IIS 6.0 : une vulnérabilité corrigée par micro-correctif tiers
L’équipe de 0patch propose une rustine qui doit empêcher l’exploitation d’une vulnérabilité nouvellement découverte et affectant les serveurs Web IIS 6.0 dont la fonctionnalité WebDAV est activée.
C’est fin 2015, après deux ans de développement en secret, qu’Acros Security a présenté 0patch, une solution de déploiement de micro-rustines accessible en bêta gratuite depuis le mois de juillet 2016. Et le serveur Web de Windows, IIS, vient de lui offrir une occasion de faire sa promotion.
De fait, depuis fin mars, GitHub héberge le démonstrateur, écrit en Python, de l’exploitation d’une faille affectant IIS 6.0 sur Windows Server 2003 R2. Celle-ci permet de forcer l’exécution de code arbitraire à distance, et serait exploitée depuis l’été dernier.
Las, comme le souligne l’équipe de 0patch, le support étendu de ce système d’exploitation serveur est arrivé à son terme il y a bientôt deux ans. Sauf décision exceptionnelle, il apparaît peu probable que Microsoft décide de proposer un correctif pour cette vulnérabilité.
Mais voilà, il faut encore compter, selon le moteur de recherche spécialisé Shodan, avec plus de 600 000 serveurs IIS 6.0 accessibles publiquement sur Internet. Mais tous ne sont pas concernés : il faut qu’ils s’exécutent sur Windows Server 2003 et que la fonctionnalité WebDAV soit activée. Cela concernerait « environ 10 % » d’entre eux.
L’équipe 0patch s’est donc penchée sur l’analyse de la vulnérabilité pour identifier le processus affecté, mais également les éléments de code - compilé - responsables de vulnérabilité. Et de proposer un « micro-correctif ». L’occasion de montrer une nouvelle fois comment fonctionne l’outil et à quel point il s’avère léger.
Ce n’est toutefois pas la première que l’équipe 0patch a l’occasion de présenter le fonctionnement de son agent. L’an passé, elle a proposé des micro-correctifs pour Adobe Reader, Foxit Reader, l’extension de navigateur Web de WebEx, mais aussi Windows et IE 11 - en l’absence de lot de correctifs de Microsoft en février dernier - … jusqu’à l’agent 0patch lui-même. Ce dernier est d’ailleurs en cours de développement pour Linux.
De son côté, Trend Micro propose des règles permettant, avec ses produits, de bloquer les attaques tentant d’exploitation la vulnérabilité d’IIS 6.0 avec WebDAV. C’est également le cas de SonicWall, de F5 Networks, ou encore de Qualys pour son pare-feu applicatif, entre autres. Une règle pour Snort a également été soumise.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
Comment le micropatching pourrait aider à gérer les vulnérabilités
-
Log4Shell ne doit pas faire oublier les autres vulnérabilités critiques
-
Vulnérabilité RDP : près d’un million de machines concernées exposées sur Internet
-
Pluie de correctifs de vulnérabilités critiques à l’occasion du Patch Tuesday de Microsoft