Des pirates turcs se sont attaqués à un sous domaine du site français de Microsoft. Ils ont expliqué leur méthode par un cryptique « Web Server Intrusion » qui a suffit à lancer la polémique : existerait-il une vulnérabilité Zero Day exploitable sur un IIS 6 ? Si c’est le cas, on pourrait bientôt en entendre parler : les pirates ont signé leur defacement d’un « Next target :  microsoft.com ».
Passons sur le defacement lui-même : le jeu n’a rien de bien intéressant et de telles attaques frappent des milliers de sites chaque jour. La cible de celui-ci, en revanche, est plus intéressante : il s’agit d’un sous-domaine du site de Microsoft France.Un détour par Netcraft nous apprend que ce dernier fonctionne sous Windows Server 2003 et qu’au jour de l’attaque il était sous Microsoft-IIS/6.0. Le site n’est cependant plus accessible à l’heure de la rédaction de cette brève.Le defacement a été révélé par le site zone-h.org, a qui les pirates auraient affirmé que l’attaque était une « Web Server Intrusion ». Anglais défaillant pour expliquer tout simplement qu’ils ont pénétré le site web, ou indication d’une vulnérabilité exploitable dans le couple Windows Server 2003 / IIS 6 ? C’est justement sur cette ambiguïté qu’est née la rumeur.Récemment, un autre pirate Turc, iSKORPiTX, s’est illustré par un marathon de détournements (38 000 sites web touchés !). Les serveurs piratés fonctionnaient eux aussi sous Windows 2003, et déjà la rumeur d’une vulnérabilité s’était propagée. Mais il semble qu’il ne s’agissait finalement que de l’exploitation de scripts ASP ou PHP mal codés.Cette dernière attaque vient donc relancer le débat : y a-t-il vraiment une vulnérabilité inconnue sur IIS 6, ou le site d’experts de Microsoft France était-il mal codé ?Mise à jour du 19/06/06 : Le serveur compromis n’est pas géré par Microsoft, mais par un prestataire (Agilan/Pictime). Il s’agit d’un espace destiné aux « partenaires reconnus » (MVP) de l’éditeur qui souhaitent disposer d’un blog.Pour l’anecdote, ce n’est pas la première fois que Microsoft est ainsi trahi par un partenaire.Mise à jour du 21/06/06 : Le site aurait été compromis à l’aide d’une vulnérabilité dans un script .NET (DotNetNuke ) installé sur le serveur. Le site zone-h.org a désormais quelques détails sur le sujet.Il ne s’agit donc pas d’une vulnérabilité zero day dans le couple Windows Server 2003 / IIS 6, et microsoft.com peut ronronner tranquille.