Questo exploit è dovuto ad un difetto dell'oggetto DataFactory del componente
RDS (Remote Data Service) di MDAC (Microsoft Data Access
Components) che nella configurazione predefinita permette ad un intruso di
inviare da remoto comandi destinati ad essere eseguiti localmente sul server nel
contesto dei privilegi dell'utente con il quale è in esecuzione il servizio http
(generalmente SYSTEM).
Per scoprire la vulnerabilità a questo tipo di attacco
esistono degli appositi script in perl che verificano la presenza di MDAC sul
server.
In particolare esiste un exploit pubblicato da Rain Forrest Puppy (http://www.securityfocus.com) che inoltrando una richiesta RDS
al database d'esempio btcustmr.mdb, presente sul server, tenta di accodare
l'esecuzione di una shell di comandi remota ad una query
SQL.
Rimedi:
Considerare la possibilità di disabilitare le
funzionalità remote del Data Factory attraverso la rimozione delle seguenti
chiavi del registro:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVC
ParametersADCLaunchRDSServer.DataFactory
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVC
ParametersADCLaunchAdvancedDataFactory
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVC
ParametersADCLaunchVbBusObj.VbBusObjCls.
