20/06/01
Microsoft
joue les "Serial Patcher"
Le serveur web de Microsoft,
Internet Information Server, fait encore parler de lui.
Une nouvelle faille a en effet été découverte
et confirmée par l'éditeur dans un bulletin
de sécurité. Celle-ci, de type "buffer
overflow", permet à un pirate d'exécuter
du code arbitraire sur un serveur qui exploite IIS.
Par exemple afin de modifier la page d'accueil d'un
site, effacer tous les fichiers, ou encore installer
une porte dérobée pour de reprendre le
contrôle du serveur par la suite. Toutes les versions
de IIS sont touchées: celles tournant sous Windows
NT, Windows 2000, ou encore la version beta de Windows
XP.
Le module ISAPI encore une
fois incriminé
C'est encore une fois le module ISAPI (qui sert à
l'indexation), qui est touché. Plus spécifiquement,
le composant idq.dll serait incriminé. Celui-ci
répond à des appels concernant des formats
de fichiers propriétaires Microsoft, destinés
à des scripts d'administration (.ida) et à
des requêtes de données (.idq). Cette faille
s'actionnerait
donc par une simple requête web vers une page
dont le nom se termine par .ida
et qui contient certains paramêtres (dont le code
à executer). Pour corriger ce problème,
il est possible de télécharger une mise
à jour sur le site de l'éditeur. Cette
faille n'est pas vraiement une première; elle
survient après à une série de bugs
découverts dans IIS ces derniers mois et notamment)
dans le module ISAPI (voir cet article,
ou encore celui-ci),
qui avaient conduit Microsoft a publier des correctifs
en série.
6
millions de serveurs IIS vulnérables...
La technologie IIS paraît relativement sensible
aux attaques par buffer overflow. Cette technique consiste
à envoyer une commande dotée d'arguments
non prévu par le programme et trop long, ce qui
engendre souvent des comportements aléatoires
qui permettent de faire éxécuter par le
programme du code arbitraire. Il
est donc recommandé aux administrateurs de sites
sous IIS de se tenir particulièrement bien informé
de l'actualité en matière de sécurité,
par exemple en suivant assidument la liste de diffusion
Bugtraq,
où la plupart des problèmes sont révèlés
en premier lieu. Il y a quand même fort à
parier que sur les 6 millions d'utilisateurs de IIS
(Source: Netcraft),
une grande partie n'installent pas la mise à
jour, laissant la porte grande ouverte aux crackers.
"Pour
sécuriser IIS, il faut compter 2 jours de travail,
puis un suivi régulier des failles, sur Bugtraq
NT par exemple", explique Frédéric
Crestin, expert en sécurité chez Lexsi.
Apache serait nettement moins risqué...
|