scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: Microsoft Internet Explorer bis 6.0 FTP URIs %0A Kommandos einschleusen

Allgemein

scipID: 1028
Betroffen: Microsoft Internet Explorer bis 6.0
Veröffentlicht: 05.12.2004 (Albert Puigsech Galicia)
Risiko: kritisch

Beschreibung

Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Neben dem Browsen über HTTP im World Wide Web (WWW) ist ebenfalls das Umsetzen von FTP-Kommunikationen in gewohnter Explorer-Manier möglich. Albert Puigsech Galicia publizierte in seinem Advisory 7a69Adv#15 einen Fehler, der im Microsoft Internet Explorer bis und mit Version 6.0 (inkl. SP2 von Microsoft Windows XP) gegeben ist. Durch das Miteinbeziehen der speziellen Zeichenkette %0A innerhalb von URIs kann der Client zum Ausführen spezieller FTP-Kommandos gedrängt werden. Das Anklicken der URL ftp://www.scip.ch/%0d%0aPORT%0d%20a,b,c,d,e,f%0d%0aRETR%20/datei%0d%0a mit dem Internet Explorer nutzt zum Beispiel aussergewöhnlicherweise das FTP-Kommando PORT, mit dem die Portnummern für den FTP-Datenaustausch spezifiziert werden können. Ein Angreifer kann diesen Umstand nutzen, um Einfluss auf das Verhalten des FTP-Clients auszuüben. Zum Beispiel könnten nach erfolgreichem Einloggen sämtliche Daten gelöscht werden. Es ist damit zu rechnen, dass Microsoft in den kommenden Wochen mit einem Patch reagieren wird. Als Workaround wird empfohlen, entweder gänzliche Kommunikation zu FTP-Servern bis auf Weiteres mittels Firewalling zu unterbinden. Oder FTP-Links bzw. -Kommunikationen mit einem alternativen Produkt (z.B. SmartFTP) zu nutzen.

Ein interessantes Problem, das auf einen Design- und Entwicklungsfehler von Microsoft zurückzuführen ist. Sonderbar, dass so etwas passieren kann, denn die Verarbeitung von URIs sollte ganz und gar nicht mit dem direkten Absetzen von FTP-Kommandos verbunden sein.

Exploiting

Klasse: Designfehler
Lokal: Ja
Remote: Ja

Exploit: http://www.7a69ezine.org/node/view/168
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –

Massnahme: Mittels Firewalling die Kommunikation zu den Ports bzw. Hosts einschränken.
Link: http://windowsupdate.microsoft.com

Snort: –
Pattern: –

Quellen

Advisory: http://www.7a69ezine.org/node/view/168

CVE: CVE-2004-1166
OSVDB: 12299
Securityfocus: 28208
Secunia: 29346
X-Force: –
Securitytracker: 1012444
VUPEN: ADV-2008-0870
Securiteam: –

Tecchannel: –
Heise: –
smSS: smSS 19. Dezember 2004
Andere: http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter