Le serveur web IIS de Microsoft peut être compromis par une simple requête HTTP. Cela permet au pirate d'en prendre le contrôle à distance très simplement et d'y exécuter le code de son choix. La vulnérabilité est jugée critique par Microsoft, qui a rapidement publié un correctif. Le risque d'une exploitation automatique à grande échelle est élevé, et des outils d'attaque circulent déjà.

au sommaire


    Une faille majeure pour Windows 2000 et IIS

    Une faille majeure pour Windows 2000 et IIS

    C'est une faille majeure pour IIS. Une de celle qui peut être exploitée facilement et à grande échelle. La dernière en date du même calibre a ouvert la voie à Code Red et Nimda, deux épidémiesépidémies mondiales de grande envergure.
    Seule la version 5 de IIS sous Windows 2000 (Service PackPack 3 inclus) est concernée. Les serveurs utilisant Windows XPWindows XP ou Windows Server 2003 ne sont pas touchés.
    La vulnérabilité se situe dans l'implémentation du composant WebDAV, une extension du protocole standard d'Internet HTTPHTTP. WebDAV est censé apporter quelques fonctions de gestion de la production de contenu web. Mais aujourd'hui, la version MicrosoftMicrosoft de ce protocole ouvre aussi grand les portesportes du serveur !

    Techniquement, il s'agit d'un dépassement de mémoire tampon situé dans une librairie partagée qui offre une fonction de conversion des chemins de fichiers sur le serveur.
    La vulnérabilité est exploitable à distance, via une simple requête HTTP mal formée qu'il suffit d'envoyer au serveur. C'est ce qui la rend particulièrement nuisible : n'importe quel serveur web accessible depuis Internet et non mis à jour est une cible potentielle. Déjà, des outils d'attaque automatisés circulent parmi les pirates, selon la société ISSISS, à l'origine de cette découverte. Mais le scénario le plus grave serait l'apparition d'un ver qui embarquerait un tel outil. Il aurait le même potentiel épidémique que Nimda et Code Red. Microsoft a jugé cette faille critique et à rapidement publié un correctif. Des parades manuelles sont également disponibles pour qui ne peut appliquer la rustine immédiatement.

    En savoir plus :
    - L'alerte de ISS
    - Le correctif sur le site de Microsoft