Une faille « zero day » dans le serveur Web Microsoft IIS
Une vulnérabilité dans le service FTP du serveur Web de Microsoft permet à un hacker de prendre le contrôle total de la machine.
Un hacker dénommé Kingcode vient de découvrir une vulnérabilité dans les versions 5.0 et 6.0 du serveur Web Internet Information Server (IIS), de Microsoft. La faille en question se trouve au niveau du service FTP, que le hacker peut détourner pour obtenir les privilèges d'administrateur sur la machine.
Le programme de Kingcode a d'ores et déjà pu être vérifié par d'autres spécialistes de la sécurité. C'est le cas notamment des experts d'Offensive Security, qui utilisent le code pour ouvrir un port de connexion sur une machine Windows 2000 avec IIS 5.0.
Ils ont d'ailleurs réalisé une vidéo qui montre en temps réel la tentative d'intrusion.
Microsoft analyse la situation : Pour l'instant, aucun patch n'est disponible (ce pourquoi on parle de faille zero day). Mais Microsoft nous a confirmé, dans un e-mail, que ses équipes techniques étaient en train d'analyser cette vulnérabilité et qu'une mise à jour de sécurité devrait être disponible prochainement.
L'éditeur précise cependant qu'il n'a pas eu connaissance, pour l'instant, d'une attaque ayant exploité cette faille.
Tant que le risque existe, le centre d'alerte américain, l'US-Cert, recommande aux administrateurs de désactiver l'accès en écriture anonyme à partir du service FTP.
Microsoft IIS fait partie des serveurs Web les plus utilisés au monde, avec une part de marché de presque 22 % en août 2009 (Source : Netcraft), derrière le leader, Apache (46,3 %).(Source 01.net)