Un second exploit distant publié pour ia faille liée au module FTP du serveur Web Microsoft IIS

Par Rédaction, secuobs.com
Le 01/09/2009

---

Résumé : Une faille affectant le module FTP des serveurs Web de type Microsoft IIS 5.0 et 6.0 vient d'être révélée. Un code d'exploitation est déjà disponible publiquement et permet d'accéder aux systèmes sous-jacents ou de provoquer un dysfonctionnement du serveur Web. - Lire l'article



Un nouvel exploit distant vient d'être publié ( lien ) par Kingcope, ce code exploite une faille de type Buffer Overflow présente au sein du module FTP des serveurs Microsoft Internet Information Server ( MS IIS - lien ). Elle peut permettre à un attaquant d'accéder à distance au système d'exploitation sous-jacent.

L'exploitation de cette faille est possible dès lors que la commande FTP NLST (Name List) est utilisée conjointement à des noms de répertoires contenant des caractères spécifiques « print $sock "NLST $c*/../C*/\r\n"; », mais nécessite que l'attaquant ait au préalable des droits, « print $sock "USER anonymous\r\n"; » et « print $sock "PASS anonymous\r\n"; », en écriture « print $sock "MKD w00t$port\r\n"; » au niveau du serveur FTP.

N'importe quel utilisateur ayant ces droits fera l'affaire. La charge utile associée à cette première version de l'exploit ne permet ici que l'ajout d'un compte FTP du nom de « winown » présentant un mot de passe « nwoniw ». Cela est dû à la faible taille que l'exploit accorde à la charge utile, de par le fait qu'il utilise la commande FTP SITE pour stocker celle-ci dans la mémoire du processus exploité.

Le groupe Offensive Security a déjà publié une mise à jour ( lien ) pour cet exploit, elle privilégie l'utilisation du champ relatif au mot de passe, « print $sock "USER anonimoos\r\n"; » et « print $sock "PASS $shell\r\n"; », lors de l'authentification FTP afin d'autoriser une taille plus conséquente allouée pour la charge utile. Cette seconde version offre ainsi à l'attaquant distant une invite de commande accessible par l'intermédiaire du port 4444.

Cependant la fenêtre d'exploitation reste à priori assez limitée, puisque seules les versions 5.0 de Microsoft IIS, s'exécutant de plus sur un système d'exploitation de type Microsoft Windows 2000, sont actuellement concernées et représentent un risque. Il est bien entendu impératif que les fonctionnalités FTP soient activés au sein de Microsoft IIS afin que cette faille puisse être exploitée.

Les versions 6.0 de Microsoft IIS s'exécutant sur un système Microsoft Windows Server 2003 sont également vulnérables, la protection Stack Cookie présente ne permettant cependant pas d'exploiter cette faille avec des conséquences analogues. Dans ce contexte, « seul » un arrêt du serveur Microsoft IIS pour dysfonctionnement inhabituel est en effet possible lors de l'exploitation.

Il n'est pour l'instant pas possible de définir le nombre exact de serveurs Microsoft IIS 5.0 s'exécutant sous un système Microsoft Windows 2000 de par le monde et qui sont donc vulnérables à cette attaque. A l'heure actuelle, aucune exploitation n'a de plus été remontée publiquement et il n'existe toujours aucun correctif officiel.

N'ayant pas été prévenu préalablement de la publication de ces codes d'exploitation et de la vulnérabilité associée, Microsoft n'a toujours pas publié non plus de bulletin d'information à ce propos, contrairement au CERT américain ( lien ). A noter également que HD Moore est entrain ( lien ) de porter l'exploit pour la plateforme d'exploitation Open Source Metasploit ( lien ).

Une solution provisoire consiste à désactiver les fonctionnalités FTP de Microsoft IIS ou tout du moins à en restreindre les capacités d'écriture jusqu'à ce qu'un correctif soit diffusé. A noter qu'une vidéo de l'exploitation, réalisée via le second code, a également été mise à disposition ( lien ) par le groupe Offensive Security.

Il est intéressant de savoir également que le préprocesseur Ftp_telnet de l'IDS Snort ( lien ) prend en charge ce genre de vulnérabilité depuis un moment déjà ( lien ), une signature spécifique est de plus disponible sur le site d'Emerging Thread ( lien ). Un script pour NMAP ( lien ) a en outre été diffusé publiquement ( lien ) afin de permettre la détection des serveurs vulnérables.

Source : Compte Twitter de Thierry Zoller ( lien )