Deux chercheurs d’une université chinoise de technologie ont publié une preuve de concept (PoC) pour une vulnérabilité zero-day dans la version 6.0 de Microsoft Internet Information Services (IIS). Internet Information Services est un serveur Web développé par Microsoft et livré avec différentes versions de Windows. IIS 6.0 a été livré avec Windows Server 2003, mais n’est plus supporté par le géant du logiciel depuis la fin du support étendu du système, en juillet 2015.La vulnérabilité est un dépassement de tampon dans la fonction ScStoragePathFromUrl du service WebDAV d’IIS 6.0. Rappelons qu’un dépassement de tampon (buffer overflow) est un bogue par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Le bogue peut être provoqué intentionnellement et être exploité pour violer la politique de sécurité d’un système. Cette technique est couramment utilisée par les pirates ; la stratégie consistant à détourner le programme bogué en lui faisant exécuter des instructions que le pirate a introduites dans le processus.
Web Distributed Authoring and Versioning (WebDAV) est une extension du protocole HTTP qui permet aux utilisateurs, entre autres possibilités, de créer et modifier des documents sur un serveur. L'extension supporte plusieurs méthodes de requête, y compris PROPFIND, qui permet de récupérer les propriétés d'une ressource. C'est d'ailleurs via une requête PROFIND que la vulnérabilité dans IIS 6.0 peut être exploitée. L'exploit publié par les chercheurs sur GitHub permet aux attaquants d'exécuter un code malveillant sur les serveurs Windows exécutant IIS 6.0.
La vulnérabilité a été exploitée au moins depuis juillet ou août dernier par un certain nombre d'attaquants, et la publication récente de la PoC ne pourra qu’augmenter le risque qu’elle soit exploitée par un plus grand nombre de pirates. Il faut également noter que la vulnérabilité ne sera pas corrigée par Microsoft étant donné que le produit n’est plus pris en charge par la société. « Ce problème n'affecte pas les versions actuellement prises en charge », explique un porte-parole de Microsoft, qui rappelle que l’entreprise recommande toujours à ses clients de passer aux versions plus récentes de ses systèmes « pour bénéficier d'une protection robuste et moderne ».
IIS 6.0 gère encore des millions de sites publics et de nombreuses entreprises exécutent encore des applications Web sur Windows Server 2003 et IIS 6.0 sur leurs réseaux. Si l’on se réfère aux statistiques de mars 2017 de la firme d’analyse Netcraft, il y a en effet environ 185 millions de sites Web hébergés sur plus de 300 000 serveurs Web exécutant Windows Server 2003.
Étant donné que Microsoft ne va pas corriger cette vulnérabilité, la solution possible est de désactiver le service WebDAV sur les installations IIS 6.0, ou encore migrer les sites Web affectés vers une version plus récente de IIS et Windows Server. Dans l’immédiat, la firme de sécurité ACROS Security propose également un « micropatch » gratuit pour cette vulnérabilité.
Sources : GitHub, Kaspersky, ACROS Security, Netcraft
Et vous ?
Avez-vous des sites tournant sur Windows Server 2003 et IIS 6.0 ? Qu'est-ce qui vous retient sur ces technologies qui ne sont plus prises en charge par Microsoft ?Voir aussi :
Des millions de sites web sont encore hébergés sur des machines exécutant Windows Server 2003, selon Netcraft Windows Server 2003 : les organisations sont lentes à migrer vers de nouveaux systèmes à moins d'un mois de la fin du support 
