Des chercheurs en sécurité ont mis en évidence une importante faille de sécurité dans IIS 6.0 de Microsoft. Ce serveur web n’est plus mis à jour depuis plusieurs années et la vulnérabilité est déjà exploitée.
La vieille version 6.0 du serveur web Internet Information Services (IIS), qu’on trouve notamment Windows Server 2003 R2, est victime d’une faille critique de sécurité. Estampillée CVE-2017-7269, elle a été découverte par les chercheurs Zhiniang Peng et Chen Wu, tous deux de l’université de Guangzhou en Chine.
60 000 installations vulnérables
La brèche est critique car elle peut être exploitée à distance, par l’envoi d’une requête spécialement conçue via la méthode PROPFIND vers le composant WebDAV, avec un en-tête plus long que la normale. En cas d’attaque réussie, les pirates peuvent déclencher une exécution arbitraire de code ou provoquer un déni de service, à cause d’un dépassement de mémoire tampon. Un type de bug qu’on ne trouve presque plus dans les logiciels récents.
Cette faille présente essentiellement deux problèmes. D’une part, elle est déjà exploitée. Les chercheurs indiquent ainsi qu’ils en ont trouvé des traces dans des attaques ayant eu lieu en juillet ou août 2016. D’autre part, et c’est le plus ennuyeux, Windows Server 2003 R2 n’est plus mis à jour depuis 2015, au terme d’un support technique de dix ans. IIS 6.0 ne reçoit donc plus aucun correctif non plus, et il n’y a aucune raison que le cas soit différent cette fois-ci.
Or, l’ancien système est encore utilisé. Selon les chercheurs, on trouve encore à peu près 60 000 installations Server 2003 R2 dans le monde. Elles sont donc toutes vulnérables et, autant qu’on le sache, une partie d’entre elles ont déjà été attaquées, depuis août selon les chercheurs. Le risque ne peut désormais qu’augmenter : non seulement les chercheurs ont publié les détails de leur découverte, mais un prototype d’exploitation est fourni dans leur dépôt GitHub.
Moderniser l'installation ou désactiver WebDAV en attendant
Les solutions ne sont pas légion. Le cas idéal serait de mettre à jour le serveur vers un système beaucoup plus récent. Évidemment, surtout quand il s’agit de vieilles installations, la solution peut s’avérer complexe et onéreuse, les problématiques de compatibilité étant nombreuses.
En attendant, Trend Micro, qui a relayé l’information des chercheurs, indique qu’il est possible de désactiver le composant WebDAV d’IIS, s’il n’est bien entendu par requis. Les versions plus récentes de Windows Server sont fournies avec un IIS plus récent et ne sont pas concernées par cette faille.
