Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant local peut appeler la fonction SrvGetConsoleTitle(),
afin de stopper le service CSRSS, et éventuellement lire une
portion de sa mémoire.

Gravité : 1/4

Date création : 05/08/2011

PRODUITS CONCERNÉS

– Microsoft Windows XP

DESCRIPTION DE LA VULNÉRABILITÉ

Le sous-système CSRSS (Client/Server Run-time Subsystem) gère
notamment les consoles des utilisateurs.

La méthode winsrv !SrvGetConsoleTitle() permet d’obtenir le titre
de la console :
DWORD GetConsoleTitle(LPTSTR lpConsoleTitle, DWORD nSize) ;
Le paramètre nSize indique la taille à copier dans le tableau
lpConsoleTitle.

Si la taille indiquée est supérieure à la taille du titre, Windows
ajuste la taille. Cependant, cet ajustement est fait d’après une
comparaison sur 16 bits. Ainsi, si la taille indiquée est 0x10002,
Windows compare 2 à la taille du titre, et décide donc qu’il n’y a
pas d’ajustement à faire, mais copie 0x10002 octets de mémoire.

CSRSS utilise une section mémoire de 0x10000 octets pour stocker
ses informations. Elle doit donc être recréé avec une taille
supérieure pour exploiter la vulnérabilité, et lire le contenu de
la mémoire sans générer d’exception.

Un attaquant local peut donc appeler la fonction
SrvGetConsoleTitle(), afin de stopper le service CSRSS, et
éventuellement lire une portion de sa mémoire.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Windows-XP-deni-de-service-via-SrvGetConsoleTitle-10892