Microsoft joue les "Serial Patcher"

Le serveur web de Microsoft, Internet Information Server, fait encore parler de lui. Une nouvelle faille a en effet été découverte et confirmée par l'éditeur dans un bulletin de sécurité. Celle-ci, de type "buffer overflow", permet à un pirate d'exécuter du code arbitraire sur un serveur qui exploite IIS. Par exemple afin de modifier la page d'accueil d'un site, effacer tous les fichiers, ou encore installer une porte dérobée pour de reprendre le contrôle du serveur par la suite. Toutes les versions de IIS sont touchées: celles tournant sous Windows NT, Windows 2000, ou encore la version beta de Windows XP.

Le module ISAPI encore une fois incriminé
C'est encore une fois le module ISAPI (qui sert à l'indexation), qui est touché. Plus spécifiquement, le composant idq.dll serait incriminé. Celui-ci répond à des appels concernant des formats de fichiers propriétaires Microsoft, destinés à des scripts d'administration (.ida) et à des requêtes de données (.idq). Cette faille s'actionnerait donc par une simple requête web vers une page dont le nom se termine par .ida et qui contient certains paramêtres (dont le code à executer). Pour corriger ce problème, il est possible de télécharger une mise à jour sur le site de l'éditeur. Cette faille n'est pas vraiement une première; elle survient après à une série de bugs découverts dans IIS ces derniers mois et notamment) dans le module ISAPI (voir cet article, ou encore celui-ci), qui avaient conduit Microsoft a publier des correctifs en série.

6 millions de serveurs IIS vulnérables...
La technologie IIS paraît relativement sensible aux attaques par buffer overflow. Cette technique consiste à envoyer une commande dotée d'arguments non prévu par le programme et trop long, ce qui engendre souvent des comportements aléatoires qui permettent de faire éxécuter par le programme du code arbitraire. Il est donc recommandé aux administrateurs de sites sous IIS de se tenir particulièrement bien informé de l'actualité en matière de sécurité, par exemple en suivant assidument la liste de diffusion Bugtraq, où la plupart des problèmes sont révèlés en premier lieu. Il y a quand même fort à parier que sur les 6 millions d'utilisateurs de IIS (Source: Netcraft), une grande partie n'installent pas la mise à jour, laissant la porte grande ouverte aux crackers. "Pour sécuriser IIS, il faut compter 2 jours de travail, puis un suivi régulier des failles, sur Bugtraq NT par exemple", explique Frédéric Crestin, expert en sécurité chez Lexsi. Apache serait nettement moins risqué...