Des chercheurs en sécurité ont mis en évidence une importante faille de sécurité dans IIS 6.0 de Microsoft. Ce serveur web n’est plus mis à jour depuis plusieurs années et la vulnérabilité est déjà exploitée.
La vieille version 6.0 du serveur web Internet Information Services (IIS), qu’on trouve notamment Windows Server 2003 R2, est victime d’une faille critique de sécurité. Estampillée CVE-2017-7269, elle a été découverte par les chercheurs Zhiniang Peng et Chen Wu, tous deux de l’université de Guangzhou en Chine.
60 000 installations vulnérables
La brèche est critique car elle peut être exploitée à distance, par l’envoi d’une requête spécialement conçue via la méthode PROPFIND vers le composant WebDAV, avec un en-tête plus long que la normale. En cas d’attaque réussie, les pirates peuvent déclencher une exécution arbitraire de code ou provoquer un déni de service, à cause d’un dépassement de mémoire tampon. Un type de bug qu’on ne trouve presque plus dans les logiciels récents.
Cette faille présente essentiellement deux problèmes. D’une part, elle est déjà exploitée. Les chercheurs indiquent ainsi qu’ils en ont trouvé des traces dans des attaques ayant eu lieu en juillet ou août 2016. D’autre part, et c’est le plus ennuyeux, Windows Server 2003 R2 n’est plus mis à jour depuis 2015, au terme d’un support technique de dix ans. IIS 6.0 ne reçoit donc plus aucun correctif non plus, et il n’y a aucune raison que le cas soit différent cette fois-ci.
Or, l’ancien système est encore utilisé. Selon les chercheurs, on trouve encore à peu près 60 000 installations Server 2003 R2 dans le monde. Elles sont donc toutes vulnérables et, autant qu’on le sache, une partie d’entre elles ont déjà été attaquées, depuis août selon les chercheurs. Le risque ne peut désormais qu’augmenter : non seulement les chercheurs ont publié les détails de leur découverte, mais un prototype d’exploitation est fourni dans leur dépôt GitHub.
Moderniser l'installation ou désactiver WebDAV en attendant
Les solutions ne sont pas légion. Le cas idéal serait de mettre à jour le serveur vers un système beaucoup plus récent. Évidemment, surtout quand il s’agit de vieilles installations, la solution peut s’avérer complexe et onéreuse, les problématiques de compatibilité étant nombreuses.
En attendant, Trend Micro, qui a relayé l’information des chercheurs, indique qu’il est possible de désactiver le composant WebDAV d’IIS, s’il n’est bien entendu par requis. Les versions plus récentes de Windows Server sont fournies avec un IIS plus récent et ne sont pas concernées par cette faille.
Commentaires (29)
#1
“En cas d’attaque réussie, les pirates peuvent déclencher une exécution arbitraire de code ou provoquer un déni de service, à cause d’un dépassement de mémoire tampon. Un type de bug qu’on ne trouve presque plus dans les logiciels récents.”.
Source ? 🤔
#2
On va dire que des mécanismes du type ASLR rendent ce type d’attaque très probabilistes, en particulier sur des systèmes 64 bits. Autrement dit sur de tels OS une telle attaque n’a qu’une chance sur un million de réussir. Ceci est vrai pour tous les composants protégés par ASLR, pour les autres évidemment il y a toujours ce type de vulnérabilité.
#3
Mouais, l’ASLR n’empêche pas le Buffer overflow, il rends dans certains cas son exploitation potentiellement plus complexe, et encore…
#4
l’ASLR empêche de cibler les données atteintes, ca évite pas la dégradation des performances induites.
#5
De toute manière, un serveur ne doit jamais être laissé à l’abandon avec des logiciels qui sont sorti de la période de support.
Les entreprises de radins qui ne veulent pas payer les informaticiens pour économiser, on ne va pas pleurer sur leur sort.
#6
Non mais il rend l’attaque bien plus probabiliste. C’est un moyen d’atténuer une faille même si ça ne la supprime pas.
#7
Clair, après quand de telles entreprises se basent sur des solutions d’éditeurs plus maintenues elles sont coincées car elles ne peuvent pas forcément récupérer les données.
Raison de plus pour basculer sur du libre, y compris au niveau de l’OS !
#8
Même avec du libre t’es pas à l’abri de voir tes scripts ou logiciels vieux de 15 ans ne plus fonctionner sur un OS d’aujourd’hui. Le coût de la mise à jour peut être supérieur à ce qu’une attaque réussie peut occasionner.
Qu’on soit d’accord on parle bien d’applis métiers, hein ;)
#9
C’est vrai mais souvent tu pourras récupérer plus facilement les données, c’est déjà ça. (J’ai même vu des applis qui… chiffraient les données des utilisateurs, notamment WinDEV pour ceux qui utilisent ça)
#10
IIS 6.0 ? snirf mon alternance.
#11
#12
Sans doute des serveurs entrain de balancer des pages “optimisées pour IE 6”
" />
#13
Je vois pas le rapport avec le libre…
Il y a (malheureusement) des milliers de sites sous des versions d’Apache qui n’ont plus de correctifs depuis des années…
Le problème n’est pas le soft en soit.. c’est “juste” le manque de maintenance…
#14
Sauf que certaines entreprises ne voient que l’aspect financier des mises à jour, et du coup on laisse aprce que “ça tourne”. Et je te parle de cela en corrigeant une appli Java 6 non mise à jour technologiquement depuis 2011. 
" />
#15
Laisse, quand ils auront subi une grosse attaque ils comprendront que l’aspect financier, c’est aussi de mettre à jour quand il y a un risque pour la sécurité.
#16
Enfin le problème que je pointe ici, c’est que l’auteur de l’article se permet d’affirmer qu’on ne “[trouve] presque plus [de buffer overflow] dans les logiciels récents”. Je demande simplement la source de cette affirmation, qui me semble plutôt fausse
#17
j’aurai tendance à dire que, puisqu’on est sur le terrain de la raréfaction, il te suffit de nous citer de nombreux contre-exemples.
Parce que sinon:
“qui me semble plutôt fausse”
source?
#18
Justement. Un risque, ca s’evalue. Si la fréquence est proche de 0 et que le coût peut être couvert par une assurance moins chère qu’une migration, aucun intérêt.
Il faut cesser de confondre maintenance, gestion des vulnerabilites, gestion des risques et faire de l’informatique dans les règles de l’art.
#19
#20
On ne va pas pleurer sur le sort de ces entreprises mais quid de leur clients ?
Sans le savoir, tu es peut être client d’une de ces entreprises, et tes données personnelles sont peut être exposées…
#21
Pour info, Microsoft rework son framework .net en libre ;) (.net core)
#22
Sur les 3 dernières années, 1219 CVE qui exploitent des Buffer overflow :)
#23
Je crois que le premier truc que j’avais fait sur une petite machine de test en 2003 c’était de tester IIS et je l’ai viré tellement que ça m’a gonflé d’essayer d’installer PHP. Depuis, tout serveur web que je fais, c’est du Debian, terminé ! Quitte à faire une machine virtuelle sur un serveur Windows.
#24
#25
#26
Mon école a mis à jour vers IIS 7.0, que d’émotions !
Par contre c’est toujours classé F par ssllabs sur 3 critères différents :/
#27
#28
Mème mieux sur les 3 dernières années on a une moyenne de 33.3 vulnérabilités par mois alors que sur les 3 derniers mois on a une moyenne de 97.7
Autant dire que les dépassements de tampon sont tout sauf en voie de disparition.
#29