Une vulnérabilité dans la pile TCP/IP des systèmes d'exploitation Microsoft Windows Vista

Par Xavier Poli, secuobs.com
Le 20/11/2008

---

Résumé : Une vulnérabilité de débordement de mémoire tampon aurait été découverte dans la pile TCP/IP des systèmes d'exploitation de type Microsoft Windows Vista. Elle permettrait de rendre instable ces systèmes avec éventuellement des possibilités d'exécution de code arbitraire. - Lire l'article



Une vulnérabilité, initialement signalée à Microsoft le 22 octobre 2008, aurait été découverte dans la pile TCP/IP des systèmes d’exploitation Microsoft Windows Vista ; elle consisterait en un dépassement de tampon au niveau de la pile mémoire sur les versions Entreprise et Ultimate de ces systèmes indépendamment de l’architecture utilisée par le processeur (32/64 bits).

Il serait par ailleurs possible que les autres versions de Microsoft Windows Vista soient également concernées par cette faille mais en aucun cas elle ne toucherait la pile TCP/IP des systèmes d’exploitation Microsoft Windows XP. L’exploitation réussie nécessiterait cependant que l’attaquant acquière au préalable des droits d’administration ou qu’il fasse partie du groupe d’opérateurs aptes à établir des modifications au niveau de la configuration des interfaces réseau.

Lors de l’ajout d’une entrée IPv4 ( lien ) dans la table de routage du système via l’utilisation de la fonction CreateIpForwardEntry2, il serait possible d’utiliser une valeur plus grande que prévue ( lien ) pour l’élément PrefixLength de la structure DestinationPrefix contenue dans MIB_IPFORWARD_ROW2 ( lien ). Il en résulterait des risques de corruption pour la mémoire relative au noyau de ces systèmes et l’affichage d’un BSoD ( Blue Screen of The Death - lien ).

Ce serait en fait plus précisément la fonction netio!PtpCreateTrieNode qui allouerait ici un tampon de trente-deux octets, en utilisant la méthode ExAllocatePoolWithTag, tampon où la fonction netio!PtpCopyPartialKeys essaierait de copier la mémoire en utilisant un offset ( lien ) de ving-quatre octets augmenté du nombre de bits défini par la valeur de PrefixLength dans DestinationPrefix ; si cette dernière était plus grande que huit octets, le débordement serait alors effectif et il serait possible d’écraser la mémoire du noyau.

Des exemples de code sont dès à présent disponibles dans le bulletin de sécurité relatif à cette faille ( voir secumail - lien ) afin de pouvoir la tester ; il semblerait par ailleurs que plus la valeur utilisée pour PrefixLength soit grande, plus les conséquences de l’attaque seront rapides. De plus, il serait possible de reproduire cet état instable sans l’utilisation de la preuve de concept mais uniquement via la commande « route add » ainsi « route add 1.2.3.4/240 4.3.2.1 » suffirait à provoquer l’instabilité du système.

Il serait alors potentiellement possible d’utiliser ce débordement de mémoire tampon afin d’injecter du code arbitraire en vue de compromettre l’intégrité et la sécurité du système d’exploitation ciblé dans le but d’en prendre le contrôle.

L’installation du Service Pack 1 ( lien ) pour les systèmes d’exploitation Microsoft Windows Vista ne serait d’aucune utilité pour contrer cette faille, il n’existe à ce jour aucun correctif officiel permettant d’y remédier d’autant plus si les possibilités d’exploitation avancée de celle-ci s’avéraient existantes.

Cette vulnérabilité a été découverte par un groupe de chercheurs composé de Marius Wachtler, Michael Burgbacher, Hounshell Carson, Michael et Thomas Craggs Unterleitner qui font partie de la société autrichienne Phion ( lien ), éditrice des produits Netfence qui proposent des solutions de proxys filtrants certifiées EAL4+ pour la protection des grands réseaux.