RDS – MDAC (IIS 4)

Questo exploit è dovuto ad un difetto dell’oggetto DataFactory del componente RDS (Remote Data Service) di MDAC (Microsoft Data Access Components) che nella configurazione predefinita permette ad un intruso di inviare da remoto comandi destinati ad essere eseguiti localmente sul server nel contesto dei privilegi dell’utente con il quale è in esecuzione il servizio http (generalmente SYSTEM).
Per scoprire la vulnerabilità a questo tipo di attacco esistono degli appositi script in perl che verificano la presenza di MDAC sul server.
In particolare esiste un exploit pubblicato da Rain Forrest Puppy (http://www.securityfocus.com) che inoltrando una richiesta RDS al database d’esempio btcustmr.mdb, presente sul server, tenta di accodare l’esecuzione di una shell di comandi remota ad una query SQL.

Rimedi:
Considerare la possibilità di disabilitare le funzionalità remote del Data Factory attraverso la rimozione delle seguenti chiavi del registro:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVC ParametersADCLaunchRDSServer.DataFactory
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVC ParametersADCLaunchAdvancedDataFactory
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVC ParametersADCLaunchVbBusObj.VbBusObjCls.