Microsoft confirme la faille 0-day qui touche IIS

Microsoft a confirmé mardi dans la soirée l'existence d'une faille de sécurité touchant le service FTP (File Transfer Protocol) de son serveur Web IIS (Internet Information Services) dans les versions 5.0 (Windows 2000), 5.1 (Windows XP) et, dans une moindre mesure, 6.0 (Windows Server 2003). Dans le bulletin de sécurité publié pour l'occasion, l'éditeur indique que cette faille est susceptible de permettre l'exécution de code à distance sur le serveur.

Un attaquant pourrait exploiter cette faille en se connectant en anonyme au serveur FTP ou en créant un répertoire. En attendant la publication d'un correctif, Microsoft suggère donc que le service FTP soit désactivé s'il n'est pas nécessaire, qu'aucun droit d'écriture ne soit attribué aux anonymes et qu'il ne soit plus possible aux utilisateurs de créer eux-mêmes un répertoire. Microsoft en profite par ailleurs pour fustiger les circonstances de divulgation de cette faille, dont les modalités d'exploitation ont été mises en ligne avant que les services concernés de l'éditeur aient été prévenus de son existence.