Vous êtes sur le site public du Cert-IST
Analyse d'une vulnérabilité lors de l'utilisation conjointe de URLScan et SecurID

Date :22 Juin 2005

Publication: Article

Une vulnérabilité a été découverte lorsque l'outil de Microsoft, URLScan, est utilisé conjointement avec les produits d'authentification SecurID.

  • URLScan est un outil de sécurité (filtre ISAPI installé sous le serveur web IIS) utilisé pour filtrer les types de requêtes HTTP qui seront traitées par le serveur web.

  • SecurID est un mécanisme d'authentification forte, développé par la société RSA permettant en particulier de sécuriser l'accès à un serveur web.

Le problème provient du fait que URLScan retourne un message particulier lorsqu'il rejette une URL. Ceci permet à un attaquant distant d'obtenir les types d'URL filtrées par cet outil, et d'énumérer la configuration de URLScan.

Le problème ne se produit que lorsque URLScan et SecurID sont utilisés ensemble sur le même serveur web et configuré d'une manière particulière.

RSA, qui a été contacté à ce sujet, propose une solution palliative : le filtre SecureID doit figurer avant le filtre URLScan dans la liste des filtres ISAPI sous Internet Service Manager (ISM est utilisé pour configurer et gérer IIS).

Pour plus d'information :