Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
Systèmes affectés
- Microsoft Internet Information Services (IIS), pour les versions 5, 5.1 ou 6.0.
Microsoft Internet Information Services (IIS) 7.0 n'est pas affecté.
Résumé
Une vulnérabilité a été identifiée dans Microsoft IIS avec la fonctionnalité WebDAV. Elle permet à une personne malveillante distante de contourner la phase d'authentification et ainsi accéder (lire, charger et télécharger) à des fichiers arbitraires.
Description
Une vulnérabilité a été identifiée dans la gestion des en-têtes HTTP par le serveur Microsoft IIS avec la fonctionnalité WebDAV (Web-based Distributed Authoring and Versioning). Elle consiste en une mauvaise manipulation de caractères Unicode et peut être exploitée pour contourner la phase d'authentification et ainsi accéder (lire, charger et télécharger) à des fichiers arbitraires.
Du code d'exploitation est disponible sur l'Internet.
Contournement provisoire
Plusieurs contournements sont envisageables dans l'attente d'un correctif :
- si WebDAV n'est pas nécessaire, il doit être désactivé. C'est le cas par défaut sous IIS 6 ;
- restreindre l'accès Web aux machines de confiance ;
- filtrer les requêtes HTTP entrantes dont l'URL contient la chaîne %c0%af et l'en-tête HTTP présente l'information Translate: f. L'assistant IIS Lockdown et URLscan peuvent aider dans cette démarche, ainsi qu'une passerelle intermédiaire. Les méthodes inutiles doivent également être filtrées (PROPFIND par exemple). ;
- changer les droits d'accès (ACL) du système de fichiers pour l'utilisateur anonyme IUSR_[Nom-de-la-machine] ;
- migrer sous IIS 7 qui n'est pas, avec WebDAV, touché par cette vulnérabilité.
Solution
Se référer au bulletin de sécurité Microsoft MS09-020 pour l'obtention des correctifs (cf. section Documentation). Le CERTA a publié l'avis CERTA-2009-AVI-215 à ce sujet.
Documentation
- Avis CERTA-2009-AVI-215 du 10 juin 2009 : http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-215/
- Avis de sécurité Microsoft 971492 du 18 mai 2009 : http://www.microsoft.com/technet/security/advisory/971492.mspx
- Avis du CERTA CERTA-2001-AVI-053 du 15 mai 2001 : http://www.certa.ssi.gouv.fr/site/CERTA-2001-AVI-053/
- Bloc-notes Microsoft SRD, "More information about the IIS authentication bypass", 18 mai 2009 : http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx
- Bloc-notes de T. Zoller, "IIS6 + WebDAV auth bypass and data upload", 16 mai 2009 : http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
- Forum IIS, "Disable WebDAV protocol on IIS 6.0", mai 2008 : http://support.microsoft.com/kb/241520
- Forum IIS, "Disable WebDAV protocol on IIS 6.0", mai 2008 : http://forums.iis.net/t/1149348.aspx
- Microsoft IIS Lockdown Tool : http://technet.microsoft.com/en-us/library/dd450372.aspx
- Microsoft IIS Lockdown Tool : http://support.microsoft.com/kb/325864/fr
- Page d'accueil Microsoft IIS : http://www.microsoft.com/windowsserver2003/iis/default.mspx
- Référence CVE CVE-2009-1535 : http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1535
- Source d'informations sur WebDAV : http://www.webdav.org
- Référence CVE CVE-2009-1535 https://www.cve.org/CVERecord?id=CVE-2009-1535
