Attaques
Next target : microsoft.com
Par Jerome Saiz, le 19 juin 2006 à 12:02:00.
Des pirates turcs se sont attaqués à un sous domaine du site français de Microsoft. Ils ont expliqué leur méthode par un cryptique "Web Server Intrusion" qui a suffit à lancer la polémique : existerait-il une vulnérabilité Zero Day exploitable sur un IIS 6 ? Si c'est le cas, on pourrait bientôt en entendre parler : les pirates ont signé leur defacement d'un "Next target : microsoft.com". [Mis à jour le 21/06/06]
Passons sur le defacement lui-même : le jeu n'a rien de bien intéressant et de telles attaques frappent des milliers de sites chaque jour. La cible de celui-ci, en revanche, est plus intéressante : il s'agit d'un sous-domaine du site de Microsoft France.
Un détour par Netcraft nous apprend que ce dernier fonctionne sous Windows Server 2003 et qu'au jour de l'attaque il était sous Microsoft-IIS/6.0. Le site n'est cependant plus accessible à l'heure de la rédaction de cette brève.
Le defacement a été révélé par le site zone-h.org, a qui les pirates auraient affirmé que l'attaque était une "Web Server Intrusion". Anglais défaillant pour expliquer tout simplement qu'ils ont pénétré le site web, ou indication d'une vulnérabilité exploitable dans le couple Windows Server 2003 / IIS 6 ? C'est justement sur cette ambiguïté qu'est née la rumeur.
Récemment, un autre pirate Turc, iSKORPiTX, s'est illustré par un marathon de détournements (38 000 sites web touchés !). Les serveurs piratés fonctionnaient eux aussi sous Windows 2003, et déjà la rumeur d'une vulnérabilité s'était propagée. Mais il semble qu'il ne s'agissait finalement que de l'exploitation de scripts ASP ou PHP mal codés.
Cette dernière attaque vient donc relancer le débat : y a-t-il vraiment une vulnérabilité inconnue sur IIS 6, ou le site d'experts de Microsoft France était-il mal codé ?
Mise à jour du 19/06/06 : Le serveur compromis n'est pas géré par Microsoft, mais par un prestataire (Agilan/Pictime). Il s'agit d'un espace destiné aux "partenaires reconnus" (MVP) de l'éditeur qui souhaitent disposer d'un blog.
Pour l'anecdote, ce n'est pas la première fois que Microsoft est ainsi trahi par un partenaire.
Mise à jour du 21/06/06 : Le site aurait été compromis à l'aide d'une vulnérabilité dans un script .NET (DotNetNuke) installé sur le serveur. Le site zone-h.org a désormais quelques détails sur le sujet.
Il ne s'agit donc pas d'une vulnérabilité zero day dans le couple Windows Server 2003 / IIS 6, et
microsoft.com peut ronronner tranquille.Plus d'information
- L'info sur le site de zone-h.fr (en français)
Cartes blanches
DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
