Une méthode permettant d’exploiter une vulnérabilité non corrigée dans Microsoft Internet Information Services 6.0, une version du serveur web Microsoft qui n'est plus supportée - mais encore largement utilisée -, a été publiée. L'exploit permet aux hackers d'exécuter un code malveillant sur les serveurs Windows sous IIS 6.0 avec les privilèges d'administrateur. Le support étendu pour cette version d'IIS s'est terminé en juillet 2015 avec le support de son produit parent, Windows Server 2003.
Les études sur les serveurs web indiquent que IIS 6.0 gère encore des millions de sites publics. En outre, de nombreuses entreprises pourraient encore exécuter des applications Web sur Windows Server 2003 et IIS 6.0 dans leurs réseaux d'entreprise, ce qui pourrait permettre aux hackers de faire des dégâts latéraux s'ils accèdent à de tels réseaux par des moyens détournés.
Une faille déjà connue
Cette vulnérabilité IIS est connue par un nombre limité d'attaquants depuis au moins juillet ou août de l'année dernière. Cependant, la publication en début de semaine d'un exploit pour GitHub le rend accessible à un plus grand nombre de pirates informatiques. « D'autres acteurs sont aujourd’hui passés à l’étape suivante pour créer un code malveillant à partir du proof-of-concept » ont déclaré des chercheurs de Trend Micro sur un blog. Selon les auteurs de l'exploit, la vulnérabilité est un débordement de mémoire tampon dans la fonction ScStoragePathFromUrl du service WebDAV IIS 6.0. Il peut être exploité grâce à une demande PROPFIND spécialement conçue.
Web Distributed Authoring and Versioning (WebDAV) est une extension du protocole de transfert hypertexte (HTTP) standard qui permet aux utilisateurs de créer, modifier et déplacer des documents sur un serveur. L'extension prend en charge plusieurs méthodes de requête, y compris PROPFIND, qui permet de récupérer les propriétés d'une ressource.
Un micropatch publié par Acros Security
Étant donné que Microsoft ne corrigera pas cette vulnérabilité, une des atténuations possibles consiste à désactiver le service WebDAV sur les serveurs IIS 6.0. La firme de sécurité Acros Security a également développé un « micropatch » gratuit pour enrayer cette vulnérabilité - un correctif non officiel qui peut être appliqué sans redémarrer le serveur affecté ou même le processus IIS.
Cependant, le meilleur moyen d'action serait de migrer les sites web concernés vers une version plus récente de IIS et Windows Server, car il existe probablement d'autres vulnérabilités qui affectent également cette plate-forme et ne seront pas corrigées. Un sondage mené en mars par l'entreprise Netcraft a révélé qu'environ 185 millions de sites web sont toujours hébergés sur près de 300 000 serveurs qui exécutent Windows Server 2003.