XMCO : Microsoft, Plus d’informations à propos de la vulnérabilité "0-day" affectant le service FTP de serveurs IIS
septembre 2009 par XMCO PARTNERS
KB975191 : Vulnerability in Internet Information Services FTP Service Could Allow for Remote Code Execution
– Date : 02 Septembre 2009
– Plateforme : Windows
– Programme : Microsoft IIS
– Gravité : Moyenne
– Exploitation : Distante
– Dommages :
Accès au système
Déni de service
– Description :
La vulnérabilité de type 0-day affectant les services FTP des serveurs IIS vient d’être confirmée par Microsoft. En exploitant cette faille de sécurité un attaquant est en mesure de prendre le contrôle du système ou de provoquer un déni de service (DoS).
Cette vulnérabilité provient d’une erreur du serveur FTP inclus dans Microsoft IIS, et vient plus précisément d’une erreur lors du traitement de certains noms de dossiers. Un attaquant peut exploiter cette vulnérabilité par le biais de la commande FTP NLST (NAME LIST - servant à lister le contenu d’un répertoire) et d’un répertoire spécialement conçu. Un pirate pouvait alors compromettre le système sous-jacent d’un serveur web IIS 5, ou provoquer un arrêt inopiné du service sur un serveur IIS 6.
Note : Afin d’exploiter cette vulnérabilité, un attaquant anonyme doit pouvoir créer des dossiers sur le serveur FTP.
Nous attirons votre attention sur le fait qu’un exploit fonctionnel est disponible publiquement et a également été intégré au Framework MetaSploit.
– Vulnérable :
* Microsoft Windows 2000 Service Pack 4 et IIS 5.0
* Windows XP SP2 et SP3 avec IIS 5.1
* Windows XP Service x64 SP2 avec IIS 6.0
* Windows Server 2003 SP2 avec IIS 6.0
* Windows Server 2003 x64 SP2 avec IIS 6.0
* Windows Server 2003 SP2 pour systèmes Itanium avec IIS 6.0
– Référence :
[1] http://www.microsoft.com/technet/security/advisory/975191.mspx
[2] http://blogs.technet.com/srd/archive/2009/09/01/new-vulnerability-in-iis5-and-iis6.aspx
[3] http://blogs.technet.com/msrc/archive/2009/09/01/microsoft-security-advisory-975191-released.aspx
[4] http://www.kb.cert.org/vuls/id/276653
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3023
– Correction :
Une solution provisoire consiste à désactiver le service FTP de Microsoft IIS ou tout du moins à en restreindre les capacités d’écriture (notamment pour l’utilisateur anonymous) jusqu’à ce qu’un correctif soit diffusé. La procédure est décrite dans la référence [2].
Une signature IDS/IPS est disponible à l’adresse suivante afin de détecter/bloquer la tentative d’attaque. Cette signature se base sur le fait qu’une requête est suspicieuse si un argument d’une commande FTP contient plus de 100 caractères.
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1251887264