600 000 serveurs sont vulnérables en raison d'une faille zero-day dans Internet Informations Services (IIS) 6.0

Par:
fredericmazue

lun, 03/04/2017 - 15:44

Comment ? Il y aurait 600 000 serveurs à tourner encore avec Windows Server 2003 ? Cette mouture dont le support est officiellement arrêté depuis le 14 juillet 2015 et qui contient des failles de sécurités que Microsoft n'a jamais patchées parce que c'était trop difficile ? Et bien oui, selon le moteur de recherche Shodan.

Pour mémoire, Shodan est un moteur de recherche, accessible via un portail de même nom, qui indexe non les pages web mais les périphériques connectés à Internet. Shodan est bien évidemment très controversé, car il est un moyen de rêve pour les cybercriminels pour identifier sites et serveurs vulnérables. Selon Shodan, donc, plus de 600 000 serveurs tournent encore avec Windows Server 2003 et Internet Informations Services (IIS) 6.0 en guise de serveur Web. 

Malheureusement, deux chercheurs en sécurité de l'Université chinoise de Guangzhou y ont découvert une faille zero-day répertoriée CVE-2017-7269. Cette faille concerne le composant WebDAV. Une requête PROPFIND malicieuse avec un en-tête trop long provoque un débordement de tampon dans la fonction ScStoragePathFromUrl, ce qui peut aboutir à une situation de déni de service ou à l'exécution de code arbitraire, bien sûr à distance.

Pour couronner le tout, les chercheurs ont publié sur GitHub une preuve de concept sous la forme d'un script de moins de 20 lignes de Python. Bien sûr la publication de cette exploit est elle aussi controversée, mais objectivement, il n'est pas certain qu'elle aggrave la situation. En effet la faille CVE-2017-7269 sera exploitée massivement depuis l'été 2016 selon les chercheurs. C'est pourquoi nous parlons d'une faille zero-day.

Microsoft, informée de la situation, a indiqué qu'elle ne corrigerait pas cette faille, car le support des produits concernés est terminé depuis 2015. Désactiver le composant WebDAV permet de se prémunir. Sinon la société Acros Security propose un patch non officiel.