Canalblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Publicité
PROSERVIA : Pôle Conseil Expertise
Articles récents
Contacter le propriétaire du blog
Newsletter
Archives
PROSERVIA : Pôle Conseil Expertise
19 mai 2009

ALERTE VULNERABILITE - Vulnérabilité 0-Day dans Microsoft IIS 6.0 + Webdav

ALERTE VULNERABILITE - Vulnérabilité 0-Day dans Microsoft IIS 6.0 + Webdav
18/05/2009
Une vulnérabilité 0-day critique au sein du composant WebDAV des serveurs Web IIS 6.0 a été publiée sans concertation préalable avec l'éditeur.


Priorité
********
Haute


Description
***********
Un attaquant distant peut contourner l'authentification requise par Microsoft IIS 6.0 pour accéder, télécharger, modifier ou envoyer tout fichier de son choix.


Impacts
*******
L'exploitation de cette vulnérabilité consiste à jouer une URL contenant le caractère "/" encodé en Unicode (%c0%af) et en spécifiant dans les en-têtes la mention "Translate: f" qui indique au serveur de traiter la requête par le biais du composant WebDAV.

De la sorte les contrôles de sécurité vont être contournés, l'URL étant évaluée avant d'être transcrite dans sa notation finale.

La vulnérabilité semble donc permettre l'accès à tout fichier proposé par Microsoft IIS 6.0, mais le listage de répertoire, la modification ou l'envoi de fichiers est limité aux répertoires gérés par WebDAV. Il faut également noter que le téléchargement d'un script ASP, par exemple, renverra par défaut l'interprétation du script et non pas son code source, ce dernier étant évalué par le serveur.

La nature de cette vulnérabilité est similaire à la célèbre faille Unicode ayant touché les serveurs Microsoft IIS en 2001 (https://www.lexsi.com/abonnes/vulns/vuln.php?id=1329).

La liste complète des impacts n'est pas encore connue et sera mise à jour dès que possible.


Produits vulnérables
********************
Microsoft IIS 6.0 avec composant WebDAV activé (ce qui n'est pas le cas par défaut).


Solutions
*********
Il n'y a pas de correctif pour le moment. Microsoft IIS 7.0 avec WebDAV activé n'est pas vulnérable.

Selon l'environnement et la nature applicative de l'exploitation du serveur Web IIS 6.0 + Webdav, nous vous recommandons de désactiver le support de WebDAV dans l'attente d'un correctif.

Il est également possible d'utiliser l'outil URLScan (http://technet.microsoft.com/en-us/security/cc242650.aspx) pour bloquer les requêtes contenant à la fois la chaîne Unicode "%c0%af" dans l'URL et l'entête HTTP "Translate: f".

Il faut noter que les serveurs Microsoft SharePoint activent la fonctionnalité WebDAV sur les serveurs Microsoft IIS.

Posté par jcdemarque à 14:06 - Commentaires [] - Permalien [#]
Tags: faillesecuritysecurite0 dayIIS 6Webdav

Partager cet article

Vous aimez ?
0 vote
Memory usage in vCenter Server 4.0
Will VMware give away VMotion and HA for free?
Vous aimerez aussi :
Désactiver SSLv3 sur les Serveurs Windows avec IIS
Désactiver SSLv3 sur les Serveurs Windows avec IIS
CipherShed : la réécriture de TrueCrypt s'organise
CipherShed : la réécriture de TrueCrypt s'organise
TrueCrypt – Mais que se passe-t-il exactement ?
TrueCrypt – Mais que se passe-t-il exactement ?
Toujours pas de correctif pour XP, malgré les attaques en cours
Toujours pas de correctif pour XP, malgré les attaques en cours
Publicité
Commentaires
Recherche
Publicité
Catégories
Publicité