Une faille zero-day présente dans IIS 6.0 de Microsoft affecte plus de 60 000 serveurs Windows

Comme quoi, il est parfois nécessaire de mettre à jour son système pour éviter une grosse faille de sécurité (même si cela ne veut pas dire que vous allez être totalement protégé). Depuis juillet 2016, 60 000 serveurs web fonctionnant sous Windows Server 2003 R2 sont vulnérables à cause d’une brèche critique dans IIS (Internet Information Services) 6.0.

Cela est plutôt inquiétant d’autant plus qu’un code d’exploitation a été publié sur GitHub et la faille en question peut être exploitée à distance. Ce problème a été identifié par Zhiniang Peng et Chen Wu, deux chercheurs de l’Université de Guangzhou en Chine.

Windows Server 2003 R2 : très peu de solutions pour éviter toute menace

Profiter de cette faille zero-day au doux nom de CVE-2017-7269 pour lancer des attaques vers les serveurs Windows est en réalité très simple. Vous n’avez qu’à créer une requête spéciale PROPFIND avec un en-tête anormalement long pour provoquer un débordement de la mémoire tampon dans le composant WebDAV (Distributed Authoring and Versioning) d’IIS.

Cette vulnérabilité est exploitée depuis juillet ou août 2016. D’après le blog Trend Micro, il suffirait de désactiver le composant WebDAV. À noter que les dernières versions de Windows Server n’ont pas ce problème.

L’une des autres solutions serait de vous procurer le patch non-officiel d’Acros Security. Microsoft ne compte pas sortir un patch dans la mesure où il ne s’occupe plus de cette version depuis juillet 2015. Enfin, vous pouvez aussi faire une simple mise à jour du serveur.

Dans un post sur Medium, Iraklis Mathiopoulos, chercheur en sécurité, déclare que ces 60 000 serveurs représentent 10% des serveurs qui fonctionnent avec IIS 6.0 mais « cela représente tout de même environ 1% des serveurs Web dans le monde ».

Que pensez-vous de cette news ? Dites-le nous dans les commentaires !