Le code d’exploitation a été publié , sur le site Milw0rm , pour exploiter la vulnérabilité récemment découverte dans le service FTP de Microsoft IIS, une faille qui pourrait permettre à un attaquant d’exécuter son propre code sur le serveur distant.
La faille affecte principalement les versions antérieures des produits Microsoft IIS, mais l’existence d’un exploit fonctionnel et la popularité de IIS rend la vulnérabilité très critique.
Le POC d’exploitation pour la faille IIS a été Publier sur le site Milw0rm le lundi, et l’US-CERT a publié un Avis sur la vulnérabilité plus tard dans la journée, recommandant aux administrateurs de désactiver l’accès en écriture anonyme aux serveurs vulnérables. IIS 5 et 6 sont vulnérables à l’attaque.
Selon US-CERT : Le serveur FTP IIS ne parvient pas à analyser correctement un nom de répertoire spécialement conçu. En exécutant la commande FTP NLST (MODE LISTE) sur un répertoire spécialement nommé, un attaquant peut causer un dépassement de mémoire tampon.
L’attaquant peut créer le répertoire si le serveur FTP est configuré pour autoriser l’accès en écriture en utilisant un compte anonyme ou un autre compte qui est disponible à l’attaquant.
Microsoft a déclaré qu’il n’y avait aucune attaque contre des serveurs IIS exploitant la nouvelle vulnérabilité, mais avec la publication du code d’exploitation les choses risquent de changer rapidement.
La prochaine mise à jour de Microsoft est prévue pour le 8 septembre, mais il n’y a aucune indication si une correction sera prête aussi rapidement.