Boletim de Segurança
Microsoft Security Bulletin MS02-010 - Crítica
Buffer não verificado no filtro ISAPI pode permitir o comprometimento do Commerce Server
Publicado: terça-feira, 21 de fevereiro de 2002 | Atualizado: May 09, 2003
Versão: 1.2
Originalmente postado: 21 de fevereiro de 2002
Atualizado: May 09, 2003
Resumo
Quem deve ler este boletim: Administradores de sistema usando o Microsoft® Commerce Server 2000
Impacto da vulnerabilidade: execute o código de escolha do invasor.
Classificação de gravidade máxima: Crítica
Recomendação: Os administradores de sistema devem instalar o patch imediatamente.
Software afetado:
- Microsoft Commerce Server 2000
Informações Gerais
Detalhes técnicos
Descrição técnica:
Por padrão, o Commerce Server 2000 instala um .dll com um filtro ISAPI que permite que o servidor forneça funcionalidade estendida em resposta a eventos no servidor. Esse filtro, chamado AuthFilter, fornece suporte para uma variedade de métodos de autenticação. Commerce Server 2000 também pode ser configurado para usar outros métodos de autenticação.
Uma vulnerabilidade de segurança resulta porque AuthFilter contém um buffer não verificado em uma seção de código que manipula determinados tipos de solicitações de autenticação. Um invasor que forneceu dados de autenticação que excederam o buffer pode causar falha no processo do Commerce Server ou pode executar código no contexto de segurança do processo do Commerce Server. O processo é executado com privilégios LocalSystem, portanto, explorar a vulnerabilidade daria ao invasor controle total do servidor.
Fatores atenuantes:
- Embora o Commerce Server 2000 depende do IIS para seus serviços Web base, o filtro ISAPI AuthFilter só está disponível como parte do Commerce Server. Os clientes que usam o IIS não correm risco com essa vulnerabilidade.
- A ferramenta URLScan, se implantada usando o conjunto de regras padrão para o Commerce Server, tornaria difícil, se não impossível, para um invasor explorar a vulnerabilidade para executar código, limitando significativamente os tipos de dados que poderiam ser incluídos em uma URL. No entanto, ainda seria possível realizar ataques de negação de serviço.
- A capacidade de um invasor de estender o controle de um servidor Web comprometido para outras máquinas dependeria muito da configuração específica da rede. As práticas recomendadas recomendam que a arquitetura de rede leve em conta o alto risco inerente que as máquinas em um ambiente não controlado, como a Internet, enfrentam, minimizando a exposição geral por meio de medidas como as DMZ, operando com serviços mínimos e isolando o contato com redes internas. Etapas como essa podem limitar a exposição geral e impedir a capacidade de um invasor de ampliar o escopo de um possível comprometimento.
- Embora o filtro ISAPI seja instalado por padrão, ele não é carregado em nenhum site por padrão. Ele deve ser habilitado por meio do console de administração do Commerce Server no MMC (Console de Gerenciamento Microsoft).
Classificação de gravidade:
| Servidores de Internet | Servidores de Intranet | Sistemas Clientes | |
|---|---|---|---|
| Microsoft Commerce Server 2000 | Crítico | Crítico | Nenhum |
A avaliação acima é baseada nos tipos de sistemas afetados pela vulnerabilidade, seus padrões de implantação típicos e o efeito que a exploração da vulnerabilidade teria sobre eles. A criticidade é considerada devido à possibilidade de executar código remotamente no contexto de segurança do sistema operacional.
Identificador de vulnerabilidade:CAN-2002-0050
Versões testadas:
A Microsoft testou o Commerce Server 2000, o Site Server 3.0 e o Site Server 3.0 Commerce Edition para avaliar se eles são afetados por essa vulnerabilidade. As versões anteriores não são mais suportadas e podem ou não ser afetadas por essas vulnerabilidades.
Perguntas frequentes
Qual é a abrangência da vulnerabilidade?
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter controlo total sobre um servidor Web de comércio afectado. Isso daria ao invasor a capacidade de executar qualquer ação desejada no servidor, incluindo alterar páginas da Web, reformatar o disco rígido ou adicionar novos usuários ao grupo de administradores local.
A vulnerabilidade afeta apenas sites que usam o Microsoft Commerce Server; aqueles que usam o IIS não correm risco. Além disso, se uma ferramenta recomendada tiver sido aplicada ao servidor, a gravidade da vulnerabilidade será significativamente reduzida. Especificamente, se a ferramenta URLScan estivesse em uso, a vulnerabilidade só poderia ser usada para fazer com que o serviço falhasse, após o que ele seria reiniciado automaticamente. A ferramenta URLScan não é instalada por padrão.
O que causa a vulnerabilidade?
A vulnerabilidade resulta porque um filtro ISAPI que oferece suporte à autenticação de usuário no Commerce Server 2000 contém um buffer não verificado. Ao fornecer informações de autenticação especialmente malformadas, um invasor pode criar uma condição de saturação de buffer.
O que é o Microsoft Commerce Server?
O Commerce Server é um produto de servidor web que é adaptado para a criação de sites de comércio eletrônico. Ele fornece ferramentas e recursos que simplificam o desenvolvimento e a implantação de soluções de comércio eletrônico, além de fornecer ferramentas que permitem ao administrador do site analisar o uso do site.
É o Commerce Server diferente do Internet Information Server?
Sim. O Commerce Server usa o IIS (Serviço de Informações da Internet) para fornecer recursos básicos do servidor Web, mas também inclui recursos e funções adicionais. De particular importância neste caso é o fato de que a vulnerabilidade está dentro de um componente que é fornecido como parte do Commerce Server 2000, mas não IIS. Devido a isso, os servidores IIS não correm risco com essa vulnerabilidade.
O que é um filtro ISAPI?
ISAPI (Internet Services Application Programming Interface) é uma tecnologia que permite aos desenvolvedores estender a funcionalidade fornecida por um servidor Web. Um filtro ISAPI é uma biblioteca de vínculo dinâmico (.dll) que usa ISAPI para responder a eventos que ocorrem no servidor.
Qual é o filtro ISAPI associado a esta vulnerabilidade?
A vulnerabilidade está dentro do filtro ISAPI AuthFilter. AuthFilter fornece suporte para uma variedade de métodos de autenticação. A vulnerabilidade resulta porque o código que processa os dados de autenticação em vários desses métodos contém um buffer não verificado.
O que essa vulnerabilidade permitiria que um invasor fizesse?
A vulnerabilidade pode permitir que um invasor, fornecendo dados que excedam o buffer no AuthFilter, substitua a memória dentro do próprio processo do Commerce Server.
O que isso permitiria que um invasor fizesse?
Dependendo dos dados específicos escolhidos pelo invasor, um dos dois efeitos pode ocorrer:
- Se os dados foram selecionados aleatoriamente, o processo do Commerce Server falharia.
- Se os dados foram cuidadosamente selecionados, pode ser possível para o invasor alterar o software Commerce Server enquanto ele estava em execução.
Se o invasor fornecesse dados aleatórios, o que seria necessário para restaurar a operação normal?
Nada. O processo do Commerce Server seria automaticamente reiniciado a si mesmo. No entanto, quaisquer sessões de usuário que estavam em processo no momento do ataque podem ser perdidas.
Se o invasor forneceu dados cuidadosamente selecionados e alterou o processo do Commerce Server, o que o processo modificado poderia fazer?
O processo modificado seria capaz de executar qualquer ação para a qual o invasor o direcionasse. O processo do Commerce Server é executado com privilégios LocalSystem, para que o invasor possa obter controle total sobre o servidor e executar qualquer ação desejada nele.
Essa vulnerabilidade pode ser explorada por acidente?
Não. Os dados de autenticação de sites são quase sempre enviados por meio de um formulário da Web que, se implementado corretamente, filtraria dados como os usados para explorar a vulnerabilidade. (Os formulários da Web de exemplo fornecidos com o Commerce Server 2000 mostram como isso deve ser feito). A vulnerabilidade só pode ser explorada por um invasor que enviou dados de autenticação malformados diretamente para o servidor, ignorando quaisquer formulários da Web.
O AuthFilter está instalado por padrão?
Sim. Essa é uma configuração padrão apropriada, porque os sites de comércio eletrônico praticamente sempre exigem suporte à autenticação.
Commerce Server 2000 também pode ser configurado para usar outros métodos de autenticação. Se outro método de autenticação for usado, o sistema não será afetado por essa vulnerabilidade.
Instalei a ferramenta URLScan no meu servidor. Evitará ataques através desta vulnerabilidade?
Por padrão, o URLScan impediria que um invasor usasse a vulnerabilidade para obter controle sobre o servidor. Isso ocorre porque o conjunto de regras padrão para o Commerce Server proíbe certos tipos de dados, sem o qual não seria possível modificar o processo do Commerce Server para executar ações significativas. Por outro lado, mesmo com o URLScan instalado, um invasor ainda pode causar falha no processo do Commerce Server. Como resultado, mesmo os clientes que estão usando o URLScan devem instalar o patch.
Como essa vulnerabilidade foi descoberta?
A Microsoft descobriu a vulnerabilidade internamente, como parte de uma revisão do código de segurança.
Ouvi dizer que alguns sites já possuem o patch instalado. Isso está correto?
Sim. A Microsoft contactou um pequeno número de clientes cujos sites estavam particularmente expostos a esta vulnerabilidade e forneceu-lhes o patch, a fim de lhes dar a oportunidade de proteger os seus sistemas antes do lançamento do boletim.
Estou executando o Site Server 3.0 Commerce Edition. Posso ser afetado pela vulnerabilidade?
Não. Site Server 3.0 e Site Server 3.0 Commerce Edition, o produto antecessor do Commerce Server 2000, não são afetados pela vulnerabilidade.
O que o patch faz?
O patch elimina a vulnerabilidade instituindo a manipulação adequada do buffer no filtro ISAPI do AuthFilter.
Disponibilidade do patch
Locais de download deste patch
Microsoft Commerce Server 2000
Informações adicionais sobre este patch
Plataformas de instalação:
Este patch pode ser instalado em sistemas que executam o Commerce Server 2000 Service Pack 2
Inclusão em service packs futuros:
A correção para esse problema será incluída no Commerce Server 2000 Service Pack 3.
Reinicialização necessária: Sim
Patches substituídos: Nenhum.
Verificando a instalação do patch:
- Para verificar se o patch foi instalado no computador, confirme se a seguinte chave do Registro foi criada no computador: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Commerce Server 2000\SP3\Q317615.
- Para verificar os arquivos individuais, use as informações de data/hora e versão fornecidas na seguinte chave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Commerce Server 2000\SP3\Q317615\Filelist
Restrições:
Nenhum
Localização:
Versões localizadas deste patch estão disponíveis nos locais discutidos em "Disponibilidade do patch".
Obtendo outros patches de segurança:
Patches para outros problemas de segurança estão disponíveis nos seguintes locais:
- Os patches de segurança estão disponíveis no Centro de Download da Microsoft e podem ser encontrados mais facilmente fazendo uma pesquisa de palavra-chave para "security_patch".
- Os patches para plataformas de consumidor estão disponíveis no site do WindowsUpdate .
Outras informações:
Suporte:
- O artigo Q317615 Base de Dados de Conhecimento Microsoft discute esse problema e estará disponível aproximadamente 24 horas após o lançamento deste boletim. Os artigos da Base de Dados de Conhecimento podem ser encontrados no site de Suporte Online da Microsoft.
- O suporte técnico está disponível no Atendimento Microsoft. Não há cobrança por chamadas de suporte associadas a patches de segurança.
Recursos de segurança: O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de Isenção de Responsabilidade:
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- V1.0 (21 de fevereiro de 2002): Boletim criado.
- V1.1 (28 de fevereiro de 2003): Links atualizados na seção Perguntas frequentes.
- V1.2 (9 de maio de 2003): Links de download atualizados para o Windows Update.
Construído em 2014-04-18T13:49:36Z-07:00