W1 Internet Information Services (IIS)
Posté le Lundi 19 novembre 2007 @ 09:59:27 par administrateur Contribution de : administrateur
Principales Vulnérabilités des Systèmes Windows (W) W1 Internet Information Services (IIS)
W1.1 Description
Les installations par défaut de IIS ont prouvé avec le temps leur vulnérabilité à un certain nombre d'attaques sérieuses. L'impact de ces vulnérabilités peut inclure :
Le déni de Service
L’exposition ou compromission de fichiers sensibles ou de données
L’exécution de commandes arbitraires
La compromission complète du serveur
Suite
IIS utilise un module de programmation connu sous le nom d'ISAPI pour associer les fichiers ayant certaines extensions à des DLLs (connues sous le nom de filtre ISAPI). Les pré-processeurs tels que ColdFusion et PHP utilisent ISAPI, IIS incluant beaucoup de filtres ISAPI pour manipuler des fonctions telles que les pages actives (dynamiques) de serveur (ASP), y compris côté serveur, et partage d'impression web. Beaucoup de filtres ISAPI installés par défaut avec IIS ne sont pas requis dans la plupart des installations, et beaucoup de ces filtres sont exploitables. Des vers bien connus comme Code Red et Code Red 2 sont deux exemples de programmes malveillants qui emploient ce type de mécanisme de propagation.
Comme beaucoup de serveurs sur l’internet, IIS inclut
des exemples applicatifs qui ont été conçus pour démontrer la
fonctionnalité du serveur web. Ces applications n'ont pas été conçues
pour fonctionner en toute sécurité dans un environnement de production.
Quelques exemples applicatifs de IIS ont permis la
visualisation ou la réécriture arbitraire de fichiers aussi bien
quel'accès à distance à d'autre information sensible du serveur, y
compris le mot de passe de l'administrateur.
Une installation d'IIS sans
maintenance effective est également sujette à des vulnérabilités
découvertes à posteriori de la date de révision du logiciel. Les
exemples incluent les vulnérabilités WebDAV "ntdll.dll" dans IIS 5.0,
qui pouvait permettre des attaques par déni de service, à n'importe
quel visiteur du site internet de créer et d’exécuter des scripts sur
le serveur, et l'exploitation de la vulnérabilité Unicode, qui
permettait à n'importe quel visiteur du site internet d'exécuter des
commandes arbitraires sur le serveur en effectuant simplement des
requêtes URLs soigneusement forgées.
Des add-ons tiers tels que ColdFusion et PHP peuvent introduire d'autres vulnérabilités dans une installation d'IIS, soit par une mauvaise configuration ou au travers de vulnérabilités inhérentes au produit.
De plus amples information sur les dernières vulnérabilités spécifiques à WebDAV (CAN-2003-0109 CA-2003-09) peuvent être trouvées sur les sites suivants :
W1.2 Systèmes d'Exploitation Affectés Windows NT 4 (toutes versions) fonctionnant avec IIS 4 Windows 2000 Serveur fonctionnant avec IIS 5 Windows XP Professionnel fonctionnant avec IIS 5.1
Au moment de la présente édition, aucune vulnérabilité n'a été reportée dans Windows 2003 fonctionnant avec IIS 6 ; Il est cependant raisonnable d'anticiper la découverte et le rapport devulnérabilités ultérieures, le nombre d’environnements de production adoptant la nouvelle plate-forme augmentant significativement.
Il vous est conseillé de télécharger et d’utiliser Microsoft Baseline Security Analyzer qui contient des procédures de détection spécifiquement adaptées à IIS.
Les administrateurs devraient comparer leurs systèmes avec les nombreuses listes de vérification, guides de configuration renforcée, et documentations de remédiation aux vulnérabilités que Microsoft met à disposition afin de donner un sens au statut de vulnérabilité.
W1.5 Comment s’en protéger Patchez le système et tenez-le à jour. La mise à jour d’un serveur à l'installation est nécessaire, mais pas suffisant.
En fonction des découvertes de nouvelles failles inhérentes à IIS, vous devrez effectuer les mises à jour en conséquence.
Windows Update et AutoUpdate sont des options pour des installations serveurs en mode autonome. HFNetChk, le Network Security Hotfix Checker (Contrôleur de Patchs Sécurité Réseau), aide l’administrateur système à scanner les systèmes locaux ou distants pour des patchs d’actualité.
L’outil fonctionne sur Windows NT 4, Windows 2000, et Windows XP.
Si vous utilisez des add-ons tiers tels que ColdFusion, PerlIIS, ou PHP, rappelez-vous de vérifier la présence de patchs aussi bien que d’aides à la configuration sur les sites Web des vendeurs.
Pour des raisons évidentes, Microsoft n'inclut pas de patchs tiers (pour des produits autres que Windows) dans Windows Update ni dans les services de mise à jour associés.
Utilisez le Gestionnaire IIS Lockdown afin de renforcer l’installation Microsoft a réalisé un utilitaire simple connu sous le nom de gestionnaire IIS Lockdown pour faciliter la sécurisation des installations de IIS.
L’activation du Gestionnaire IIS Lockdown en mode "custom" ou "expert" vous permettra de faire les changements recommandés suivants sur une installation IIS:
• Désactivez WebDAV (à moins que votre environnement ne le requiert absolument pour la publication de contenu web). • Démappez toutes les extensions ISAPI inutiles (y compris .htr, .idq, .ism, et .printer en particulier). • Eliminez les exemples applicatifs fournis. • Interdisez au serveur web l’accès aux commandes système courantes généralement utilisées dans un compromis (e.g., cmd.exe et tftp.exe).
Utilisez URLScan pour filtrer les requêtes HTTP Beaucoup de codes d’exploitation des vulnérabilités d’IIS, y compris Code Blue et la famille Code Red, utilisent des requêtes HTTP malicieusement forgées dans les attaques dites « Directory Traversal » ou « Débordement de Buffer ».
Le filtre URLScan peut être configuré pour rejeter de telles demandes avant que le serveur essaye de les traiter.
Siège social : 209, rue Ste. Catherine 4C - 33.000 Bordeaux - N°SIRET : 492 524 632 00014– Code APE : 744B
SOS PC 33 est soucieux de respecter votre vie privée et respecte la loi « Informatique et Libertés ». La déclaration CNIL a été effectuée sous le numéro de dossier n°1243873.
SOS PC 33 ™est une Marque déposé à l'INPI sous le N° 053391777