[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[MS] Schwachstelle in MSDACIPP - MS01-022

To: win-sec-ssc@cert.dfn.de
Subject: [MS] Schwachstelle in MSDACIPP - MS01-022
From: win-sec-ssc@cert.dfn.de
Date: Mon, 23 Apr 2001 14:38:43 +0200 (MET DST)
[[PGP Signed Part:Undecided]]
Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Microsoft Product
Security Notification Service ueber Sicherheitsprobleme im "Microsoft
Data Access Component Internet Publishing Provider" (MSDACIPP).  Wir
geben diese Informationen unveraendert an Sie weiter.

WebDAV ist ein Internet-Standard, der mehreren Benutzern das
gleichzeitige Bearbeiten von Dokumenten ueber das Web ermoeglicht.

Die Software-Schicht "Microsoft Data Access Component Internet
Publishing Provider" bietet Microsoft-Programmen Zugang zu WebDAV und
ist u.a. Bestandteil von Windows ME, Windows 2000 und den
Office-Paketen. Durch einen Fehler in der Implementierung
unterscheidet MSDACIPP nicht zwischen Aufrufen durch Benutzer und
solchen, die von Skripts im Webbrowser abgesetzt werden. Alle Aufrufe
werden im Security-Kontext des Benutzers behandelt, was ein Angreifer
ueber das Netz ausnutzen koennte.

Je nach Berechtigung des betroffenen Benutzers im lokalen Intranet und
der Web-Ressourcen, die ihm zur Verfuegung stehen koennte der
Angreifer beispielsweise die Freigaben im Intranet und Web-basierte
E-Mail-Dienste ausspaehen.

Nach Aussagen von Microsoft ist diese Schwachstelle hauptsaechlich von
Angreifern aus dem Intranet ausnutzbar, da fuer einen erfolgreichen
Angriff Informationen wie Server-Namen und Verzeichnisstrukturen
notwendig sind. Stand-Alone-Computer und Rechner mit deaktiviertem
Active Scripting sind nicht betroffen.

Microsoft stellt einen Patch zur Behebung dieser Schwachstelle bereit.
Wie ueblich existiert der Patch derzeit nur fuer die USA Version.

Das DFN-CERT bietet einen Mirror der Inhalte des FTP-Servers von
Microsoft mit den dort bereitgestellten Patches fuer die us-
amerikanische und deutsche Sprachversion von Microsoft Windows NT 4.0
und des Internet Explorers unter

    ftp://ftp.cert.dfn.de/pub/vendor/microsoft/

an. Des weiteren finden Sie dort die aktuellen Service-Packs (deutsch
und us-amerikanisch) fuer Windows NT 4.0 und die aktuellen Patches
fuer Windows 2000 (deutsch und us-amerikanisch).

Mit freundlichen Gruessen,
    Marco Thorbruegge, DFN-CERT
-- 
Marco Thorbruegge        |              mailto:thorbruegge@cert.dfn.de
DFN-CERT GmbH            |          http://www.cert.dfn.de/team/matho/
Oberstrasse 14b          |                    Phone: +49(40)808077-555
D-20144 Hamburg          |                      FAX: +49(40)808077-556
Germany                  | PGP-Key: finger thorbruegge@ftp.cert.dfn.de

----------------------------------------------------------------------
Title:      WebDAV Service Provider Can Allow Scripts to Levy
            Requests as User
Date:       18 April 2001
Software:   Microsoft Data Access Component Internet Publishing
            Provider
Impact:     Web-based script could levy WebDAV requests on the user's
            behalf.
Bulletin:   MS01-022

Microsoft encourages customers to review the Security Bulletin at: 
http://www.microsoft.com/technet/security/bulletin/MS01-022.asp.
----------------------------------------------------------------------

Issue:
======
The Microsoft Data Access Component Internet Publishing Provider 
provides access to WebDAV resources over the Internet. By design, it 
should differentiate between requests made by a user and those made
by 
a script running in the user's browser. However, because of an 
implementation flaw, it handles all requests in the security context
of 
the user. As a result, if a user browsed to a web page or opened an 
HTML e-mail that contained script, that script could access web-based
resources as the user.

The specific actions an attacker could take via this vulnerability 
would depend on the Web-based resources available to the user, and
the 
user's privileges on them. However, it is likely that at a minimum,
the 
attacker could browse the user's intranet, and potentially access
web-based e-mail as well. 

Mitigating Factors:
====================
 - The attacker would need to possess significant inside information
in
   order to carry out a successful attack, such as server names,
folder
   structures, and other user- and network-specific information. This
   vulnerability would therefore be most likely used as part of an
   insider attack.
 - The vulnerability could not be exploited against stand-alone
   machines.
 - The vulnerability could not be exploited if Active Scripting was
   disabled in the Security Zone the script opened in.

Patch Availability:
===================
 - A patch is available to fix this vulnerability. Please read the 
   Security Bulletin
   http://www.microsoft.com/technet/security/bulletin/ms01-022.asp
   for information on obtaining this patch.

---------------------------------------------------------------------

THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS PROVIDED 
"AS IS" WITHOUT WARRANTY OF ANY KIND. MICROSOFT DISCLAIMS ALL 
WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES OF 
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. IN NO EVENT
SHALL 
MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES 
WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL, CONSEQUENTIAL,
LOSS 
OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF MICROSOFT CORPORATION
OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH
DAMAGES. 
SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF LIABILITY FOR
CONSEQUENTIAL OR INCIDENTAL DAMAGES SO THE FOREGOING LIMITATION MAY
NOT 
APPLY.


[[End of PGP Signed Part]]
Prev by Date: [SuSE] Schwachstelle in hylafax - SuSE-SA:2001:15
Next by Date: [MS] Schwachstelle in MSDACIPP - MS01-022
Previous by thread: [SuSE] Schwachstelle in hylafax - SuSE-SA:2001:15
Next by thread: [MS] Schwachstelle in MSDACIPP - MS01-022
Index(es):
- Date
- Thread