Risque
Exécution de code arbitraire à distance avec des privilèges élevés.
Systèmes affectés
Tout système Microsoft Windows dont le service ``Agent NAI ePolicy Orchestrator'' est démarré.
Résumé
Une vulnérabilité de type chaîne de format, permet à un utilisateur mal intentionné distant d'exécuter du code sur la machine visée avec les privilèges élévés du niveau SYSTEM.
Description
``ePolicy Orchestrator'' est un outil de gestion centralisée de la politique de sécurité antivirale. Il est composé de consoles d'administration, de serveurs et enfin d'agents sur chaque poste où la politique antivirus doit être appliquée et surveillée.
Les agents sont des services ayant les privilèges SYSTEM qui peuvent être interrogés à l'aide du protocole HTTP sur le port 8081/tcp. Une mauvaise gestion des chaînes de format dans ces requêtes permet l'exécution de code arbitraire.
Contournement provisoire
Afin de prévenir toute agression externe, les pare-feux peuvent être configurés pour filtrer le port 8081/tcp, cependant la faille reste alors exploitable depuis la même zone de sécurité. Si un pare-feu personnel est présent sur l'hôte, il peut être paramètré pour restreindre au serveur ``ePolicy Orchestrator'' les adresses IP autorisées à se connecter au port 8081/tcp.
Solution
Contacter votre revendeur NAI pour obtenir le correctif.
Documentation
- Description du produit ``ePolicy Orchestrator'' :
http://www.mcafeeb2b.com/international/france/products/epolicy/default-management-solution.asp
- Avis de sécurité de @stake :
http://www.atstake.com/research/advisories/2003/a031703-1.txt
- Référence CVE CAN-2002-0690 :
https://www.cve.org/CVERecord?id=CAN-2002-0690
