Très belle astuce découverte par Mohamed Syed d’Innerframe, répercutée sur Security Focus et concernant les
comptes « utilisateur » de NT 4.0, tous Service Pack confondus : un compte dévalidé ou créé avec l’option « l’utilisateur n’a pas le droit de
modifier son mot de passe » peut malgré tout modifier son code
d’accès en invoquant, via IIS, l’adresse http://iis-server/iisadmpwd/aexp*.htr.
En d’autres termes, la procédure de changement de « password
» demeure valide via l’interface Web alors que celle en mode console est
« bloquée » par l’administrateur. Le problème peut aisément être
contourné en supprimant le lien en question, et Microsoft précise que
désormais, de telles procédures sont bien plus sécurisées grâce à
l’utilisation des API attachées aux Active Directories
Services (non présents par défaut et hors Option Pack sous NT 4.0). Il est
difficile de qualifier ce léger hiatus de véritable faille, puisque la
connaissance de l’ancien mot de passe est nécessaire pour autoriser ledit
changement. Reste que, dans certains cas, l’exploitation du défaut peut
semer une sérieuse pagaille dans la gestion des comptes et dans la tenue de
certaines entrées destinées aux automates logiciels (compte « en temps que
service » par exemple).