RNP > Serviços > Segurança em redes > Alertas do CAIS

CAIS-ALR-20082001

Vulnerabilidade no ISA Server 2000

[CAIS, 20.08.2001, revisão 01]

Resumo

A Microsoft anunciou a existência de três vulnerabilidades no ISA Server 2000 que podem causar negação de servico (DoS – denial-of-service) no sistema onde este software tenha sido instalado. O Servidor ISA, Internet Security and Accelerator Service, presente no Windows 2000, é uma solução Microsoft utilizada para implementar firewall ou servidor proxy de cache, ou ambos.

As vulnerabilidades envolvem o H.323 Gatekeeper, serviço que suporta a transmissão de Voz sobre IP através de firewalls, o servidor Proxy e as páginas de erro que são reportadas pelo ISA Server 2000 quando ocorre erro na requisição.

1. Detalhes

Vulnerabilidade de negação de serviço do H.323

Esta vulnerabilidade somente será explorada se o serviço H.323 Gatekeeper estiver instalado. Instalações do tipo "Full Installation" acrescentam este serviço ao sistema; demais instalações, somente se selecionado. Não existem indícios que o atacante possa conseguir acesso privilegiado ao sistema. É um problema relacionado à chamada de memória.

Vulnerabilidade de negação de serviço do Proxy

O serviço de proxy é instalado por default. No entanto, a vulnerabilidade citada pode somente ser explorada por usuários internos, não remotamente. Não existem indícios que o atacante possa conseguir acesso privilegiado ao sistema. É um problema também relacionado à chamada de memória.

Vulnerabilidade do "Cross-site scripting" do ISA Server 2000

A vulnerabilidade é ocasionada ao ser reportada uma página de erro pelo servidor ISA, por não ter sido encontrada uma determinada página web solicitada. De um modo geral, a vulnerabilidade relacionada a "cross-site scripting" resulta de não checar adequadamente o conteúdo de uma URL específica. Eventualmente, esta URL pode conter código arbitrário incluído por um usuário malicioso e o mesmo ser executado.

Ressalta-se, no entanto, que a exploração desta vulnerabilidade requer condições específicas, por exemplo, que o atacante conheca de antemão quais sites são considerados confiáveis pelo usuário ou que os cookies do site contenham informações sigilosas que possam ser lidas e exploradas, o que se vê fortemente dificultado se o usuário seguir as práticas de segurança recomendadas.

2. Sistemas afetados

Microsoft Internet Security e Acceleration (ISA) Server 2000.

3. Aplicação de Correções

O patch pode ser acessado a partir da seguinte URL:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32094

4. Referências adicionais recomendadas

Maiores informações podem ser obtidas no alerta original da Microsoft, disponíivel em:

http://www.microsoft.com/technet/security/bulletin/MS01-045.mspx

Para obter maiores informações sobre as vulnerabilidades citadas e sobre como identificar tentativas de exploração através de sistemas de detecção, seguem os nomes padrões de tais vulnerabilidades, segundo o CVE (Common Vulnerabilities and Exposures – www.cve.mitre.org), esforço conjunto que visa padronizar os nomes de vulnerabilidades públicas conhecidas.

H.323 Denial of Service: CAN-2001-0546
Proxy Service Denial of Service: CAN-2001-0547
Cross-site scripting vulnerability: CAN-2001-0658

O CAIS está a disposição para esclarecimentos.

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais