IIS : une faille de sécurité touche le serveur Web de Microsoft

Microsoft a confirmé lundi l'existence d'une faille de sécurité majeure touchant son logiciel de serveur Web, IIS ou Internet Information Services, dans les versions 5.0, 5.1 et 6.0. Ce bulletin de sécurité fait suite à la publication, le 15 mai dernier, des modalités d'exploitation de cette faille, par un chercheur en sécurité de Secunia. IIS 7 n'est quant à lui pas affecté.

« Une vulnérabilité pouvant conduire à une élévation de privilèges réside dans la façon dont l'extension WebDAV pour IIS gère les requêtes HTTP », indique l'éditeur. En mettant au point une URL piégée, un attaquant serait ainsi en mesure d'obtenir l'accès à un espace requérant l'authentification de l'utilisateur et d'y écrire. WebDAV, ou Web-based Distributed Authoring and Versioning est pour mémoire une extension du protocole HTTP qui permet l'édition, par plusieurs personnes distinctes, de documents stockés sur le serveur distant.

En attendant la publication d'une mise à jour, Microsoft indique que le fait de désactiver WebDAV résoudra temporairement le problème, et suggère que les ACLs ou listes de contrôle d'accès soient paramétrées pour interdire l'écriture aux utilisateurs anonymes.