IWS - The Information Warfare Site
News Watch Make a  donation to IWS - The Information Warfare Site Use it for navigation in case java scripts are disabled

La version française suit

THE OFFICE OF CRITICAL INFRASTRUCTURE PROTECTION AND EMERGENCY PREPAREDNESS

*****************
ADVISORY
*****************

Number: AV03-008
Date: 17 February 2003

*******************************************
Microsoft Windows XP Password Vulnerability
*******************************************

PURPOSE
This advisory brings attention to a report of a password vulnerability associated with Microsoft Windows XP operating system.

ASSESSMENT
Password security can be bypassed on a Microsoft Windows XP system by booting up with a Microsoft Windows 2000 CD and running the Windows 2000 Recovery Console. This will allow an user to gain Administrator level read, write, and execute privileges on the Microsoft Windows XP system. It does not appear this vulnerability can be exploited by a remote attacker.

SUGGESTED ACTION
It is recommended that organizations restrict physical access to Microsoft Windows XP systems to essential personnel and disable booting from a CD device in the system BIOS. A strong administrator password should be used to prevent unauthorized changes to the BIOS settings.

For further details please refer to: http://www.briansbuzz.com/w/030213/

CONTACT US
For urgent matters or to report any incidents, please contact OCIPEP's Emergency
Operations Centre at:

Phone: (613) 991-7000
Fax: (613) 996-0995
Secure Fax: (613) 991-7094
Email: opscen@ocipep-bpiepc.gc.ca

For general information, please contact OCIPEP's Communications Division
at:

Phone: (613) 944-4875 or 1-800-830-3118
Fax: (613) 998-9589
Email: communications@ocipep-bpiepc.gc.ca
Web Site: www.ocipep-bpiepc.gc.ca

NOTICE TO READERS
When the situation warrants, OCIPEP issues Advisories to communicate information
about potential, imminent or actual threats, vulnerabilities or incidents assessed
by OCIPEP as limited in scope but having possible impact on the Government of Canada
or other sectors of Canada's critical infrastructure. Recipients are encouraged to
consider the real or possible impact on their organization of the information
presented in the Advisory, and to take appropriate action.

The information in this OCIPEP Advisory has been drawn from a from a variety of
external sources. Although OCIPEP makes reasonable efforts to ensure the accuracy,
currency and reliability of the content, OCIPEP does not offer any guarantee in that
regard.

Unauthorized use of computer systems and mischief in relation to data are serious
Criminal Code offences in Canada. Upon conviction of an indictable offence, an
individual is liable to imprisonment for a term not to exceed ten years. Any

suspected criminal activity should be reported to local law enforcement organizations.
The RCMP National Operations Centre (NOC) provides a 24/7 service to receive such
reports or to redirect callers to local law enforcement organizations. The NOC can be
reached at (613) 993-4460. National security concerns should be reported to the
Canadian Security Intelligence Service (CSIS).

==================================================

LE BUREAU DE LA PROTECTION DES INFRASTRUCTURES ESSENTIELLES ET DE LA PROTECTION CIVILE

************************
AVIS DE SÉCURITÉ
************************

Numéro: AV03-008
Date: 17 Février 2003

****************************************************************************
*********
Vulnérabilité du mot de passe rattaché au système d'exploitation Microsoft Windows XP
****************************************************************************
*********

BUT
Cet avis attire votre attention sur un rapport au sujet de la vulnérabilité du mot de passe rattaché au système d'exploitation Windows XP.

ÉVALUATION
La sécurité par mot de passe peut être contournée sur un système Microsoft Windows XP en initialisant par l'entremise d'un CD Microsoft Windows 2000 et en opérant le Windows 2000 Recovery Console. Ceci permettra à un usager d'obtenir les privilèges d'accès lecture-écriture-exécution du niveau d'administrateur sur le système Microsoft Windows XP. Il ne semble pas que cette vulnérabilité puisse être exploitée à distance par un utilisateur malveillant.

MESURE PROPOSÉE
Nous recommandons que les organisations restreignent l'accès physique aux systèmes Microsoft Windows XP aux personnes essentielles et désactivent l'initialisation à partir d'un appareil CD dans le système BIOS. Un mot de passe fort de l'administrateur devrait être utilisé pour empêcher des changements non autorisés aux paramètres BIOS.

Pour de plus amples renseignements, veuillez vous reporter au site suivant : http://www.briansbuzz.com/w/030213/

COMMENT COMMUNIQUER AVEC NOUS
En cas de questions urgentes, ou pour signaler des incidents, veuillez communiquer
avec le Centre des opérations d'urgence du BPIEPC au :

Téléphone : (613) 991-7000
Télécopieur : (613) 996-0995
Télécopieur sécuritaire : (613) 991-7094
Courriel : opscen@bpiepc-ocipep.gc.ca

Pour obtenir des renseignements généraux, veuillez communiquer avec la Division des
communications du BPIEPC au :

Téléphone : (613) 944-4875 ou 1-800-830-3118
Télécopieur : (613) 998-9589
Courriel : communications@bpiepc-ocipep.gc.ca
Site Web : www.bpiepc-ocipep.gc.ca

AVIS AUX DESTINATAIRES
Les avis de sécurité émis par le BPIEPC visent à renseigner les destinataires au
sujet de menaces possibles, imminentes, ou réelles, de vulnérabilités ou d'incidents,
évalués par le BPIEPC comme étant d'une portée limitée, mais ayant des répercussions
possibles sur le gouvernement du Canada ou sur certains secteurs des infrastructures
essentielles. Les avis de sécurité peuvent contenir des renseignements et des analyses
non disponibles dans le domaine public. Les destinataires sont priés d'examiner les
répercussions réelles et possibles des renseignements présentés sur leurs organisations
et de prendre les mesures nécessaires.

Les renseignements présentés dans les avis de sécurité du BPIEPC sont tirés d'un
éventail de sources. Bien que le BPIEPC déploie des efforts raisonnables afin de
s'assurer de l'exactitude, de l'actualité et de la fiabilité du contenu des avis
de sécurité, il ne peut offrir aucune garantie à cet égard.

L'utilisation non autorisée des systèmes informatiques et les dommages relatifs aux
données constituent une faute grave au Code criminel canadien. Si une personne est
trouvée coupable d'une telle faute, elle est passible d'emprisonnement pour une période
n'excédant pas dix ans. Toute activité criminelle présumée doit être signalée
immédiatement à un organisme d'application de la loi local. Le Centre national des
opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur 24, pour
recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux
d'application de la loi. Vous pouvez rejoindre le CNO au (613) 993-4460. Les

préoccupations portant sur la sécurité nationale doivent être signalées au Service
canadien du renseignement de sécurité (SCRS).