+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 405
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 405
    Points : 39 552
    Points
    39 552
    Billets dans le blog
    2

    Par défaut Des millions de sites Web affectés par une vulnérabilité dans Internet Information Services 6.0

    Des millions de sites Web affectés par une vulnérabilité dans Internet Information Services 6.0
    une version obsolète du serveur Web de Microsoft

    Deux chercheurs d’une université chinoise de technologie ont publié une preuve de concept (PoC) pour une vulnérabilité zero-day dans la version 6.0 de Microsoft Internet Information Services (IIS). Internet Information Services est un serveur Web développé par Microsoft et livré avec différentes versions de Windows. IIS 6.0 a été livré avec Windows Server 2003, mais n’est plus supporté par le géant du logiciel depuis la fin du support étendu du système, en juillet 2015.

    La vulnérabilité est un dépassement de tampon dans la fonction ScStoragePathFromUrl du service WebDAV d’IIS 6.0. Rappelons qu’un dépassement de tampon (buffer overflow) est un bogue par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Le bogue peut être provoqué intentionnellement et être exploité pour violer la politique de sécurité d’un système. Cette technique est couramment utilisée par les pirates ; la stratégie consistant à détourner le programme bogué en lui faisant exécuter des instructions que le pirate a introduites dans le processus.

    Web Distributed Authoring and Versioning (WebDAV) est une extension du protocole HTTP qui permet aux utilisateurs, entre autres possibilités, de créer et modifier des documents sur un serveur. L'extension supporte plusieurs méthodes de requête, y compris PROPFIND, qui permet de récupérer les propriétés d'une ressource. C'est d'ailleurs via une requête PROFIND que la vulnérabilité dans IIS 6.0 peut être exploitée. L'exploit publié par les chercheurs sur GitHub permet aux attaquants d'exécuter un code malveillant sur les serveurs Windows exécutant IIS 6.0.

    La vulnérabilité a été exploitée au moins depuis juillet ou août dernier par un certain nombre d'attaquants, et la publication récente de la PoC ne pourra qu’augmenter le risque qu’elle soit exploitée par un plus grand nombre de pirates. Il faut également noter que la vulnérabilité ne sera pas corrigée par Microsoft étant donné que le produit n’est plus pris en charge par la société. « Ce problème n'affecte pas les versions actuellement prises en charge », explique un porte-parole de Microsoft, qui rappelle que l’entreprise recommande toujours à ses clients de passer aux versions plus récentes de ses systèmes « pour bénéficier d'une protection robuste et moderne ».

    IIS 6.0 gère encore des millions de sites publics et de nombreuses entreprises exécutent encore des applications Web sur Windows Server 2003 et IIS 6.0 sur leurs réseaux. Si l’on se réfère aux statistiques de mars 2017 de la firme d’analyse Netcraft, il y a en effet environ 185 millions de sites Web hébergés sur plus de 300 000 serveurs Web exécutant Windows Server 2003.

    Étant donné que Microsoft ne va pas corriger cette vulnérabilité, la solution possible est de désactiver le service WebDAV sur les installations IIS 6.0, ou encore migrer les sites Web affectés vers une version plus récente de IIS et Windows Server. Dans l’immédiat, la firme de sécurité ACROS Security propose également un « micropatch » gratuit pour cette vulnérabilité.

    Sources : GitHub, Kaspersky, ACROS Security, Netcraft

    Et vous ?

    Avez-vous des sites tournant sur Windows Server 2003 et IIS 6.0 ?
    Qu'est-ce qui vous retient sur ces technologies qui ne sont plus prises en charge par Microsoft ?

    Voir aussi :

    Des millions de sites web sont encore hébergés sur des machines exécutant Windows Server 2003, selon Netcraft
    Windows Server 2003 : les organisations sont lentes à migrer vers de nouveaux systèmes à moins d'un mois de la fin du support
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : mars 2017
    Messages : 76
    Points : 191
    Points
    191

    Par défaut

    Étant donné que Microsoft ne va pas corriger cette vulnérabilité, la solution possible est de désactiver le service WebDAV
    C'est parfaitement dans la ligne de Microsoft : Pourquoi depenser de l'argent dans un patch pour des anciennes versions alors que nous utilisons nos clients comme testeurs pour les versions actuelles ?

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    avril 2012
    Messages
    97
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2012
    Messages : 97
    Points : 148
    Points
    148

    Par défaut

    Windows Server 2003 : tout est dit dans ces 4 chiffres.
    Juste 14 ans de retard, d'endormissement technologique (le contraire de la veille technologique); bref, 14 ans de paresse; et de radinerie minutieuse aussi...
    Comment dire ? Affligeant ?

Discussions similaires

  1. Réponses: 5
    Dernier message: 04/10/2016, 01h15
  2. Réponses: 10
    Dernier message: 18/08/2015, 17h12
  3. Extraire des données d'un site sans passer par une API
    Par Addon75 dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 29/06/2014, 16h02
  4. Réponses: 47
    Dernier message: 23/07/2010, 14h25
  5. site web certifie par une autorite inconnue
    Par k_boy dans le forum Firefox
    Réponses: 0
    Dernier message: 03/06/2008, 12h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo