Le CERT dédié à la communauté Industrie, Services et Tertiaire française

Accès membres [english version]

ACCUEIL PRESENTATION PUBLICATIONS ADHESION CONTACTS FAQ RECHERCHER

Avis de Sécurité

Avis et Alertes publics Articles du Cert-IST Liens utiles Presse - Evénements Version imprimante		Accueil | Ressources | Avis et Alertes publics | Avis de sécurité Vulnérabilités WebDAV sous IIS (MS09-020) Référence : CERT-IST/AV-2009.204 Version : 2.0 Date de la version : 10 juin 2009 Classification de la vulnérabilité Risque : Elevé Conséquence : Atteinte à l`intégrité des données Atteinte à la confidentialité des données Niveau de confiance : Faille officielle Niveau de connaissance de l'attaquant : Connaisseur Moyen nécessaire à l'attaquant : Accès distant (sans compte) sur un service standard Information sur le(s) système(s) impacté(s) Plate(s)-forme(s) impactée(s) : Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP SP2 et SP3 Windows XP Professional x64 Edition SP2 Microsoft Windows Server 2003 Sp2 Microsoft Windows Server 2003 x64 Edition Sp2 Microsoft Windows Server 2003 (Itanium) Sp2 Logiciel(s) impacté(s) : Microsoft Internet Information Server (IIS) 5.0, 5.1 et 6.0 Remarques : L'option WebDAV n'est pas activée par défaut sous IIS 6.0. Les installations de IIS 7 (fourni avec Windows Vista et Windows Server 2008) avec WebDAV ne sont pas impactées. Description Contexte de publication :  [Version 2.0] : Cet avis a été ré-émis en version 2.0 le 10/06/2009 suite à la publication du bulletin de sécurité de Microsoft MS09-020 corrigeant ces vulnérabilités.  Cette vulnérabilité fait suite à la découverte d'une vulnérabilité de type 0-day, qui a fait l'objet du Danger Potentiel CERT-IST/DG-2009.006 le 18 mai 2009. Elle possédait par ailleurs la référence FA-2009.088 dans la liste des Failles en cours d'investigation du Cert-IST. Nature du problème : Plusieurs vulnérabilités ont été découvertes dans le serveur web Microsoft Internet Information Server (IIS) 5.0, 5.1 et 6.0 lorsque la fonctionnalité WebDAV est activée. Elles permettent à une personne malveillante de contourner à distance des restrictions d'accès mises en place sur un serveur IIS vulnérable.  Nota : Un programme d'exploitation pour la vulnérabilité CVE-2009-1535 a été publié sur Internet.  La vulnérabilité CVE-2009-1535 est aussi connue sous la référence CVE-2009-1676. Contexte technique : Le protocole WebDAV (World Wide Web Distributed Authoring and Versioning) est un ensemble d'extensions du protocole HTTP qui permet à des utilisateurs de gérer à distance des serveurs Web. Analyse détaillée : Le serveur web IIS ne traite pas correctement certains caractères lors de l'analyse d'une URL dans une requête HTTP. Cela permet à un attaquant distant, au travers d'une requête HTTP spécifiquement construite : de contourner l'authentification demandée lors de l'accès à des dossiers protégés par mot de passe, et ce même si le dossier en question n'est pas un dossier WebDAV, de lister, télécharger, déposer, modifier ou supprimer des fichiers dans un dossier WebDAV protégé par mot de passe. Nota : Les vulnérabilités ne peuvent pas être utilisées pour outrepasser le niveau d'accès accordé au compte utilisateur anonyme par les listes de contrôle d'accès du système de fichiers. Le compte utilisateur anonyme par défaut est le compte IUSR_[nom_ordinateur]. Solution 01 - Appliquer les correctifs de Microsoft (KB970483) concernant les vulnérabilitésde IIS Des correctifs sont disponibles pour les différentes plates-formes impactées. Se reporter au bulletin de sécurité Microsoft MS09-020 pour obtenir le correctif approprié. Bulletin de sécurité de Microsoft MS09-020 du 9 juin 2009 http://www.microsoft.com/france/technet/security/bulletin/ms09-020.mspx 02 - Solutions temporaires concernant la vulnérabilité de IIS Si WebDAV n'est pas nécessaire dans l'environnement de production, il est fortement conseillé de le désactiver. C'est d'ailleurs le cas par défaut avec IIS 6. Cependant, certaines discussions sur des forums montrent que la désactivation de WebDAV n'est pas toujours facile lorsque Microsoft SharePoint (WSS) est utilisé. Restreindre l'accès aux serveurs IIS vulnérables à une liste de machines de confiance. Restreindre l'accès aux ressources via WebDAV pour le compte utilisateur anonyme. Filtrer les requêtes HTTP dont l'URL contient des caractères Unicode et dont les en-têtes contiennent le champ "Translate: f". Ceci peut être réalisé grâce à l'assistant IIS Lockdown et à l'outil URLscan. Enfin, le filtrage des méthodes WebDAV non utilisées (par exemple "PROPFIND") peut permettre de diminuer les possibilités d'exploitation. Identifiant(s) du problème Microsoft: KB970483 CVE: CVE-2009-1535 CVE: CVE-2009-1676 CVE: CVE-2009-1122 CERT/CC: VU#787932 Documentation additionnelle Avis de sécurité de Microsoft 971492 du 18 mai 2009 http://www.microsoft.com/technet/security/advisory/971492.mspx Avis de sécurité de Microsoft MS09-020 du 9 juin 2009 http://www.microsoft.com/france/technet/security/bulletin/ms09-020.mspx Avis de sécurité de SecurityFocus BID34993 du 15 mai 2009 http://www.securityfocus.com/bid/34993 Historique Version Commentaire Date 2.1 Correction du lien vers le bulletin de sécurité de Microsoft 10 juin 2009 2.0 Bulletin de Microsoft MS09-020 : solution et logiciels impactés 10 juin 2009 1.1 Mise à jour du titre et des logiciels impactés 19 mai 2009 1.0 Création de l'avis 19 mai 2009

Copyright © 1999-2012 Cert-IST | Mentions légales | Plan du site