600 000 serveurs Web Microsoft IIS 6.0 menacés par un exploit zero day

Deux chercheurs publient le code d’exploitation d’une faille zero day du serveur Web ISS 6.0. Une version que Microsoft ne supporte plus et qu’il ne va donc pas patcher.

Un code d’exploitation d’une faille de IIS 6.0 a été publié online – sur GitHub -, rendant les attaques à grande échelle contre cette version du serveur Web de Microsoft extrêmement probables. Le problème ? La vulnérabilité en question réside dans une mouture ancienne d’Internet Information Services, qui n’est plus supportée par Redmond même si elle est toujours largement déployée.

Conclusion : Microsoft ne va pas patcher cette faille, puisque le support étendu pour cette version du serveur Web s’est arrêté en juillet 2015. Et ce, même si 600 000 serveurs IIS 6.0 sont toujours accessibles librement en ligne (selon le moteur Shodan.io), la plupart fonctionnant sous Windows Server 2003. Sans compter les serveurs IIS à l’abri derrière les firewalls des entreprises, mais qui pourraient être exposés à des attaques, après une première compromission d’un poste utilisateur par exemple. Selon les deux chercheurs qui ont dévoilé publiquement la faille, ce défaut du serveur Web de Redmond est déjà exploité depuis juillet ou août dernier par des assaillants.

Désactiver WebDAV éloigne la menace

Le script d’exploitation Python mis en ligne par Zhiniang Peng et Chen Wu s’avère très simple à employer contre n’importe quel Windows Server 2003. Le script peut par ailleurs être facilement modifié pour télécharger un malware. La vulnérabilité qu’exploitent les deux chercheurs est un classique débordement de mémoire (buffer overflow), touchant WebDAV (acronyme de Distributed Authoring and Versioning), une extension de HTTP permettant de créer, modifier et déplacer des documents sur un serveur.

C’est finalement le seul élément positif concernant cette faille IIS (CVE-2017-7269) : une désactivation de WebDAV, aujourd’hui en fonctionnement sur environ 10 % des serveurs si on fie à une analyse sur 10 000 IP menée par Iraklis Mathiopoulos. « Mais cela représente tout de même environ 1 % des serveurs Web dans le monde », fait remarquer ce chercheur en sécurité dans un billet posté sur Medium.

Autre façon de se protéger : recourir au patch non-officiel développé par la société Acros Security, une rustine applicable à chaud. La solution la plus radicale étant encore la montée de version, IIS 6.0 et Windows Server 2003 n’étant plus supportés par Microsoft, les codes d’exploitation en libre service pour ces versions ont toutes les chances de se diffuser largement, au travers de kits comme Metasploit.

A lire aussi :

Un Patch Tuesday massif après un mois d’absence

Pourquoi Windows Server 2003 menace la sécurité du Web

crédit photo © Morrowind – shutterstock