Bande annonce Yoro - 10 ans de Dakar Musique au Havre
Microsoft affirme que les cybercriminels commencent à exploiter un bogue non corrigé dans son logiciel serveur IIS rendu public plus tôt cette semaine.
La faille peut être exploitée pour permettre à un attaquant de prendre le contrôle d'un ancien IIS (Internet Information Services) Serveur 5.0 sous Windows 2000, à condition que le pirate ait un moyen de créer un répertoire FTP (File Transfer Protocol) sur le serveur. Le code d'attaque qui exploite le bogue a été publié lundi.
D'autres utilisateurs IIS ont également pu être attaqués par déni de service (DoS), grâce à une seconde attaque, publiée sur le site Web de Milw0rm jeudi.
lire: Comment supprimer les logiciels malveillants de votre PC Windows]Ce nouveau code pourrait être utilisé pour lancer une attaque DoS contre IIS 5.0, 5.1, 6.0 et 7.0, et pourrait affecter les utilisateurs exécutant IIS sur Windows XP et Windows Server 2003, Microsoft m'a dit. Cependant, pour que l'attaque fonctionne, le serveur doit exécuter le service FTP et l'attaquant doit être capable de lire les fichiers sur le système.
Microsoft a mis à jour son avis de sécurité sur la question jeudi soir, disant qu'il commençait à voir "les attaques limitées qui utilisent ce code d'exploitation."
Cela signifie généralement que seulement une poignée d'attaques ont été repérées. D'autres fournisseurs de sécurité contactés vendredi ont déclaré ne pas avoir vu le bug IIS utilisé dans les attaques.
Microsoft publiera mardi ses mises à jour de sécurité programmées pour le mois de septembre, mais il ne devrait pas corriger ce bug avant d'avoir plus de temps pour tester développer un patch.
"La vulnérabilité initiale n'a pas été divulguée de manière responsable à Microsoft, ce qui a conduit à des attaques limitées et actives mettant les clients en danger", a déclaré Microsoft jeudi.
Microsoft n'a pas précisé si les attaques qu'il avait vues impliquaient l'installation de logiciels malveillants sur un serveur IIS ou simplement la panne. La société n'a pas répondu à une demande d'informations complémentaires sur le sujet.
Internet obtient un correctif, car le bogue DNS est corrigé
Le chercheur en sécurité Dan Kaminsky a découvert une faille dans le protocole DNS permettant aux pirates pour usurper des adresses Internet.
Après la publication du code, Microsoft corrige le bogue IIS
Microsoft dit qu'il corrigera un bogue dans IIS 5 et IIS 6, un jour après hacker a publié un code d'attaque qui exploite le problème.
Microsoft corrige un bogue de verrouillage de document Office 2003
Microsoft a corrigé un problème empêchant l'ouverture de documents Office 2003 encombrés par une technologie de contrôle d'accès. a résolu un problème dans Office 2003 qui empêchait le logiciel d'ouvrir des documents enregistrés à l'aide de sa technologie de contrôle d'accès.