IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des millions de sites Web affectés par une vulnérabilité dans Internet Information Services 6.0
Une version obsolète du serveur Web de Microsoft

Le , par Michael Guilloux

242PARTAGES

8  0 
Deux chercheurs d’une université chinoise de technologie ont publié une preuve de concept (PoC) pour une vulnérabilité zero-day dans la version 6.0 de Microsoft Internet Information Services (IIS). Internet Information Services est un serveur Web développé par Microsoft et livré avec différentes versions de Windows. IIS 6.0 a été livré avec Windows Server 2003, mais n’est plus supporté par le géant du logiciel depuis la fin du support étendu du système, en juillet 2015.

La vulnérabilité est un dépassement de tampon dans la fonction ScStoragePathFromUrl du service WebDAV d’IIS 6.0. Rappelons qu’un dépassement de tampon (buffer overflow) est un bogue par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Le bogue peut être provoqué intentionnellement et être exploité pour violer la politique de sécurité d’un système. Cette technique est couramment utilisée par les pirates ; la stratégie consistant à détourner le programme bogué en lui faisant exécuter des instructions que le pirate a introduites dans le processus.

Web Distributed Authoring and Versioning (WebDAV) est une extension du protocole HTTP qui permet aux utilisateurs, entre autres possibilités, de créer et modifier des documents sur un serveur. L'extension supporte plusieurs méthodes de requête, y compris PROPFIND, qui permet de récupérer les propriétés d'une ressource. C'est d'ailleurs via une requête PROFIND que la vulnérabilité dans IIS 6.0 peut être exploitée. L'exploit publié par les chercheurs sur GitHub permet aux attaquants d'exécuter un code malveillant sur les serveurs Windows exécutant IIS 6.0.

La vulnérabilité a été exploitée au moins depuis juillet ou août dernier par un certain nombre d'attaquants, et la publication récente de la PoC ne pourra qu’augmenter le risque qu’elle soit exploitée par un plus grand nombre de pirates. Il faut également noter que la vulnérabilité ne sera pas corrigée par Microsoft étant donné que le produit n’est plus pris en charge par la société. « Ce problème n'affecte pas les versions actuellement prises en charge », explique un porte-parole de Microsoft, qui rappelle que l’entreprise recommande toujours à ses clients de passer aux versions plus récentes de ses systèmes « pour bénéficier d'une protection robuste et moderne ».

IIS 6.0 gère encore des millions de sites publics et de nombreuses entreprises exécutent encore des applications Web sur Windows Server 2003 et IIS 6.0 sur leurs réseaux. Si l’on se réfère aux statistiques de mars 2017 de la firme d’analyse Netcraft, il y a en effet environ 185 millions de sites Web hébergés sur plus de 300 000 serveurs Web exécutant Windows Server 2003.

Étant donné que Microsoft ne va pas corriger cette vulnérabilité, la solution possible est de désactiver le service WebDAV sur les installations IIS 6.0, ou encore migrer les sites Web affectés vers une version plus récente de IIS et Windows Server. Dans l’immédiat, la firme de sécurité ACROS Security propose également un « micropatch » gratuit pour cette vulnérabilité.

Sources : GitHub, Kaspersky, ACROS Security, Netcraft

Et vous ?

Avez-vous des sites tournant sur Windows Server 2003 et IIS 6.0 ?
Qu'est-ce qui vous retient sur ces technologies qui ne sont plus prises en charge par Microsoft ?

Voir aussi :

Des millions de sites web sont encore hébergés sur des machines exécutant Windows Server 2003, selon Netcraft
Windows Server 2003 : les organisations sont lentes à migrer vers de nouveaux systèmes à moins d'un mois de la fin du support

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de emutramp
Membre actif https://www.developpez.com
Le 02/04/2017 à 13:38
Étant donné que Microsoft ne va pas corriger cette vulnérabilité, la solution possible est de désactiver le service WebDAV
C'est parfaitement dans la ligne de Microsoft : Pourquoi depenser de l'argent dans un patch pour des anciennes versions alors que nous utilisons nos clients comme testeurs pour les versions actuelles ?
0  0 
Avatar de
https://www.developpez.com
Le 06/04/2017 à 21:47
Windows Server 2003 : tout est dit dans ces 4 chiffres.
Juste 14 ans de retard, d'endormissement technologique (le contraire de la veille technologique); bref, 14 ans de paresse; et de radinerie minutieuse aussi...
Comment dire ? Affligeant ?
0  0