Un code d'exploitation disponible pour la faille non corrigée de Microsoft SQL Server

Par Xavier Poli, secuobs.com
Le 18/12/2008

---

Résumé : Un exploit est disponible publiquement afin d'exploiter la vulnérabilité récemment identifiée dans les produits Microsoft SQL Server. Celle-ci n'est pas corrigée à l'heure actuelle et pourrait faire l'objet d'exploitation via des techniques d'injection SQL afin de compromettre les systèmes d'exploitation hôte. - Lire l'article



Outre l’exploitation de la faille qui affecte l’application Microsoft WordPad ( lien ) et celle à destination du navigateur Microsoft Internet Explorer ( lien ) qui vient de recevoir son correctif hors cycle ( lien ) après une exploitation déjà qualifiable de massive, la dernière livraison de correctifs Microsoft avait « oublié » de corriger une faille dans le système de gestion de base de données relationnelle Microsoft SQL Server.

Par l’intermédiaire de Bernhard Mueller, la société autrichienne Sec Consult ( lien ) a en effet identifié cette année et publié cette semaine ( lien ) une vulnérabilité de limitation de frontière dans l’implémentation de la procédure SQL « sp_replwritetovarbin() » au sein des produits Microsoft SQL Server ; la vulnérabilité a été rapportée dès le dix avril de l’année courante auprès de Microsoft.

Cette faiblesse d'implémentation peut être exploitée par une personne mal intentionnée afin de provoquer un débordement de tampon ( lien ) au niveau de la pile mémoire du système d'exploitation en présence via le passage d’un ou de plusieurs arguments malicieusement forgés vers cette procédure de traitement SQL ( Structured Query Language - lien ) faillible.

En cas de réussite, l’exploitation de ce débordement permet de provoquer une exception de sécurité résultant en une violation d’accès qui offre des possibilités d’exécution de code arbitraire ; cette exécution permettant une élévation de privilèges en vue de compromettre la sécurité du système d’exploitation sous-jacent. D’après les tests déjà effectués, cette faille affecte la version 8.00.2050 de Microsoft SQL Server 2000 et la version 9.2.3042.00 de Microsoft SQL Server 2005 Express.

Cependant les autres versions pourraient, après investigations, se révélaient également concernées. Dans une configuration par défaut, la procédure en question est accessible pour n’importe quel utilisateur authentifié sur le serveur de base de données relationnelle, la vulnérabilité en résultant pouvant être exploitée par un utilisateur de cette nature ou via une version combinée avec des techniques classiques d’injection SQL ( voir notre dossier - lien ).

La solution actuelle préconisée consiste à tout d'abord restreindre l’accès uniquement aux utilisateurs de confiance au niveau du serveur de base de données mais également de sécuriser, autant que faire se peut, l’ensemble des services liés à celui-ci contre les risques d’injection SQL et enfin de supprimer si possible la procédure SQL vulnérable via les méthodes à disposition ( lien ) ; aucun correctif n’étant disponible à l’heure actuelle sur le site de Microsoft.

La publication récente ( lien ) du code d'exploitation pour cette vulnérabilité devrait peut être accélérer un peu les choses ; ce code se présente sous la forme d’une page ASP ( Active Server Pages - lien ) qui utilise quatre requêtes SQL ayant pour objectif de provoquer l'exécution d'un Shellcode donné ( voir notre dossier - lien ) en écrasant un pointeur spécifique.

A noter que le Shellcode, intégré dans cet exploit, est issu du projet de plateforme d'exploitation libre Metasploit ( voir notre dossier - lien ), il permet d’obtenir une invite de commande de type Reverse Shell ( voir l’annuaire des vidéos - lien ) en retour d’exploitation afin de contourner les systèmes de sécurité basés uniquement sur les filtrages en entrée pour protéger l'infrastructure.

Ce Shellcode a cependant été modifié par l’auteur de l’exploit afin de permettre de multiples sessions d’attaque sur un même serveur SQL sans pour autant le rendre indisponible vis-à-vis de ses utilisations légitimes et qu’il puisse continuer à être exploité de la même manière ; l’ensemble ayant été testé avec succès sur un système d’exploitation de type Microsoft Windows 2000 avec le Service Pack 4 installé.

Source : Porno Security ( lien ).