Questo recente exploit sfrutta alcune delle nuove
caratteristiche offerte da Windows 2000 e da IIS 5 tra le quali va annoverata
senza dubbio l'estensione ISAPI .printer che consente di accedere alle
funzionalità di stampa da Web sfruttando l'IPP (Internet Printing
Protocol).
Questa funzionalità è esportata da una libreria a collegamento
dinamico (msw3prt.dll) che è anche responsabile della situazione di overflow del
buffer che si verifica se un blocco di 420 byte viene inviato all'host nel
contesto di una richiesta .printer ISAPI.
In questa particolare ipotesi
il verificarsi di un buffer overflow non pregiudica la possibilità di eseguire
una successiva operazione di iniezione del codice all'interno dello stack di
esecuzione del processore in modo da forzare l'esecuzione in locale sul server
di codice arbitrario che oltretutto viene eseguito con i privilegi dell'utente
amministratore.
In relazione a questo exploit, che colpisce i sistemi Windows
2000 anche con SP1, esistono dei programmi dimostrativi (http://packetstorm.securify.com) di cui uno del tutto innocuo,
pubblicato da eEye, mentre l'altro da ascrivere a Dark Spirit (chiamato jill.c)
che provoca la restituzione all'aggressore di una shell di comandi
remota.
Rimedi:
Installare la patch scaricabile da sito della
Microsoft all'indirizzo: http://www.microsoft.com/technet/security/bulletin/ms01-023.asp.
Inoltre
viene raccomandato di rimuovere il filtro .printer ISAPI dal Web Server
se le funzionalità implementate non richiedono il supporto dell'IPP (Internet
Printer Protocol).