Windows 2000 + IIS 5.0 : refermez la porte grande ouverte aux catastrophes !

Aujourd'hui, connaître la liste des bugs touchant les principaux serveurs web du commerce (Apache, IIS, iPlanet...) tient réellement de l'exploit, tellement ils s'avèrent nombreux. Ici, la palme est remportée par Microsoft, qui édite le produit Internet Information Server. Aujourd'hui, celui-ci se retrouve de nouveau concerné par une faille de sécurité. Mais à présent, il ne s'agit plus seulement de faire "planter" le serveur, ni même d'accéder à un répertoire particulier. Le hacker, s'il l'exploite, emporte le privilège d'administrateur. En clair, il suffit que Windows 2000 Server ait été installé avec IIS 5.0 en vue de servir de plate-forme à un site web, sans avoir ouvert aucun autre port applicatif TCP/IP, pour que le pirate prenne littéralement possession du serveur à distance.

Larcins, destructions, substitutions... tout est possible, dès lors que l'ensemble Windows 2000 + IIS 5.0 est installé, et que l'option par défaut d'impression en ligne sur IP n'a pas été décochée dans les paramètres du système d'exploitation. Pour cela, il suffit au malfaisant d'insérer dans l'une des boîtes de dialogue une chaîne de caractère particulière, sur laquelle nous n'apportons aucune autre précision pour des raisons éthiques. Le fautif est un buffer (mémoire tampon) non sécurisé au sein d'une portion de code qui autorise la saisie de certains paramètres. Cette portion se situe dans une extension ISAPI utilisée par les développeurs de nouvelles fonctions. Une fois saisie, la chaîne de caractères incriminée provoque un "buffer overrun", c'est à dire un écrasement du tampon qui donne la main au pirate en local.

Microsoft urge la communauté web vers le correctif
Pour l'éditeur, qui a mis en ligne un "patch" ou petit programme correctif téléchargeable dès maintenant, il convient de ne pas tarder dans la mise à jour des configurations Windows 2000 Server avec IIS 5.0 installé. Sont autant concernées les versions de base et Advanced de Windows 2000 Server, pour lesquelles s'applique le correctif, que Datacenter Server qui réclame une autre mise à jour spécifique au matériel. Celle-ci doit être obtenue directement auprès du constructeur, ce qui peut générer des inégalités.

Le communiqué d'avertissement de Microsoft a été mis en ligne le 1er mai au matin. D'après les propos tenus par Marc Maiffret, chief hacking officer au sein de la société spécialisée eEye Digital Security, à notre confrère américain CNET, près d'un million de sites web seraient concernés dans le monde. Selon les statistiques de Netcraft, un moteur qui fait le tour du web pour déterminer les logiciels qui servent de plates-formes aux sites, IIS serait installé sur près de 20,6 % des serveurs autour de la planète. Mais heureusement, la faille ne concerne que la dernière version du produit. Microsoft, qui aurait été prévenu il y a deux semaines de l'existence de la faille par l'éditeur spécialiste de la question, s'est empressé de travailler sur le correctif. Il faut dire qu'en la matière, l'éditeur a plutôt à se faire pardonner.