Descubiertas vulnerabilidades por desbordamiento de búfer en DVWSSR.DLL, IMAGEMAP y HTIMAGE.EXE, componentes de las Extensiones de FrontPage y otras distribuciones, que pueden ser explotados para ejecutar código arbitrario de forma remota en servidores web.
FrontPage es una herramienta de Microsoft para desarrolladores Web que facilita y simplifica la creación y mantenimiento de las publicaciónes en Internet gracias, entre otras, a las utilidades de administración remota.
Para poder llevar a cabo la comunicación, entre el ordenador del desarrollador y el sitio Web, es necesario que el servidor incorpore los componentes necesarios, las Extensiones de FrontPage. Además de incorporar los elementos para la comunicación entre servidor y cliente, las Extensiones de FrontPage incorporan otros componentes para dotar de mayor funcionalidad a las páginas web, como puede ser, por ejemplo, un CGI para contar visitas.
DVWSSR.DLL, la supuesta puerta trasera de Microsoft
DVWSSR.DLL es uno de los componentes de FrontPage que se instalan en los servidores web, su funci¢n consiste en permitir la comunicaci¢n con los sistemas clientes de los desarrolladores para soportar la caracter¡stica «Link View», que permite visualizar de forma gr fica un mapa del sitio web con la relaci¢n existente entre sus p ginas.
Esta librer¡a ha sido protagonista estas oltimas semanas debido a un informe de un consultor de seguridad, apodado «Rain Forest Puppy», donde aseguraba haber descubierto una puerta trasera en DVWSSR.DLL a trav’s de la cual era posible para un desarrollador acceder al c¢digo de las p ginas .ASP o .ASA de otros dominios, distintos al suyo, que se hospedaran en el mismo servidor.
En el informe quedaba descubierto el m’todo de ofuscaci¢n utilizado entre las librer¡as DVWSSR.DLL y MTD2LV.DLL, componentes servidor y cliente de «Link View», para mantener sus comunicaciones ocultas. Como elemento curioso, que ayud¢ a que la noticia saltara a los principales medios de comunicaci¢n, se demostraba que la cadena utilizada en el algoritmo de ofuscaci¢n era «Netscape engineers are weenies!», traducido como «¥Los ingenieros de Netscape son unos canijos!».
M s tarde se demostrar¡a que tal puerta trasera no exist¡a, y que el an lisis de «Rain Forest Puppy» era incorrecto en parte. Todo indica que en las pruebas realizadas los permisos estaban mal establecidos, motivo por el cual se pod¡a acceder a las p ginas ASP fuera del mbito del usuario, y no por conocer el algoritmo de ofuscaci¢n, cuya onica funcionalidad es la de ocultar en la transmisi¢n los nombres de los ficheros que MTD2LV.DLL solicita a DVWSSR.DLL.
Con el exploit que acompa_aba el an lisis, en un sistema bien configurado, se demostr¢ que no era factible saltarse ningon control de acceso, hecho que Hispasec adelantaba en primicia el viernes 14 de abril en declaraciones al peri¢dico El Mundo:
http://www.elmundo.es/navegante/diario/2000/04/15/ms_frontpage.html
Al mismo tiempo que la propia Microsoft desment¡a la existencia de una puerta trasera se confirmaba el hallazgo de una vulnerabilidad en la misma librer¡a por desbordamiento de bofer, que pod¡a ser explotada para ejecutar c¢digo arbitrario. Cuando todos esperaban el t¡pico parche para corregir la vulnerabilidad, Microsoft reconoce y confirma el problema, pero ofrece como soluci¢n la eliminaci¢n de la librer¡a DVWSSR.DLL.
Microsoft pide tambi’n eliminar IMAGEMAP.EXE y HTIMAGE.EXE
Tambi’n se han confirmado la posibilidad de provocar desbordamientos de bofer en IMAGEMAP.EXE y HTIMAGE.EXE, dos componentes que Microsoft incluye para soportar desde el servidor la funcionalidad de «image mapping», enlaces por reas gr ficas, compatible con CERN (HTIMAGE.EXE) y NCSA (IMAGEMAP.EXE).
Al igual que ocurriera con DVWSSR.DLL, Microsoft nos sorprende con su «procedimiento» para estar libres de la vulnerabilidad, que no es otro que buscar los ficheros afectados en todo el sistema y eliminarlos.
Las distribuciones que instalan las ficheros descritos son:
– Extensiones FrontPage 97
– Extensiones FrontPage 98
– Option Pack para IIS y Windows NT 4.0
– Personal Web Server 4.0, para Windows 95 y 98
– Visual InterDev
En todos los casos Microsoft asegura que la eliminaci¢n de los ficheros afectados no reporta perdida adicional de funcionalidad m s all del propio cometido de los componentes. Es decir, al eliminar ‘stos ficheros se perder la caracter¡stica «Link View» de FrontPage e «image mapping» compatible con CERN y NCSA.
M s informaci¢n:
A back door in Microsoft FrontPage extensions
http://www.wiretrip.net/rfp/p/doc.asp?id=45&iface=2
Microsoft secret file could allow access to Web sites
http://news.cnet.com/news/0-1003-200-1696137.html?tag=st.ne.1002.
MS IIS FrontPage 98 Extensions Filename Obfuscation Vulnerability
http://www.securityfocus.com/vdb/?id=1108
Un programa de Microsoft para servidores ‘web’ supone un riesgo potencial para la seguridad de un sistema
http://www.elmundo.es/navegante/diario/2000/04/15/ms_frontpage.html
Microsoft security hole puts Web sites at risk
http://news.cnet.com/news/0-1003-200-1707928.html?tag=st.ne.1002.
Microsoft Security Bulletin (MS00-025)
http://www.microsoft.com/technet/security/bulletin/ms00-025.asp
Microsoft Security Bulletin (MS00-028)
http://www.microsoft.com/technet/security/bulletin/ms00-028.asp
Bernardo Quintero
bernardo@hispasec.com
