Le serveur web IIS de Microsoft peut être compromis par une simple requête HTTP. Cela permet au pirate d’en prendre le contrôle à distance très simplement et d’y exécuter le code de son choix. La vulnérabilité est jugée critique par Microsoft, qui a rapidement publié un correctif. Le risque d’une exploitation automatique à grande échelle est élevé, et des outils d’attaque circulent déjà.
C’est une faille majeure pour IIS. Une de celle qui peut être exploitée facilement et à grande échelle. La dernière en date du même calibre a ouvert la voie à Code Red et Nimda, deux épidémies mondiales de grande envergure.Seule la version 5 de IIS sous Windows 2000 (Service Pack 3 inclus) est concernée. Les serveurs utilisant Windows XP ou Windows Server 2003 ne sont pas touchés.La vulnérabilité se situe dans l’implémentation du composant WebDAV, une extension du protocole standard d’Internet HTTP. WebDAV est censé apporter quelques fonctions de gestion de la production de contenu web. Mais aujourd’hui, la version Microsoft de ce protocole ouvre aussi grand les portes du serveur !Techniquement, il s’agit d’un dépassement de mémoire tampon situé dans une librairie partagée qui offre une fonction de conversion des chemins de fichiers sur le serveur.La vulnérabilité est exploitable à distance, via une simple requête HTTP mal formée qu’il suffit d’envoyer au serveur. C’est ce qui la rend particulièrement nuisible : n’importe quel serveur web accessible depuis Internet et non mis à jour est une cible potentielle. Déjà, des outils d’attaque automatisés circulent parmi les pirates, selon la société ISS , à l’origine de cette découverte. Mais le scénario le plus grave serait l’apparition d’un ver qui embarquerait un tel outil. Il aurait le même potentiel épidémique que Nimda et Code Red.Microsoft a jugé cette faille critique et à rapidement publié un correctif. Des parades manuelles sont également disponibles pour qui ne peut appliquer la rustine immédiatement.Mise à jour :Selon un rapport de la société TrueSecure, l’application de ce correctif pourrait rendre le système instable. Mieux vaut dans ce cas désactiver tout simplement WebDAV, en attendant que Microsoft publie un nouveau correctif ou démente cette information.