Descubiertas vulnerabilidades por desbordamiento de búfer en
DVWSSR.DLL, IMAGEMAP y HTIMAGE.EXE, componentes de las Extensiones
de FrontPage y otras distribuciones, que pueden ser explotados
para ejecutar código arbitrario de forma remota en servidores web.
FrontPage es una herramienta de Microsoft para desarrolladores Web que
facilita y simplifica la creación y mantenimiento de las publicaciónes
en Internet gracias, entre otras, a las utilidades de administración
remota.
Para poder llevar a cabo la comunicación, entre el ordenador del
desarrollador y el sitio Web, es necesario que el servidor incorpore
los componentes necesarios, las Extensiones de FrontPage. Además de
incorporar los elementos para la comunicación entre servidor y
cliente, las Extensiones de FrontPage incorporan otros componentes
para dotar de mayor funcionalidad a las páginas web, como puede ser,
por ejemplo, un CGI para contar visitas.
DVWSSR.DLL, la supuesta puerta trasera de Microsoft
DVWSSR.DLL es uno de los componentes de FrontPage que se instalan en
los servidores web, su función consiste en permitir la comunicación
con los sistemas clientes de los desarrolladores para soportar la
característica «Link View», que permite visualizar de forma gráfica un
mapa del sitio web con la relación existente entre sus páginas.
Esta librería ha sido protagonista estas últimas semanas debido a un
informe de un consultor de seguridad, apodado «Rain Forest Puppy»,
donde aseguraba haber descubierto una puerta trasera en DVWSSR.DLL a
través de la cual era posible para un desarrollador acceder al código
de las páginas .ASP o .ASA de otros dominios, distintos al suyo, que
se hospedaran en el mismo servidor.
En el informe quedaba descubierto el método de ofuscación utilizado
entre las librerías DVWSSR.DLL y MTD2LV.DLL, componentes servidor y
cliente de «Link View», para mantener sus comunicaciones ocultas. Como
elemento curioso, que ayudó a que la noticia saltara a los principales
medios de comunicación, se demostraba que la cadena utilizada en el
algoritmo de ofuscación era «Netscape engineers are weenies!»,
traducido como «¡Los ingenieros de Netscape son unos canijos!».
Más tarde se demostraría que tal puerta trasera no existía, y que el
análisis de «Rain Forest Puppy» era incorrecto en parte. Todo indica
que en las pruebas realizadas los permisos estaban mal establecidos,
motivo por el cual se podía acceder a las páginas ASP fuera del ámbito
del usuario, y no por conocer el algoritmo de ofuscación, cuya única
funcionalidad es la de ocultar en la transmisión los nombres de los
ficheros que MTD2LV.DLL solicita a DVWSSR.DLL.
Con el exploit que acompañaba el análisis, en un sistema bien
configurado, se demostró que no era factible saltarse ningún control
de acceso, hecho que Hispasec adelantaba en primicia el viernes 14 de
abril en declaraciones al periódico El Mundo:
http://www.elmundo.es/navegante/diario/2000/04/15/ms_frontpage.html
Al mismo tiempo que la propia Microsoft desmentía la existencia de una
puerta trasera se confirmaba el hallazgo de una vulnerabilidad en la
misma librería por desbordamiento de búfer, que podía ser explotada
para ejecutar código arbitrario. Cuando todos esperaban el típico
parche para corregir la vulnerabilidad, Microsoft reconoce y confirma
el problema, pero ofrece como solución la eliminación de la librería
DVWSSR.DLL.
Microsoft pide también eliminar IMAGEMAP.EXE y HTIMAGE.EXE
También se han confirmado la posibilidad de provocar desbordamientos
de búfer en IMAGEMAP.EXE y HTIMAGE.EXE, dos componentes que Microsoft
incluye para soportar desde el servidor la funcionalidad de «image
mapping», enlaces por áreas gráficas, compatible con CERN
(HTIMAGE.EXE) y NCSA (IMAGEMAP.EXE).
Al igual que ocurriera con DVWSSR.DLL, Microsoft nos sorprende con
su «procedimiento» para estar libres de la vulnerabilidad, que no es
otro que buscar los ficheros afectados en todo el sistema y
eliminarlos.
Las distribuciones que instalan las ficheros descritos son:
– Extensiones FrontPage 97
– Extensiones FrontPage 98
– Option Pack para IIS y Windows NT 4.0
– Personal Web Server 4.0, para Windows 95 y 98
– Visual InterDev
En todos los casos Microsoft asegura que la eliminación de los
ficheros afectados no reporta perdida adicional de funcionalidad más
allá del propio cometido de los componentes. Es decir, al eliminar
éstos ficheros se perderá la característica «Link View» de FrontPage
e «image mapping» compatible con CERN y NCSA.
Más información:
A back door in Microsoft FrontPage extensions
http://www.wiretrip.net/rfp/p/doc.asp?id=45&iface=2
Microsoft secret file could allow access to Web sites
http://news.cnet.com/news/0-1003-200-1696137.html?tag=st.ne.1002.
MS IIS FrontPage 98 Extensions Filename Obfuscation Vulnerability
http://www.securityfocus.com/vdb/?id=1108
Un programa de Microsoft para servidores ‘web’
supone un riesgo potencial para la seguridad de un sistema
http://www.elmundo.es/navegante/diario/2000/04/15/ms_frontpage.html
Microsoft security hole puts Web sites at risk
http://news.cnet.com/news/0-1003-200-1707928.html?tag=st.ne.1002.
Microsoft Security Bulletin (MS00-025)
http://www.microsoft.com/technet/security/bulletin/ms00-025.asp
Microsoft Security Bulletin (MS00-028)
http://www.microsoft.com/technet/security/bulletin/ms00-028.asp
bernardo@hispasec.com
Deja una respuesta