Sécurité informatique : Microsoft IIS vulnérable à une attaque via
Un code dévoilé par un hacker
Le 2009-09-01 01:34:27, par Katleen Erna, Expert éminent sénior
Sécurité informatique : Microsoft IIS vulnérable à une attaque via un code dévoilé par un hacker
Un hacker vient de publier un code qui pourrait être utilisé pour prendre le contrôle d'un système fonctionnant sous un serveur Microsoft IIS (Internet Information Services).
Ce programme pourrait devenir un gros problème pour certains webmasters. L'attaque semblerait ne fonctionner que sur des anciennes versions des produits Microsoft, mais il n'est pas encore clairement défini combien de produits Microsoft y seraient vulnérables.
La faille se trouve dans la plate-forme File Transfer Protocol (FTP) utilisée par IIS pour transfèrer de gros fichiers par Internet. Une victime potentielle doit donc avoir activé son FTP pour devenir une cible de cette menace.
D'après son créateur, le code en question servirait à installer un programme non-autorisé sur le serveur de la victime et serait opérationnel sur Windows 2000 et IIS 5.0 (deux anciennes versions). Pour que l'attaque fonctionne, il faudrait également que le pirate soit en mesure de créer un répertoire sur le serveur.
D'autres versions d'IIS seraient également à risque mais la question n'a pas encore été assez creusée pour permettre des réponses définitives. En outre, les systèmes d'exploitation plus récents de Microsoft seraient une barrière efficace contre ce danger et en réduiraient les conséquences néfastes.
Un hacker vient de publier un code qui pourrait être utilisé pour prendre le contrôle d'un système fonctionnant sous un serveur Microsoft IIS (Internet Information Services).
Ce programme pourrait devenir un gros problème pour certains webmasters. L'attaque semblerait ne fonctionner que sur des anciennes versions des produits Microsoft, mais il n'est pas encore clairement défini combien de produits Microsoft y seraient vulnérables.
La faille se trouve dans la plate-forme File Transfer Protocol (FTP) utilisée par IIS pour transfèrer de gros fichiers par Internet. Une victime potentielle doit donc avoir activé son FTP pour devenir une cible de cette menace.
D'après son créateur, le code en question servirait à installer un programme non-autorisé sur le serveur de la victime et serait opérationnel sur Windows 2000 et IIS 5.0 (deux anciennes versions). Pour que l'attaque fonctionne, il faudrait également que le pirate soit en mesure de créer un répertoire sur le serveur.
D'autres versions d'IIS seraient également à risque mais la question n'a pas encore été assez creusée pour permettre des réponses définitives. En outre, les systèmes d'exploitation plus récents de Microsoft seraient une barrière efficace contre ce danger et en réduiraient les conséquences néfastes.
-
cherkaoui.j.eMembre actifDonc il faut avoir le droit d'écriture pour les utilisateurs anonymes !!! C'est grave de laisser ça.le 01/09/2009 à 11:47
-
QwertMembre actifTu trouves?
Si tu savais le nombre de serveur ftp en interne d'une entreprise... entre certains postes clients...etc et je ne parle même pas des simples partages.
De toute façon, installer un service web pour avoir un service ftp, c'est déjà être à la ramassele 01/09/2009 à 12:21 -
smyleyExpert éminentEt donc il suffit d'avoir fait des màj régulières pour être tranquille ? (et éviter la boutade d'avoir des utilisateurs anonymes capables de modifier quelque chose sur le serveur
) le 01/09/2009 à 12:48 -
SkyounetExpert éminent séniorEt quel est l'imbécile qui tenterait de pirater le serveur interne de son entreprise ? Il serait vite retrouvé.
Donc si on additionne : ancienne version de IIS (IIS 5) + possibilité de création de repertoire = risque très faible.
Mais le risque existe quand même.le 01/09/2009 à 15:20 -
Chauve sourisMembre expert... est tellement médiocre que cela incite n'importe quel webmaster a chercher son bonheur ailleurs.le 01/09/2009 à 22:06
-
Katleen ErnaExpert éminent séniorMise à jour du 02.09.2009
Microsoft a annoncé ce jour, à peine 24h après la publication du code de l'exploit du hacker Kingcope sur le site milw0rm.com, être en train d'examiner la faille critique découverte dans ses anciennes versions d'IIS.
Si les experts techniques de la firme confirment l'existence de la faille, ils indiqueront ensuite la marche à suivre aux utilisateurs d'IIS 5.0 et 6.0 pour qu'ils puissent s'en protèger. Pour l'instant, aucune attaque résultant de l'exploitation de cette vulnérabilité n'a été enregistrée.
Le code malicieux a déja été testé par plusieurs experts en sécurité informatique qui ont réussi à obtenir les privilèges d'administrateur sur la machine cobaye (comme par exemple l'équipe d'Offensive Security).
En attendant qu'une solution soit disponible, plusieurs entreprises spécialisées dans la sécurité informatique et organisations officielles comme le centre d'alerte américain (l'US-Computer Emergency Response Team), recommandent fortement aux administrateurs réseau de désactiver l'accès en écriture anonyme à partir du service FTP.
Le serveur FTP inclu dans IIS n'arriverait pas à analyser correctement les noms de répertoires "faits maison" ce qui permettrait aux hackers de lancer une commande NLST (Name List) sur un certain répertoire fait à la main, ce qui ferait déborder le tampon (stack buffer overflow), autorisant ensuite le pirate a executer des codes de son choix sur un système vulnérabilisé.
Selon l'hébergeur anglais Netcraft, le serveur IIS de Microsoft serait actuellement le deuxième serveur web le plus utilisé dans le monde (à hauteur de 22% de parts de marché en août 2009), après le leader open-source Apache (46 %).
Un patch serait vraisemblablement disponible le 8 septembre.le 02/09/2009 à 3:16 -
laghzaouiMembre à l'essaile 02/09/2009 à 3:55
-
SkyounetExpert éminent séniorEuh ta vidéo a juste rien à voir.
Tu nous montres une exploitation d'une faille dans webdav.le 02/09/2009 à 4:07 -
laghzaouiMembre à l'essaivoix un peu le code et parale un peu <<tout devient facile apres lavoir vue pq tu n'a pas decouvert cette faille>>le 02/09/2009 à 4:40
-
SkyounetExpert éminent séniorWoh de quoi tu parles ?
Tu nous donnes une vidéo d'une faille dans webdav alors que le sujet parle d'une faille dans IIS 5, ca n'a rien à voir du tout.
Ta vidéo date de mai, la faille qu'on parle ici a été trouvé le 1er septembre et en plus c'est même pas le même auteur, donc oui tu es hors-sujet.le 02/09/2009 à 4:44