Bulletin de sécurité

Bulletin de sécurité Microsoft MS01-045 - Important

Isa Server H.323 Gatekeeper Service contient une fuite de mémoire

Publication : 16 août 2001 | Mise à jour : 18 mai 2003

Version : 1.1

Publication initiale : 16 août 2001
Mise à jour : 18 mai 2003

Résumé

Qui devez lire ce bulletin :
Administrateurs système exécutant Microsoft® Internet Security and Acceleration (ISA) Server 2000.

Impact de la vulnérabilité :
Déni de service ; Script intersites

Recommandation :
Les administrateurs système doivent envisager d’installer le correctif.

Logiciels affectés :

• Microsoft ISA Server 2000

Informations générales

Détails techniques

Description technique :

Ce bulletin traite de trois vulnérabilités de sécurité qui ne sont pas liées, sauf dans le sens où les deux affectent ISA Server 2000 :

• Vulnérabilité de déni de service impliquant le service Gatekeeper H.323, un service qui prend en charge la transmission du trafic voice-over-IP via le pare-feu. Le service contient une fuite de mémoire déclenchée par un type particulier de données H.323 mal formées. Chaque fois que ces données sont reçues, la mémoire disponible sur le serveur est épuisée d’une petite quantité ; si un attaquant a envoyé plusieurs fois de telles données, les performances du serveur peuvent se dégrader jusqu’à ce qu’il interrompe efficacement toutes les communications entre le pare-feu. Un administrateur de serveur peut restaurer un service normal en effectuant le cycle du service H.323.
• Vulnérabilité de déni de service dans le service proxy Winsock. Comme la vulnérabilité ci-dessus, celle-ci est due à une fuite de mémoire et peut être utilisée pour dégrader les performances du serveur pour pointer où les communcations sont interrompues.
• Une vulnérabilité de script intersites affectant la page d’erreur générée par ISA Server 2000 en réponse à une demande d’échec d’une page web. Un attaquant peut exploiter la vulnérabilité en faisant glisser un utilisateur pour soumettre à ISA Server 2000 une URL qui présente les caractéristiques suivantes : (a) elle fait référence à un site web valide ; (b)il demande une page au sein de ce site qui ne peut pas être récupérée , c’est-à-dire une page inexistante ou une page qui génère une erreur ; et (c) il contient un script dans l’URL. La page d’erreur générée par ISA Server 2000 contient les commandes de script incorporées, qui s’exécutent lorsque la page a été affichée dans le navigateur de l’utilisateur. Le script s’exécuterait dans le domaine de sécurité du site web référencé dans l’URL et serait en mesure d’accéder aux cookies que le site a écrits sur l’ordinateur de l’utilisateur.

Facteurs d’atténuation :

Vulnérabilité de déni de service H.323 :

• La vulnérabilité ne peut être exploitée que si le service Gatekeeper H.323 a été installé. Elle est installée uniquement par défaut si l’option « Installation complète » est choisie ; si l’option « Installation classique » est sélectionnée, elle n’est pas installée.
• La vulnérabilité n’permettrait pas à un attaquant d’obtenir des privilèges sur un serveur concerné ou d’ajouter un trafic à une session voice-over-IP existante. Il s’agit strictement d’une vulnérabilité de déni de service.

Vulnérabilité de déni de service proxy Winsock :

• La vulnérabilité ne peut être exploitée que par un utilisateur interne ; elle n’a pas pu être exploitée par un utilisateur Internet.
• La vulnérabilité ne permet pas à un attaquant d’obtenir des privilèges sur un serveur concerné ou de compromettre tout contenu mis en cache sur le serveur. Il s’agit strictement d’une vulnérabilité de déni de service.

Vulnérabilité de script intersites :

• Pour exécuter un script dans le domaine de sécurité d’un site approuvé, l’attaquant doit savoir quels sites, le cas échéant, un utilisateur approuvé. La plupart des utilisateurs utilisent les paramètres de sécurité par défaut pour tous les sites web, ce qui refuserait efficacement à un attaquant tout gain d’exploitation de la vulnérabilité à des fins d’exécution de script.
• Un attaquant qui souhaitait lire les cookies d’autres sites sur l’ordinateur d’un utilisateur n’aurait aucun moyen de savoir quels sites y avaient placé des cookies. L’attaquant aurait besoin d’exploiter la vulnérabilité une fois pour chaque site web dont les cookies qu’elle souhaitait accéder.
• Même si l’attaquant a correctement deviner quels sites avaient placé des cookies sur l’ordinateur d’un utilisateur, il ne doit y avoir aucune information sensible dans les cookies, si les meilleures pratiques ont été suivies.

Identificateur de vulnérabilité :

• H.323 Déni de service : CAN-2001-0546
• Déni de service de proxy Winsock : CAN-2001-0547
• Vulnérabilité de script intersites : CAN-2001-0658

Versions testées :

Microsoft a testé ISA Server 2000 et Proxy Server 2.0 pour évaluer s’ils sont affectés par ces vulnérabilités. Les versions précédentes ne sont plus prises en charge et peuvent ou non être affectées par ces vulnérabilités.

Forum aux questions

Quelles sont les vulnérabilités abordées dans ce bulletin ?
Ce bulletin traite de trois vulnérabilités non liées affectant ISA Server 2000 :

• Vulnérabilité qui pourrait permettre à un attaquant de perturber le service sur un serveur ISA via un service de téléphonie Internet.
• Vulnérabilité qui pourrait permettre à un attaquant de perturber le service sur un serveur ISA via le service proxy Winsock.
• Vulnérabilité qui pourrait permettre à un attaquant dans des conditions très inhabituelles de prendre des mesures ou d’afficher des cookies sur l’ordinateur d’un utilisateur.

Quelle est l’étendue de la première vulnérabilité ?
La première vulnérabilité est une vulnérabilité de déni de service . En envoyant à plusieurs reprises un type particulier de données incorrectes, un attaquant peut dégrader les performances d’un serveur ISA affecté, potentiellement au point de perturber les communications entre le serveur. Selon l’emplacement du serveur au sein du réseau, cela peut entraîner l’isolement des parties du réseau les unes des autres, ou l’impossibilité pour les utilisateurs à l’intérieur du réseau d’accéder à Internet. La vulnérabilité se produit uniquement si un service particulier prenant en charge la téléphonie IP est activé. Ce service n’est pas installé par défaut dans les installations tyicales.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité résulte d’une fuite de mémoire dans le service Gatekeeper H.323 dans ISA Server.

Qu’est-ce que le service Gatekeeper H.323 ?
H.323 est une norme de téléphonie internationale qui spécifie la façon dont les communications vocales sur les médias comme Internet doivent être gérées. Le service Gatekeeper H.323 dans ISA Server implémente cette norme et permet aux communications vocales sur IP de passer par le pare-feu.

Qu’est-ce qu’une fuite de mémoire ?
Une fuite de mémoire est une erreur d’implémentation qui épuise la mémoire disponible sur un système. En tant que processus sur un ordinateur s’exécute, il peut nécessiter plus ou moins de mémoire, selon exactement ce qu’il fait d’une minute à l’autre. Lorsque le processus a besoin de plus de mémoire, il le demande à partir du système d’exploitation ; lorsqu’elle n’a plus besoin de la mémoire supplémentaire, elle doit la retourner au système d’exploitation afin qu’elle puisse être allouée à d’autres processus. Si un processus ne retourne pas correctement de la mémoire au système d’exploitation, la mémoire reste affectée au processus même si le processus n’est plus utilisé, et la mémoire ne peut pas être réaffectée. Cela rend le bloc de mémoire indisponible. Dans ce cas, le service Gatekeeper H.323 a une erreur d’implémentation qui entraîne une fuite de mémoire lorsque certaines données non valides sont envoyées à celui-ci.

Qu’est-ce qu’un attaquant peut faire via cette vulnérabilité ?
Un attaquant peut envoyer délibérément un grand nombre de données H.323 mal formées afin d’épuiser la mémoire disponible du serveur. À mesure que l’attaque s’est poursuivie et que le pool de mémoire sur le serveur a été épuisé, les performances du serveur ralentiraient progressivement, potentiellement jusqu’au point où il n’a plus fourni de service du tout.

Signifiez-vous qu’une attaque réussie empêcherait le service H.323 d’effectuer des tâches utiles ou l’ensemble du serveur ISA ?
La fuite de mémoire affecte le pool de mémoire utilisé par tous les logiciels sur le système, de sorte qu’une attaque réussie affecterait le serveur dans son ensemble.

Quel serait l’effet de perturber le service sur le système ?
Le serveur ISA peut être configuré pour agir en tant que pare-feu, proxy web ou les deux. Dans les deux rôles, ISA sert de canal de communication entre les parties d’un réseau ou entre le réseau et Internet. Si le service Gatekeeper H.323 a été attaqué via cette vulnérabilité, l’effet serait de ralentir ces communications ou de les bloquer complètement.

Comment un serveur affecté peut-il être remis en service ?
L’administrateur du serveur peut restaurer le service normal en arrêtant et en démarrant ISA Server 2000.

Cette vulnérabilité pourrait-elle être exploitée à partir d’Internet ?
Oui. Les utilisateurs internes et externes peuvent envoyer des données au service Gatekeeper H.323.

Supposons que le serveur Gatekeeper H.323 a été désactivé. La vulnérabilité pourrait-elle alors être exploitée ?
Non. La vulnérabilité affecte uniquement les serveurs ISA dont le service Gatekeeper H.323 est activé. Le service est installé par défaut si l’option « Installation complète » est choisie lors de l’installation d’ISA Server 2000 ; toutefois, si l’option « Installation classique » est choisie, le service Gatekeeper H.323 n’est pas installé.

La vulnérabilité permet-elle à un attaquant de contrôler le serveur ou de compromettre la sécurité du pare-feu ?
Non. Il peut être utilisé pour obtenir des privilèges sur le serveur. Il ne peut être utilisé que pour refuser des services aux utilisateurs légitimes.

La vulnérabilité permet-elle à un attaquant d’intercepter une session voice-over-IP ou d’y ajouter des données fausses ?
Non. Il ne fournit aucun moyen à un attaquant de se décomposer dans une session H.323 existante.

Que fait le correctif ?
Le correctif entraîne l’allocation et la libération de la mémoire du service Gatekeeper H.323, ce qui supprime la fuite de mémoire.

Quelle est l’étendue de la deuxième vulnérabilité ?
Cette vulnérabilité est pratiquement identique à la première vulnérabilité ci-dessus. Comme cette vulnérabilité, celle-ci peut être utilisée pour dégrader les performances d’un système exécutant ISA Server 2000, potentiellement au point où les communications entre le réseau interne et externe seraient interrompues. La gravité de cette vulnérabilité est atténuée quelque peu par le fait qu’elle ne pouvait être exploitée qu’à partir d’un réseau.

Quelles sont les causes de la vulnérabilité ?
Comme la vulnérabilité ci-dessus, celle-ci résulte d’une fuite de mémoire. Dans ce cas, la fuite se trouve dans le service proxy Winsock d’ISA Server 2000.

Quel est l’effet de l’exploitation de cette vulnérabilité ?
Comme dans le cas ci-dessus, cette vulnérabilité peut permettre à un attaquant de dégrader les performances d’un serveur ISA, potentiellement au point de perturber les communications sur le serveur proxy.

Existe-t-il des différences entre les deux vulnérabilités ?
Oui. Contrairement à la fuite de mémoire dans le service Gatekeeper H.323, celle du service proxy Winsock ne peut être exploitée qu’à partir du réseau. Autrement dit, il n’est pas possible pour un attaquant sur Internet d’exploiter la vulnérabilité.

Le service proxy Winsock est-il installé par défaut ?
Oui.

Que fait le correctif ?
Le correctif entraîne l’allocation et la libération correctes de la mémoire par le service proxy Winsock.

Quelle est l’étendue de la troisième vulnérabilité ?
Cette vulnérabilité peut permettre à un attaquant d’effectuer l’une des deux actions suivantes :

• Entraîner l’exécution du contenu web avec les paramètres de sécurité appropriés à un site web approuvé.
• Lire les cookies définis par un site web approuvé.

Dans la pratique, toutefois, l’exploitation de cette vulnérabilité serait un défi intimidant. L’attaquant n’aurait probablement aucun moyen de savoir quels sites web, le cas échéant, un utilisateur particulier approuvé. De même, si les meilleures pratiques ont été suivies et que les cookies d’un site ne contiennent pas d’informations sensibles, la possibilité de les lire ne représenterait aucun gain pour l’attaquant.

Quelles sont les causes de la vulnérabilité ?
La vulnérabilité se traduit par le fait qu’un message d’erreur ( en particulier, le serveur ISA génère lorsqu’il ne peut pas récupérer une page web demandée) est susceptible de générer des scripts intersites.

Qu’est-ce que l’écriture de scripts intersites ?
Le script intersites est un type de vulnérabilité de sécurité qui se produit lorsque le contenu web ne filtre pas correctement ses entrées. Dans la plupart des cas, le script intersites se produit lorsqu’une page web accepte un type d’entrée utilisateur (par exemple, une expression à rechercher) puis crée une page à l’aide de cette entrée. Si la page n’case activée pas pour la présence de script dans l’entrée de l’utilisateur, le résultat est que le script, lorsqu’il est traité dans le cadre de la page web, s’exécute dans le domaine du site web. Une telle condition n’est pas dangereuse dans le cas où l’utilisateur fournit l’entrée - après tout, l’utilisateur peut avoir effectué les actions directement plutôt que de les exécuter via le script. Toutefois, comme indiqué dans le FAQ sur les scripts intersites, il existe des cas dans lesquels il est possible qu’un tiers « injecte » des entrées contenant un script dans la session web d’un utilisateur. Cela pose un risque, car il peut permettre à l’exécution du script tiers dans le navigateur de l’utilisateur à l’aide des paramètres de sécurité appropriés à la page web.

Que pouvez-vous faire par le biais d’un script intersites ?
L’écriture de scripts intersites offre deux possibilités pour un attaquant :

• Exécution de script dans les paramètres de sécurité d’un autre site web, probablement approuvé. Par exemple, supposons que John trusted Web Site A et avait assoupli les paramètres de sécurité de son navigateur pour lui permettre de prendre des mesures qui étaient proportionnelles à cette confiance. Supposons maintenant que Jane a identifié une vulnérabilité de script intersites dans le site Web A. Si elle pourrait l’exploiter, le résultat serait que son script semble provenir du site Web A, et qu’il s’exécuterait donc à l’aide des paramètres de sécurité détendus que John avait définis pour lui.
• Lecture et écriture de cookies. Étant donné que le script s’exécuterait comme s’il provient du site Web A, tous les cookies que le site Web A avait définis sur l’ordinateur de John pouvaient être accessibles et modifiés par le script de Jane.

Qu’est-ce que cela doit faire avec ISA Server ?
Quand ISA Server est invité à récupérer une page web, mais ne peut pas , car la page n’existe pas, car le serveur n’est pas disponible, etc. il génère des informations d’erreur à afficher dans le navigateur de l’utilisateur. Ces informations d’erreur prennent la forme d’une page web et incluent l’URL demandée. Toutefois, ISA n’case activée pas l’URL pour la présence de commandes de script lors de la génération de la page, avec le résultat qu’il est vulnérable à l’écriture de scripts intersites.

Qu’est-ce que cela permettrait à un attaquant de faire ?
Comme toutes les vulnérabilités de script intersites, cela pourrait permettre à un attaquant d’exécuter du code dans le domaine de sécurité d’un autre site web ou d’accéder aux cookies du site.

Comment un attaquant peut-il exploiter la vulnérabilité ?
L’attaquant peut essayer d’exploiter la vulnérabilité de deux façons :

• En incluant un lien sur son site web vers une page non disponible sur un site web qu’elle croyait un autre utilisateur, fonctionnant derrière un serveur ISA, approuvé. Si elle pourrait persuader l’utilisateur de visiter son site web, elle pourrait provoquer le lien faux vers le feu, exploitant ainsi la vulnérabilité.
• En incluant un lien dans un courrier HTML et en le publiant à sa cible. Le lien faux se déclenche lorsque le destinataire a ouvert le courrier.

Quelle est la dangerosité de cette vulnérabilité ?
Microsoft recommande de prendre sérieusement toutes les vulnérabilités de sécurité. Toutefois, il est possible de constater que l’exploitation de cette vulnérabilité serait difficile, qu’elle soit exploitée dans le but d’exécuter un script avec les paramètres de sécurité d’un site approuvé ou d’obtenir les cookies d’un autre site.

• Le problème pour un attaquant qui voulait exécuter du code avec les paramètres d’un autre site est qu’il serait difficile ou impossible de savoir quels sites un autre utilisateur approuve. En fait, la plupart des utilisateurs ne modifient pas leurs paramètres de sécurité par défaut, auquel cas le code de l’attaquant s’exécuterait avec exactement les mêmes restrictions de sécurité, quel que soit le site à partir duquel il semblait provenir.
• En ce qui concerne les cookies, il est difficile que si un site web gère correctement les cookies, il n’y aurait pas d’informations sensibles dans ces cookies à compromettre.

J’ai entendu dire que certains sites web conservent des informations dans des cookies qui ne pouvaient pas être utilisés pour se connecter en tant que moi, mais qui laisserait quelqu’un « pirater » une session une fois que je l’ai démarrée. Que se passe-t-il si l’attaquant a utilisé cette vulnérabilité pour lire un tel cookie ?
Il est vrai que certains sites web conservent les informations de session dans les cookies, pour identifier l’utilisateur pendant qu’une session est en cours. Si un attaquant a réussi à accéder à un tel cookie, il peut être possible de « détourner » une session, ce qui signifie que l’attaquant peut être en mesure d’insérer des commandes dans la session. Toutefois, il est important de garder ce scénario en perspective.

• Dans la plupart des cas, l’attaquant n’aurait aucun moyen de savoir si un utilisateur particulier s’est abonné à un service qui a utilisé ces cookies.
• Même si l’attaquant savait qu’un utilisateur s’est abonné à un tel service, il n’y aurait généralement aucun moyen pour l’attaquant de résoudre le problème de minutage , à savoir comment amener l’utilisateur à tomber victime de l’attaque après avoir démarré une session avec le service spécifique que l’attaquant voulait détourner.
• Même si l’attaquant a obtenu les informations de session, le détournement d’une session pourrait être très difficile. Il faudrait probablement que l’attaquant envoie des paquets « en aveugle », sans aucun moyen de savoir si l’attaque a réussi.

Que fait le correctif ?
Le correctif entraîne l’absence de jetons d’URL dans les pages d’erreur du proxy web ISA.

Disponibilité des retouches

Télécharger les emplacements de ce correctif

• Microsoft ISA Server 2000 :
  https://www.microsoft.com/download/details.aspx?FamilyId=734BE98D-87C3-4155-BFC1-AD0ECAEB68EB& displaylang ;=en

Informations supplémentaires sur ce correctif

Plateformes d’installation :

Ce correctif peut être installé sur les systèmes exécutant ISA Server 2000 Gold.

Inclusion dans les service packs futurs :

Le correctif de ce problème sera inclus dans ISA Server 2000 Service Pack 1.

Redémarrage nécessaire : Oui

Correctifs remplacés :

Ce correctif remplace celui fourni via le Bulletin de sécurité Microsoft MS01-021. Vérification de l’installation des correctifs : pour vérifier que le correctif a été installé sur l’ordinateur, vérifiez que la clé de Registre suivante a été créée sur l’ordinateur :
HKEY_LOCAL_MACHINE \Software\Microsoft\FP\Hotfixes\ISA3.0\68.

• Pour vérifier les fichiers individuels, utilisez les informations de date/heure et de version fournies dans l’article de la Base de connaissances Q289503.

Avertissements :

Aucun

Localisation :

Le correctif peut être installé sur tous les systèmes exécutant ISA Server 2000, quelle que soit la version du langage.

Obtention d’autres correctifs de sécurité :

Les correctifs pour d’autres problèmes de sécurité sont disponibles à partir des emplacements suivants :

• Les correctifs de sécurité sont disponibles à partir du Centre de téléchargement Microsoft et sont facilement trouvés en effectuant une recherche mot clé pour « security_patch ».
• Les correctifs pour les plateformes grand public sont disponibles à partir du site web WindowsUpdate .

Informations supplémentaires :

Accusés de réception

Microsoft remercie les personnes suivantes de travailler avec nous pour protéger les clients :

• Peter Grundl pour signaler les fuites de mémoire dans le service Gatekeeper H.323 et le service proxy Winsock.
• Dr Hiromitsu Takagi pour signaler la vulnérabilité de script intersites.

Support :

• Les articles de la Base de connaissances Microsoft Q289503 et Q295389 discuter de ce problème et seront disponibles environ 24 heures après la publication de ce bulletin. Vous trouverez les articles de la Base de connaissances sur le site web du support microsoft Online.
• Le support technique est disponible auprès des services de support technique Microsoft. Il n’y a aucun frais pour les appels de support associés aux correctifs de sécurité.

Ressources de sécurité : Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité :

Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions:

• V1.0 16 août 2001 : Bulletin créé.
• V1.1 (18 mai 2003) : liens de téléchargement mis à jour vers Windows Update et des informations sur le scritping intersites.

Construit à 2014-04-18T13 :49 :36Z-07 :00