home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 5 / hacker05 / 05_HACK_05.ISO / exploits / eeye / eeye_htr2.txt
Encoding:
Text File  |  2002-06-26  |  4.1 KB  |  105 lines
  1. Windows 2000 and NT4 IIS .HTR Remote Buffer Overflow
  2.  
  3. Release Date:
  4. June 12, 2002
  5.  
  6. Severity:
  7. High (Remote code execution)
  8.  
  9. Systems Affected:
  10. Microsoft Windows NT 4.0 Internet Information Services 4.0
  11. Microsoft Windows 2000 Internet Information Services 5.0
  12.  
  13. A vulnerability in transfer chunking, in combination with the processing of
  14. HTR request sessions can be exploited to remotely execute code of an
  15. attackers choice on the vulnerable machine. By sending a carefully crafted
  16. session, an attacker can overwrite a section of the heap. Data structures in
  17. the overwritten heap can be manipulated to move attacker-supplied data to
  18. attacker supplied memory addresses, thereby altering the flow of execution
  19. into an attacker supplied payload.
  20.  
  21. This is a very serious vulnerability and eEye suggests that administrators
  22. install the Microsoft supplied patch as soon as possible.
  23.  
  24. The following example will show the vulnerable condition. The dllhost.exe
  25. child process will silently die because the developers have replaced the
  26. default exception filter. So if you want to examine this closer, load a
  27. debugger up on the dllhost child process before you send this example
  28. session over the wire.
  29.  
  30. **************Begin Session****************
  31. POST /EEYE.htr HTTP/1.1
  32. Host: 0day.big5.com
  33. Transfer-Encoding: chunked
  34.  
  35. 20
  36. XXXXXXXXXXXXXXXXXXXXXXXXEEYE2002
  37. 0
  38. [enter]
  39. [enter]
  40. **************End Session******************
  41.  
  42. Technical Description:
  43.  
  44. The example session above overwrites a section of the heap that contains
  45. data structures related to the memory management system. By manipulating the
  46. content of these structures we can overwrite an arbitrary 4 bytes of memory
  47. with an attacker supplied address.
  48.  
  49. While many may believe that the risk for these types of vulnerabilities is
  50. fairly low due to the fact that addressing is dynamic and brute force
  51. techniques would need to be use in an attack, eEye strongly disagrees. This
  52. premise is false as successful exploitation can be made with one attempt,
  53. across dll versions. An attacker can overwrite static global variables,
  54. stored function pointers, process management structures, memory management
  55. structures, or any number of data types that will allow him to gain control
  56. of the target application in one session.
  57.  
  58. SecureIIS(tm) Application Firewall for Microsoft IIS
  59.  
  60. It should be noted that clients using any version of SecureIIS from eEye
  61. Digital Security are secure from this vulnerability. This vulnerability was
  62. discovered by the eEye team while testing a new version of SecureIIS to help
  63. further its protection abilities from similar classes of attack. To learn
  64. more visit http://www.eeye.com/SecureIIS
  65.  
  66. Vendor Status:
  67. Microsoft has released a security bulletin and patch:
  68. http://www.microsoft.com/technet/security/
  69.  
  70. Beyond installing the Microsoft security patch it is also recommend to
  71. disable the .htr ISAPI filter if you have not already done so. MicrosoftÆs
  72. security advisory references more information on the steps of how to disable
  73. the .htr ISAPI filter.
  74.  
  75. Credit: Riley Hassell
  76.  
  77. Greetings: Caesar, K2, Dark Spyrit, Solar Designer, Joey, Halvar, Gera,
  78. Scut, Ilfak Guilfanov. And last but not least, Kasia and Jenn ;) and as
  79. always, www.securityfocus.com.
  80.  
  81. Copyright (c) 1998-2002 eEye Digital Security
  82. Permission is hereby granted for the redistribution of this alert
  83. electronically. It is not to be edited in any way without express consent of
  84. eEye. If you wish to reprint the whole or any part of this alert in any
  85. other medium excluding electronic medium, please e-mail alert@eEye.com for
  86. permission.
  87.  
  88. Disclaimer
  89. The information within this paper may change without notice. Use of this
  90. information constitutes acceptance for use in an AS IS condition. There are
  91. NO warranties with regard to this information. In no event shall the author
  92. be liable for any damages whatsoever arising out of or in connection with
  93. the use or spread of this information. Any use of this information is at the
  94. user's own risk.
  95.  
  96. Feedback
  97. Please send suggestions, updates, and comments to:
  98.  
  99. eEye Digital Security
  100. http://www.eEye.com
  101. info@eEye.com
  102.  
  103.  
  104.  
  105.