Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données.

Systèmes affectés

  • Microsoft Internet Information Services (IIS), pour les versions 5, 5.1 ou 6.0.

Microsoft Internet Information Services (IIS) 7.0 n'est pas affecté.

Résumé

Une vulnérabilité a été identifiée dans Microsoft IIS avec la fonctionnalité WebDAV. Elle permet à une personne malveillante distante de contourner la phase d'authentification et ainsi accéder (lire, charger et télécharger) à des fichiers arbitraires.

Description

Une vulnérabilité a été identifiée dans la gestion des en-têtes HTTP par le serveur Microsoft IIS avec la fonctionnalité WebDAV (Web-based Distributed Authoring and Versioning). Elle consiste en une mauvaise manipulation de caractères Unicode et peut être exploitée pour contourner la phase d'authentification et ainsi accéder (lire, charger et télécharger) à des fichiers arbitraires.

Du code d'exploitation est disponible sur l'Internet.

Contournement provisoire

Plusieurs contournements sont envisageables dans l'attente d'un correctif :

  • si WebDAV n'est pas nécessaire, il doit être désactivé. C'est le cas par défaut sous IIS 6 ;
  • restreindre l'accès Web aux machines de confiance ;
  • filtrer les requêtes HTTP entrantes dont l'URL contient la chaîne %c0%af et l'en-tête HTTP présente l'information Translate: f. L'assistant IIS Lockdown et URLscan peuvent aider dans cette démarche, ainsi qu'une passerelle intermédiaire. Les méthodes inutiles doivent également être filtrées (PROPFIND par exemple). ;
  • changer les droits d'accès (ACL) du système de fichiers pour l'utilisateur anonyme IUSR_[Nom-de-la-machine] ;
  • migrer sous IIS 7 qui n'est pas, avec WebDAV, touché par cette vulnérabilité.

Solution

Se référer au bulletin de sécurité Microsoft MS09-020 pour l'obtention des correctifs (cf. section Documentation). Le CERTA a publié l'avis CERTA-2009-AVI-215 à ce sujet.

Documentation