home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 14 / hacker14.iso / exploits / corenetmeeting / core.netmeeting.txt
Encoding:
Text File  |  2003-08-20  |  6.4 KB  |  173 lines
  1.                          Core Security Technologies Advisory
  2.                              http://www.coresecurity.com
  3.  
  4.                      NetMeeting Directory Traversal Vulnerability
  5.  
  6.  
  7.  
  8. Date Published: 2003-07-02
  9.  
  10. Last Update: 2003-07-02
  11.  
  12. Advisory ID: CORE-2003-0305-04
  13.  
  14. Bugtraq ID: 7931
  15.  
  16. CVE Name: None currently assigned.
  17.  
  18. Title: NetMeeting Directory Traversal Vulnerability
  19.  
  20. Class: Input validation error
  21.  
  22. Remotely Exploitable: Yes
  23.  
  24. Locally Exploitable: No
  25.  
  26. Advisory URL:
  27.   http://www.coresecurity.com/common/showdoc.php?idx=352&idxseccion=10
  28.  
  29. Vendors contacted:
  30.   - Microsoft
  31.     . Core Notification: 2003-05-21
  32.     . Notification acknowledged by Microsoft: 2003-05-21
  33.     . Issue fixed in Windows 2000 SP4: 2003-06-26
  34.  
  35. Release Mode: COORDINATED RELEASE
  36.  
  37.  
  38. *Vulnerability Description:*
  39.  
  40.   Windows NetMeeting is a popular application used to hold audio and video
  41.   conferences between a group of persons. One of its features is "File
  42.   Transfer" which lets you send one or more files in the background
  43.   during a NetMeeting conference.
  44.  
  45.   A directory traversal vulnerability was found in NetMeeting when
  46.   doing File Transfers. An attacker can use filenames containing "..\..\"
  47.   when doing a file transfer, and in this manner, create a file in any
  48.   place of the victim's filesystem, escaping the directory where
  49.   NetMeeting usually stores incoming files (e.g. C:\Program Files\
  50.   Received\Received Files).
  51.  
  52.   This makes it possible to force the execution of arbitrary code on
  53.   vulnerable systems.
  54.  
  55.  
  56. *Vulnerable Packages:*
  57.  
  58.   NetMeeting version 3.01 (4.4.3385).
  59.   Other versions may also be vulnerable.
  60.  
  61.  
  62. *Solution/Vendor Information/Workaround:*
  63.  
  64.   A fix for this issue is included in Windows 2000 SP4 and Windows XP SP1
  65.   available from:
  66.  
  67.   Windows 2000 Service Pack 4
  68.   http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/
  69.  
  70.   Windows XP (Professional and Home edition) Service Pack 1
  71.   http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/
  72.  
  73.   Windows Server 2003 does not ship with a vulnerable version of NetMeeting.
  74.  
  75.  
  76. *Credits:*
  77.  
  78.   This vulnerability was found by Hernßn Ochoa, Gustavo Ajzenman, Javier
  79.   Garcia Di Palma and Pablo Rubinstein from Core Security Technologies
  80.   during Bugweek 2003 (March 3-7, 2003).
  81.  
  82.  
  83. *Technical Description - Exploit/Concept Code:*
  84.  
  85.   We have found a directory traversal vulnerability in NetMeeting when
  86.   doing File Transfers. An attacker can use filenames containing "..\..\"
  87.   when doing a file transfer, and in this manner, create a file in any
  88.   place of the victim's filesystem, escaping the directory where
  89.   NetMeeting usually stores incoming files (e.g.: C:\Program
  90.   Files\Received\Received Files). An attacker cannot overwrite already
  91.   existing files.
  92.  
  93.   A dialog box appears at the end of the file transfer, which can alert
  94.   the user about the malicious action (the dialog box will not be
  95.   automatically closed). However, the user is not prompted to reject or
  96.   accept the file transfer, and since NetMeeting conferences can be
  97.   shutdown by sending malformed packets (for example, by arbitrarily
  98.   fuzzing data sent in packets interchanged during a chat conversation),
  99.   the action can be hidden from the user. We're also investigating certain
  100.   succession of packets that may prevent the dialog box from appearing
  101.   at all.
  102.  
  103.   How to reproduce this vulnerability:
  104.  
  105.   - Start a NetMeeting conversation between two peers
  106.   - Click on the "Transfer Files" button
  107.   - Click on the "Add Files..." button and choose any file
  108.     (e.g.: example_example_example.txt)
  109.   - Attach a debugger to the NetMeeting process (conf.exe) and put a
  110.     breakpoint on ws2_32!send
  111.     (e.g.: ntsd -p <conf's pid> / bp send )
  112.   - Click on the "Send All" button
  113.   - The breakpoint set on ws2_32!send() will start popping up.
  114.   - Examine the stack, and obtain the address of the buffer sent to the
  115.     send() function, and examine its content
  116.   - Look for the packet containing the name of the file being sent
  117.     (e.g.: example_example_example.txt)
  118.   - You're going to find two packets containing the filename, modify both
  119.     packets with the debugger so that example_example_example.txt becomes
  120.     ..\..\..\xample_example.txt
  121.   - Let the process continue both times, and let the file transfer
  122.     finish.
  123.   - Now you can go to the root directory of the drive, and you'll see
  124.     the file sent there instead of the "Received Files" directory.
  125.  
  126.   Of course, a debugger is not needed to exploit the vulnerability, it is
  127.   just a convenient way to reproduce the vulnerability.
  128.  
  129.   We also found that by sending malformed packets in several different
  130.   moments during a connection, all participants or a specific
  131.   participant can be thrown out of the conversation. This is not a big
  132.   issue per se, but it could help to hide malicious actions as the one
  133.   described above (one can send the file, and immediately after, make the
  134.   victim's NetMeeting drop the connection, which will make the dialog
  135.   box of the file transfer disappear.)
  136.  
  137.   This vulnerability allows an attacker to execute arbitrary code.
  138.   For instance, she can upload a specially crafted DLL with the name of
  139.   one of the DLL's used by NetMeeting into the NetMeeting directory.
  140.   The next time NetMeeting is executed, the system will try to load
  141.   these DLL's first from the current directory, and then from
  142.   C:\winnt\system32. So the system will load the attacker's DLL and
  143.   execute arbitrary code upon the next execution of NetMeeting.
  144.   Another possibility is to upload an executable file into the
  145.   startup directory of win9x. That file will be executed the next
  146.   time the user starts win9x.
  147.  
  148.  
  149. *About Core Security Technologies*
  150.  
  151.   Core Security Technologies develops strategic security solutions for
  152.   Fortune 1000 corporations, government agencies and military
  153.   organizations. The company offers information security software and
  154.   services designed to assess risk and protect and manage information
  155.   assets.
  156.  
  157.   Headquartered in Boston, MA, Core Security Technologies can be reached
  158.   at 617-399-6980 or on the Web at http://www.coresecurity.com.
  159.  
  160.   To learn more about CORE IMPACT, the first comprehensive penetration
  161.   testing framework, visit:
  162.   http://www.coresecurity.com/products/coreimpact
  163.  
  164.  
  165. *DISCLAIMER:*
  166.  
  167.   The contents of this advisory are copyright (c) 2003 CORE Security
  168.   Technologies and may be distributed freely provided that no fee is
  169.   charged for this distribution and proper credit is given.
  170.  
  171. $Id: NetMeeting-advisory.txt,v 1.11 2003/07/02 15:45:46 carlos Exp $
  172.  
  173.