Sécurité : La vulnérabilité zero-day est publiquement exploitable, mais Microsoft ne corrige que les versions actuellement sous support de Windows.

Une anomalie de sécurité précédemment non divulguée dans un ancien serveur Web Windows ne sera pas corrigée, même si des centaines de milliers de serveurs exécutent encore le logiciel obsolète.



publicité

La vulnérabilité dans Internet Information Services (IIS 6) a été exploitée à distance depuis juillet dernier, selon deux chercheurs en sécurité d'une université de technologie chinoise. Ces derniers ont d'ailleurs publié cette semaine le PoC d'un exploit sur Github.



La version touchée d'IIS 6 a été livrée pour la première fois avec Windows Server 2003, mais n'est plus supportée depuis 2015.



Microsoft a fait savoir que par conséquent, il ne corrigerait probablement pas cette faille.



"Ce problème n'affecte pas les versions actuellement supportées" a déclaré un porte-parole de Microsoft. "Nous continuons à recommander aux clients de migrer vers nos derniers systèmes d'exploitation et de bénéficier d'une protection robuste et moderne."



Plus de 600.000 anciens serveurs IIS 6 sont toujours utilisés, principalement aux Etats-Unis et en Chine, d'après une recherche sur Shodan, un moteur de recherche pour les terminaux connectés à Internet.



Dans un billet de blog, les chercheurs de Trend Micro ont déclaré que si cette vulnérabilité pouvait être exploitée avec succès, cela pourrait conduire à l'exécution de code à distance, mais même une attaque infructueuse pourrait encore conduire aux conditions d'un déni de service.



Les chercheurs font savoir que la désactivation de WebDAV devrait atténuer la faille. Ou, bien sûr, il y a toujours la possibilité de migrer vers une version plus récente et plus sécurisée du logiciel.

