Date : 18-05-2009

Criticité HSC : 4/5 - haute

Avis public : Oui

Exploitation : Disponible et publique

Résumé : Une vulnérabilité ancienne d’IIS 6 (et 5.x), a été rendue publique le 17.05.2009 : si les extensions WebDAV sont activées, il est possible d’accéder à des fichiers normalement protégés par mot de passe sans authentification préalable.

Un correctif a finalement été publié par Microsoft le 09.06.2009.

Source : Full Disclosure

Objet : Microsoft IIS 6.0

Description :

Cette attaque concerne uniquement les serveurs IIS 5 et 6 sur lesquels
les extensions WebDav ont été activées (ce qui n’est pas le cas par
défaut pour IIS 6.0).

En demandant une URI contenant %c0%af (encodage unicode de /) il est
possible de contourner les autorisations placées sur un répertoire du
serveur IIS et de lire des fichiers normalement non autorisés. En
utilisant la méthode PROPFIND, il est également possible de lire le
contenu des répertoires si le "directory browsing" a été activé en
utilisant la même méthode. Néanmoins il n’est pas possible d’effectuer
des attaques de ’directory traversal’ pour remonter dans l’arborescence
du système.

S’il est possible d’écrire dans le répertoire (accès "Write" activé), il
est possible également de placer de nouveaux fichiers (ou de remplacer
des fichiers existants).

Les fichiers et répertoires accessibles sont limités à ceux accessibles
par l’identité du processus traitant la requête.

IIS 7.0 n’est pas vulnérable.

Références :

- Exploitation et détails : http://www.milw0rm.com/exploits/8704

- Avis Microsoft :
http://www.microsoft.com/technet/security/Bulletin/MS09-020.mspx