Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 773
    Points
    75 773
    Par défaut Sécurité informatique : Microsoft IIS vulnérable à une attaque via un code dévoilé par un hacker
    Citation Envoyé par Katleen Erna Voir le message
    Mise à jour du 05.09.2009

    Microsoft vient d'annoncer aujourd'hui que le patch relatif à cette faille ne sera pas disponible avec sa prochaine mise à jour de sécurité. En effet, les "patch tuesday" sortent mensuellement, or le prochain est prévu pour le mardi 8 septembre ce qui n'a pas laissé un délai suffisant aux techniciens de l'entreprise pour trouver et tester un remède à la vulnérabilité. La firme annonce toutefois envisager de sortir son correctif en dehors de son cycle mensuel, au vu de l'urgence actuelle crée par la diffusion de codes d'exploitation et l'émergence d'attaques.
    Citation Envoyé par Katleen Erna Voir le message
    Mise à jour du 02.09.2009

    Microsoft a annoncé ce jour, à peine 24h après la publication du code de l'exploit du hacker Kingcope sur le site milw0rm.com, être en train d'examiner la faille critique découverte dans ses anciennes versions d'IIS.

    Si les experts techniques de la firme confirment l'existence de la faille, ils indiqueront ensuite la marche à suivre aux utilisateurs d'IIS 5.0 et 6.0 pour qu'ils puissent s'en protèger. Pour l'instant, aucune attaque résultant de l'exploitation de cette vulnérabilité n'a été enregistrée.

    Le code malicieux a déja été testé par plusieurs experts en sécurité informatique qui ont réussi à obtenir les privilèges d'administrateur sur la machine cobaye (comme par exemple l'équipe d'Offensive Security).

    En attendant qu'une solution soit disponible, plusieurs entreprises spécialisées dans la sécurité informatique et organisations officielles comme le centre d'alerte américain (l'US-Computer Emergency Response Team), recommandent fortement aux administrateurs réseau de désactiver l'accès en écriture anonyme à partir du service FTP.

    Le serveur FTP inclu dans IIS n'arriverait pas à analyser correctement les noms de répertoires "faits maison" ce qui permettrait aux hackers de lancer une commande NLST (Name List) sur un certain répertoire fait à la main, ce qui ferait déborder le tampon (stack buffer overflow), autorisant ensuite le pirate a executer des codes de son choix sur un système vulnérabilisé.

    Selon l'hébergeur anglais Netcraft, le serveur IIS de Microsoft serait actuellement le deuxième serveur web le plus utilisé dans le monde (à hauteur de 22% de parts de marché en août 2009), après le leader open-source Apache (46 %).

    Un patch serait vraisemblablement disponible le 8 septembre.
    Sécurité informatique : Microsoft IIS vulnérable à une attaque via un code dévoilé par un hacker

    Un hacker vient de publier un code qui pourrait être utilisé pour prendre le contrôle d'un système fonctionnant sous un serveur Microsoft IIS (Internet Information Services).

    Ce programme pourrait devenir un gros problème pour certains webmasters. L'attaque semblerait ne fonctionner que sur des anciennes versions des produits Microsoft, mais il n'est pas encore clairement défini combien de produits Microsoft y seraient vulnérables.

    La faille se trouve dans la plate-forme File Transfer Protocol (FTP) utilisée par IIS pour transfèrer de gros fichiers par Internet. Une victime potentielle doit donc avoir activé son FTP pour devenir une cible de cette menace.

    D'après son créateur, le code en question servirait à installer un programme non-autorisé sur le serveur de la victime et serait opérationnel sur Windows 2000 et IIS 5.0 (deux anciennes versions). Pour que l'attaque fonctionne, il faudrait également que le pirate soit en mesure de créer un répertoire sur le serveur.
    D'autres versions d'IIS seraient également à risque mais la question n'a pas encore été assez creusée pour permettre des réponses définitives. En outre, les systèmes d'exploitation plus récents de Microsoft seraient une barrière efficace contre ce danger et en réduiraient les conséquences néfastes.

  2. #2
    Membre actif
    Avatar de cherkaoui.j.e
    Inscrit en
    mai 2008
    Messages
    58
    Détails du profil
    Informations forums :
    Inscription : mai 2008
    Messages : 58
    Points : 229
    Points
    229
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Pour que l'attaque fonctionne, il faudrait également que le pirate soit en mesure de créer un répertoire sur le serveur.
    Donc il faut avoir le droit d'écriture pour les utilisateurs anonymes !!! C'est grave de laisser ça.

  3. #3
    Membre actif Avatar de Qwert
    Inscrit en
    février 2009
    Messages
    147
    Détails du profil
    Informations forums :
    Inscription : février 2009
    Messages : 147
    Points : 222
    Points
    222
    Par défaut
    Citation Envoyé par cherkaoui.j.e Voir le message
    Donc il faut avoir le droit d'écriture pour les utilisateurs anonymes !!! C'est grave de laisser ça.
    Tu trouves?

    Si tu savais le nombre de serveur ftp en interne d'une entreprise... entre certains postes clients...etc et je ne parle même pas des simples partages.

    De toute façon, installer un service web pour avoir un service ftp, c'est déjà être à la ramasse

  4. #4
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 354
    Points
    8 354
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    L'attaque semblerait ne fonctionner que sur des anciennes versions des produits Microsoft
    Et donc il suffit d'avoir fait des màj régulières pour être tranquille ? (et éviter la boutade d'avoir des utilisateurs anonymes capables de modifier quelque chose sur le serveur )

  5. #5
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2005
    Messages : 6 380
    Points : 13 018
    Points
    13 018
    Par défaut
    Citation Envoyé par Qwert Voir le message
    Tu trouves?

    Si tu savais le nombre de serveur ftp en interne d'une entreprise... entre certains postes clients...etc et je ne parle même pas des simples partages.
    Et quel est l'imbécile qui tenterait de pirater le serveur interne de son entreprise ? Il serait vite retrouvé.

    Donc si on additionne : ancienne version de IIS (IIS 5 ) + possibilité de création de repertoire = risque très faible.

    Mais le risque existe quand même.
    Introduction à Silverlight 4 (new) ; Localisation d'une application Silverlight (new) ;
    Mon espace perso[/B]

    La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. Albert Einstein[/SIZE]

  6. #6
    Membre émérite
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 72
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 1 186
    Points : 2 980
    Points
    2 980
    Par défaut Et puis le serveur FTP de IIS...
    ... est tellement médiocre que cela incite n'importe quel webmaster a chercher son bonheur ailleurs.
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  7. #7
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 773
    Points
    75 773
    Par défaut
    Mise à jour du 02.09.2009

    Microsoft a annoncé ce jour, à peine 24h après la publication du code de l'exploit du hacker Kingcope sur le site milw0rm.com, être en train d'examiner la faille critique découverte dans ses anciennes versions d'IIS.

    Si les experts techniques de la firme confirment l'existence de la faille, ils indiqueront ensuite la marche à suivre aux utilisateurs d'IIS 5.0 et 6.0 pour qu'ils puissent s'en protèger. Pour l'instant, aucune attaque résultant de l'exploitation de cette vulnérabilité n'a été enregistrée.

    Le code malicieux a déja été testé par plusieurs experts en sécurité informatique qui ont réussi à obtenir les privilèges d'administrateur sur la machine cobaye (comme par exemple l'équipe d'Offensive Security).

    En attendant qu'une solution soit disponible, plusieurs entreprises spécialisées dans la sécurité informatique et organisations officielles comme le centre d'alerte américain (l'US-Computer Emergency Response Team), recommandent fortement aux administrateurs réseau de désactiver l'accès en écriture anonyme à partir du service FTP.

    Le serveur FTP inclu dans IIS n'arriverait pas à analyser correctement les noms de répertoires "faits maison" ce qui permettrait aux hackers de lancer une commande NLST (Name List) sur un certain répertoire fait à la main, ce qui ferait déborder le tampon (stack buffer overflow), autorisant ensuite le pirate a executer des codes de son choix sur un système vulnérabilisé.

    Selon l'hébergeur anglais Netcraft, le serveur IIS de Microsoft serait actuellement le deuxième serveur web le plus utilisé dans le monde (à hauteur de 22% de parts de marché en août 2009), après le leader open-source Apache (46 %).

    Un patch serait vraisemblablement disponible le 8 septembre.

  8. #8
    Membre à l'essai
    Inscrit en
    août 2009
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : août 2009
    Messages : 9
    Points : 10
    Points
    10
    Par défaut je veux invite a voir ce qu'il a fait c'est un genie http://www.milw0rm.com/video/watch.php?id=103
    Citation Envoyé par Qwert Voir le message
    Tu trouves?

    Si tu savais le nombre de serveur ftp en interne d'une entreprise... entre certains postes clients...etc et je ne parle même pas des simples partages.

    De toute façon, installer un service web pour avoir un service ftp, c'est déjà être à la ramasse

  9. #9
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2005
    Messages : 6 380
    Points : 13 018
    Points
    13 018
    Par défaut
    Euh ta vidéo a juste rien à voir.
    Tu nous montres une exploitation d'une faille dans webdav.
    Introduction à Silverlight 4 (new) ; Localisation d'une application Silverlight (new) ;
    Mon espace perso[/B]

    La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. Albert Einstein[/SIZE]

  10. #10
    Membre à l'essai
    Inscrit en
    août 2009
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : août 2009
    Messages : 9
    Points : 10
    Points
    10
    Par défaut
    Citation Envoyé par Skyounet Voir le message
    Euh ta vidéo a juste rien à voir.
    Tu nous montres une exploitation d'une faille dans webdav.
    voix un peu le code et parale un peu <<tout devient facile apres lavoir vue pq tu n'a pas decouvert cette faille>>

  11. #11
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2005
    Messages : 6 380
    Points : 13 018
    Points
    13 018
    Par défaut
    Citation Envoyé par laghzaoui Voir le message
    voix un peu le code et parale un peu <<tout devient facile apres lavoir vue pq tu n'a pas decouvert cette faille>>
    Woh de quoi tu parles ?

    Tu nous donnes une vidéo d'une faille dans webdav alors que le sujet parle d'une faille dans IIS 5, ca n'a rien à voir du tout.

    Ta vidéo date de mai, la faille qu'on parle ici a été trouvé le 1er septembre et en plus c'est même pas le même auteur, donc oui tu es hors-sujet.
    Introduction à Silverlight 4 (new) ; Localisation d'une application Silverlight (new) ;
    Mon espace perso[/B]

    La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. Albert Einstein[/SIZE]

  12. #12
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 773
    Points
    75 773
    Par défaut
    Mise à jour du 05.09.2009

    Microsoft vient d'annoncer aujourd'hui que le patch relatif à cette faille ne sera pas disponible avec sa prochaine mise à jour de sécurité. En effet, les "patch tuesday" sortent mensuellement, or le prochain est prévu pour le mardi 8 septembre ce qui n'a pas laissé un délai suffisant aux techniciens de l'entreprise pour trouver et tester un remède à la vulnérabilité. La firme annonce toutefois envisager de sortir son correctif en dehors de son cycle mensuel, au vu de l'urgence actuelle crée par la diffusion de codes d'exploitation et l'émergence d'attaques.

  13. #13
    Membre expérimenté Avatar de chaplin
    Profil pro
    Inscrit en
    août 2006
    Messages
    1 215
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2006
    Messages : 1 215
    Points : 1 648
    Points
    1 648
    Par défaut
    Citation Envoyé par Chauve souris Voir le message
    ... est tellement médiocre que cela incite n'importe quel webmaster a chercher son bonheur ailleurs.
    J'ai bien fait de ne pas l'utiliser, rien de mieux que des outils "maisons", au moins on sait ce qu'on fait et on est pas tributaire des "boîtes noires".

  14. #14
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 354
    Points
    8 354
    Par défaut
    Les outils faits maisons sont nécessairement plus stables/performants/sécurisés que les outils faits par des sociétés comme Microsoft/Oracle/Sun/... ?

  15. #15
    Invité
    Invité(e)
    Par défaut
    Dans un certain sens, oui.

    Dans le sens ou personne ne sait comment ton soft est implémenté, et le jour ou un exploit pour une faille sors sur securityfocus, ben tu peut motner ta boite , et dans le sens ou tu évite comme c'est dit l'effet "boite noire".

    Par contre il est évident que ton expertise peut laisser passer certaines failles , que ut ne connais pas,dans technos que tu utilise.

  16. #16
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 354
    Points
    8 354
    Par défaut
    C'est très délicat une solution ou la seule protection c'est le fait que ce soit customisé. La force des solutions "standards" (que ce soit IIS, Apache ou autre) c'est que malgré le grand nombre d'utilisateurs, c'est relativement fiable si on "s'y prend bien". Avoir quelque chose qui repose seulement sur le "secret" de fonctionnement, c'est accorder beaucoup de confiance à ceux qui développent ce truc et ne jamais les virer, et espérer qu'il n'y ai jamais de fuite qui pourrai laisser entrevoir les techniques utilisées, etc etc.
    Et si cette solution devient très utilisée, il y aura toujours un malin qui réussira à trouver comment ça marche ...

Discussions similaires

  1. Microsoft IIS enregistre une forte progression
    Par Francis Walter dans le forum Actualités
    Réponses: 17
    Dernier message: 18/02/2014, 11h01
  2. Réponses: 2
    Dernier message: 03/04/2012, 15h33
  3. Réponses: 10
    Dernier message: 27/10/2010, 12h05
  4. Réponses: 3
    Dernier message: 27/08/2009, 15h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo