Microsoft vient de publier une alerte de sécurité afin de signaler des attaques, limitées selon l'éditeur, contre les versions vulnérables de son application IIS. Tout a donc été très vite. Fin août, du code relatif à une faille de Microsoft IIS était mis en ligne sur un forum dédié à la sécurité.
Le 2 septembre, la firme de Redmond réagissait et communiquait sur les premiers éléments de son enquête, reconnaissant à cette occasion l'existence d'une vulnérabilité dans le service FTP de IIS. Ce sont les versions 5.0, 5.1 et 6.0 et 7.0 du logiciel qui sont concernées.
Des attaques possibles contre IIS 7.0 sous Vista et Server 2008
IIS 7.0 n'est donc désormais plus épargné, contrairement aux précédentes informations communiquées par Microsoft. Des attaques en déni de service sont en effet possibles. En revanche, la version 7.5 n'est pas exposée, à ce jour.
Lors de la publication d'un premier bulletin d'alerte, Microsoft déclarait n'avoir détecté aucune attaque dirigée contre la faille critique de son produit. L'éditeur a cependant été informé depuis d'exploitations de la vulnérabilité.
D'après Microsoft, les attaques sont limitées. Le correctif de sécurité est actuellement en développement. Il ne figure pour le moment dans la liste des mises à jour attendues le 8 septembre, à l'occasion du Patch Tuesday du mois.
Microsoft n'avait toutefois pas exclu de diffuser un patch en dehors de son cycle mensuel. En attendant un correctif, des mesures temporaires peuvent être mises en place dans les entreprises. Microsoft détaille sur son site plusieurs mesures de contournement réduisant les risques d'attaque.
Auteur : Par Christophe Auffray, ZDNet France
