Internet Explorer /Windows Explorer Long Share Name Overflow

sparkiii · 27 apr 2004, 13:03

<img src="http://www.userbase.be/forum/images/portal/virus.jpg" align="left">k-otik.net (Frans) meld deze 'high risk' exploit die het mogelijk maakt dat iemand de controle over je geliefde windowsbakje over kan nemen. De 'truuk' bestaat er in om een hele lange (>300 bytes) naam (enkel in hoofdletters) voor de shares te gebruiken op je 'file server'. Je kan zo via enkele omwegjes 'code' gaan uitvoeren op het connecterende toestel...

Gelukkig voor ons hadden onze vrienden van Microsoft dit reeds al lang zien aankomen en dus is de XP-SP1 en de Windows 2000-SP4 niet meer exploitable.

Gelukkig voor ons kijken de beveiligingsfirma's dit ook nog eens na want dit bleek niet te kloppen. :-)

De enige 'windows' die niet gebroken is, is de Windows 2003 versie. Al de rest...

BRON: K-OTIK
BRON: Secunia

Blue-Sky · 27 apr 2004, 15:34

De buffer overflows is een gekend probleem welk al in verschillende threats aan bod kwamen. 'k Had al eens een draad gelezen waar men het over dit probleem ging, hellenlange spaties. Heb deze link toch nog gevonden.
Hier ging het om > Problemen zijn er pas als myphoto.jpg.exe in het bijgevoegde bestand, myphoto.zip, wordt geopend. Dat het over een EXE- en niet een JPG-bestand gaat, wordt verhuld door tussen de .jpg- en .exe-extensie 56 spaties aan te brengen.
Wat ergens op een gelijkaardig principe berust als de threat welke Sparkiii hier bovenaan plaatste, waar schijnbaar nog geen Antimiddel voor bestond.

Grtz,

Gast · 28 apr 2004, 10:01

Microsoft Explorer and Internet Explorer Long Share Name Buffer Overflow.

Author: Rodrigo Gutierrez <[email protected]>

Affected: MS Internet Explorer, MS Explorer (explorer.exe)=20
Windows XP(All), Windows 2000(All), Windows 98(All), Windows =
me(All)

Not Tested: Windows 2003

Vendor Status: i notified the vendor in the beginning of 2002, this
vulnerability was supposed to be fixed in xp service
pack 1 in XP and SP4 in Windows 2000 according to the=20
vendors knowledge base article 322857.

Vendor url: =
http://support.microsoft.com/default.as ... -us;322857

Background.
MS Explorer (explorer.exe) and MS Internet Explorer(IEXPLORE.EXE) are core pieces of Microsoft Windows Operating Systems.

Description

Windows fails to handle long share names when accessing a remote file server such as samba, allowing a malicious server to crash the clients explorer and eventually get to execute arbitrary code in the machine as the current user (usually with Administrator rights in windows machines).

Analysis

In order to exploit this, an attacker must be able to get a user to connect
to a malicious server which contains a share name equal or longer than 300 characters

Test Scenario

windows wont allow you to create such a long share, but of course samba=20
includes the feature

. After your samba box is up and running create =
a=20
share in you smb.conf :

#------------ CUT HERE -------------

[AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA]
comment =3D Area 51
path =3D /tmp/testfolder
public =3D yes
writable =3D yes
printable =3D no
browseable =3D yes
write list =3D @trymywingchung

#------------ CUT HERE -------------

After your server is up, just get to your windows test box and get to =
the
start menu > run > \\your.malicious.server.ip., plufff, explorer will =
crash

.

Social Engineering:

< a href=3D"\\my.malicious.server.ip">Enter My 0day sploit archive l/p:n0ph33r< /a>

Workaround.

>From your network card settings disable the client for Microsoft =
networks=20
until a real fix for this vulnerability is available.

------=_NextPart_000_0008_01C42AEF.63F557B0--

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html

********************************************************

Wazup sparkiii

wanneer komt ge ns trug naar cursus?

Peace

Satori

28 apr 2004, 11:33

Anonymous schreef:windows wont allow you to create such a long share, but of course samba=20
includes the feature .

Zucht, het is dus weer omdat anderen zich niet aan de regeltjes houden dat microsoft weer in de fout is. Maw, moest de hele wereld windows gebruiken zou deze exploit niet bestaan?

Styno · 28 apr 2004, 11:42

meon schreef:Zucht, het is dus weer omdat anderen zich niet aan de regeltjes houden dat microsoft weer in de fout is. Maw, moest de hele wereld windows gebruiken zou deze exploit niet bestaan?

eeuh Meon ?? Reality check.. 1 . 2 . 3 . you need a reboot :-D

Styno

Spock · 28 apr 2004, 11:44

Toch heeft Meon een punt.

Styno · 28 apr 2004, 11:51

Spock schreef:Toch heeft Meon een punt.

En wat is dat punt dan wel?

Het is geweten dat als er een bedrijf nogal los omspringt met standaarden dat het Microsoft wel is. (cfr. Java) De standaarden staan mooi op papier, maar als er dan een 'buitenstaander' die standaarden implementeerd komt hij plots tot de constatatie dat het niet werkt met de Microsoft implementatie...

Telkens er zo een post gebeurd op eender welk forum zijn er altijd wel mensen die met zo een onzinnige, niet onderbouwde antwoorden op de proppen komen. Ik vraag me dan altijd af: werken jullie wel eens met een unix? Zo ja, lukt het niet zo goed dat er zo een afkeer opgewekt wordt...

Denk je trouwens dat Windows zo ver zou staan als het nu staat zonder ook maar enige vorm van concurrentie?

Styno