote Data Services (RDS) de MDAC.

El componente RDS proporciona un paso intermedio para los
requerimientos de clientes de un servicio desde un una base de
datos back-end (la cual realiza tareas en segundo plano) que
permite al sitio Web aplicar lógica comercial al requerimiento.

De acuerdo con el Boletín de Seguridad de Microsoft MS02-065, una
rutina en el componente RDS, específicamente la función RDS Data
Stub, contiene un buffer no verificado. El propósito de la función
RDS Data Stub es analizar requerimientos HTTP entrantes y generar
comandos RDS. El buffer no verificado podría ser explotado para
causar un overflow de heap.

Existen dos formas en las cuales ésta vulnerabilidad puede ser
explotada. La primera forma involucra que un intruso envíe un
requerimiento HTTP malicioso a un servicio vulnerable, como por
ejemplo un servidor IIS. Si RDS está habilitado, el intruso podría
ejecutar código arbitrario en el servidor IIS. RDS no está
habilitado de forma predeterminada en los sistemas Windows 2000 y
Windows XP. RDS puede ser deshabilitado en otros sistemas
siguiendo las instrucciones proporcionadas en el Boletín de
Seguridad de Microsoft.

La otra forma de explotar la vulnerabilidad involucra un sitio Web
malicioso que almacene una página que explote el buffer overflow
en la función RDS Data Stub de MDAC a través de una aplicación del
cliente, como por ejemplo Internet Explorer. La mayoría de los
sistemas ejecutando Internet Explorer en sistemas operativos
distintos a Windows XP son vulnerables a éste ataque. El intruso
es capaz de ejecutar código arbitrario con los privilegios del
usuario que visualice la página Web maliciosa.

Tanto los servidores Web y las aplicaciones de clientes que
confían en MDAC son afectados. Se recomienda que todos los
usuarios de Microsoft Windows 98, Windows 98 SE, Windows ME,
Windows NT 4.0, y Windows 2000 apliquen la Actualización de
Seguridad (Q329414) . Los usuarios de Windows XP no son afectados
debido a que MDAC 2.7, que es una versión no vulnerable, está
instalada de forma predeterminada.

Información sobre esta vulnerabilidad es discutida en la Nota de
Vulnerabilidad VU#542081. El problema ha sido referenciado como
CAN-2002-1142.

IMPACTO

Un intruso remoto podría ejecutar código arbitrario con los
privilegios de la aplicación que procesó el requerimiento.

En el caso de un servidor Web u otro servicio, probablemente será
la cuenta SYSTEM u otra cuenta con privilegios elevados. En el
caso de la aplicación de un cliente, la cuenta será la utilizada
para visualizar la página Web.

SOLUCIONES

Aplicar una Actualización del Distribuidor

Microsoft ha liberado una Actualización de Seguridad (Q329414) y
un Boletín de Seguridad (MS02-065) para solucionar éste problema.
La versión de usuario final de MS02-065 esta disponible en
http://www.microsoft.com/security/se.../ms02-065.asp.

De acuerdo al boletín de Microsoft, existe un escenario en el cual
la versión vulnerable del control puede ser reinstalada en un
sistema Windows aún después de que la actualización haya sido
aplicada. Esto es debido al hecho de que el control Active X
vulnerable está firmado por Microsoft y la actualización no
establece el bit de eliminación para el control MDAC.

INFORMACIÓN

Éste documento se encuentra disponible en su formato original en
la siguiente dirección:

http://www.cert.org/advisories/CA-2002-033.html

Para mayor información acerca de éste boletín de seguridad
contactar a:

UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad@seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43



__________________________________________________ __________________________
Alejandro Núñez Sandoval.
Departamento de Seguridad en Cómputo.
UNAM-DGSCA