Date de Publication: 2003-04-24
 Titre: Disclosure of authentication information in Sambar Server
 K-Otik ID : 0034
 Exploitable à distance : Oui
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Sambar Server est un serveur Web pour Windows combinant des serveurs,HTTP, Mail, Proxy et FTP. Une vulnérabilité dans Sambar Server Pro Server permet à un attaquant de voir le nom d'utilisateur et le mot de passe d'un utilisateur se loguant par le webmail.

En effet, lors de l'identification sur le WebMail de Sambar Server Pro Server, le nom d'utilisateur et le mot de passe sont envoyés en clair sur le réseau. Un attaquant distant ayant accès au trafic de l'utilisateur ou du serveur peut alors voir ces informations.

Cette vulnérabilité peut être facilement exploitée par un attaquant étant sur le même réseau. Il peut installer un sniffer sur le réseau et sniffer le nom d'utilisateur et le mot de passe envoyés en clair par Sambar Server Pro Server.

Voici une capture du HTTP Headers :

-------COUPER-------

POST /session/login HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/x-shockwave-flash, application/vnd.ms-excel,
application/vnd.ms-powerpoint, application/msword, */*
Referer: http://[target]/sysuser/webmail/
Accept-Language: fr
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: 192.168.0.23
Content-Length: 200
Pragma: no-cache
Connection: keep-alive
Browser reload detected...
Posting 200 bytes...
RCpage=%2Fsysuser%2Fwebmail%2Fwebmail.stm
onfailure=%2Fsysuser%2Fwebmail%2Frelogin.htm
start=1
RCSdesktop=false
RCSsort=desc
RCSfolder=inbox
RCShome=%2Fsysuser%2Fwebmail
RCuser=administrator
RCpwd=thepassword

-------COUPER-------


  * Versions Vulnérables *
 
Sambar Server 6.0 Beta 1 - 5.3 - 5.2 (et inférieures ?)


  * Solution *
 
Aucune solution pour l'instant


  * Crédits *
 
Faille découverte par Gregory Le Bras et l'équipe de security-corporation (Avril 2003).