Vulnérabilités
Une faille majeure pour Windows 2000 et IIS.
Par Jerome Saiz, le 18 mars 2003 à 12:18:00.
Le serveur web IIS de Microsoft peut être compromis par une simple requête HTTP. Cela permet au pirate d'en prendre le contrôle à distance très simplement et d'y exécuter le code de son choix. La vulnérabilité est jugée critique par Microsoft, qui a rapidement publié un correctif. Le risque d'une exploitation automatique à grande échelle est élevé, et des outils d'attaque circulent déjà. [Mis à jour le 20/03/2003]
C'est une faille majeure pour IIS. Une de celle qui peut être exploitée facilement et à grande échelle. La dernière en date du même calibre a ouvert la voie à Code Red et Nimda, deux épidémies mondiales de grande envergure.
Seule la version 5 de IIS sous Windows 2000 (Service Pack 3 inclus) est concernée. Les serveurs utilisant Windows XP ou Windows Server 2003 ne sont pas touchés.
La vulnérabilité se situe dans l'implémentation du composant WebDAV, une extension du protocole standard d'Internet HTTP. WebDAV est censé apporter quelques fonctions de gestion de la production de contenu web. Mais aujourd'hui, la version Microsoft de ce protocole ouvre aussi grand les portes du serveur !
Techniquement, il s'agit d'un dépassement de mémoire tampon situé dans une librairie partagée qui offre une fonction de conversion des chemins de fichiers sur le serveur.
La vulnérabilité est exploitable à distance, via une simple requête HTTP mal formée qu'il suffit d'envoyer au serveur. C'est ce qui la rend particulièrement nuisible : n'importe quel serveur web accessible depuis Internet et non mis à jour est une cible potentielle. Déjà, des outils d'attaque automatisés circulent parmi les pirates, selon la société ISS, à l'origine de cette découverte. Mais le scénario le plus grave serait l'apparition d'un ver qui embarquerait un tel outil. Il aurait le même potentiel épidémique que Nimda et Code Red.Microsoft a jugé cette faille critique et à rapidement publié un correctif. Des parades manuelles sont également disponibles pour qui ne peut appliquer la rustine immédiatement.
Mise à jour :
Selon un rapport de la société TrueSecure, l'application de ce correctif pourrait rendre le système instable. Mieux vaut dans ce cas désactiver tout simplement WebDAV, en attendant que Microsoft publie un nouveau correctif ou démente cette information.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssDécès de Christophe Pipparelli
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
