Contrôler l’identité des processus

identité. Tout administrateur
IIS consciencieux doit toujours
connaître l’identité du processus qui
héberge une application Web. Le tableau
1 donne des détails sur le modèle
de processus IIS et sur les identités
associées.
Pour se procurer l’identité d’un
processus, un pirate dispose de plusieurs
méthodes. Une attaque par débordement
de buffer sur votre serveur
d’applications ou serveur Web peut
fournir à  l’assaillant le contexte de sécurité
de l’identité du processus. Une
autre méthode tire parti de la fonction
RevertToSelf qu’un exécutable peut appeler.
Si le pirate peut invoquer un tel
exécutable, l’application s’exécutera
comme l’identité du processus. On
voit dans le tableau 1 que dans Internet
Information Services (IIS) 5.0 et Internet
Information Server (IIS) 4.0,
Inetinfo s’exécute comme le compte
System. Par conséquent, du point de
vue sécurité, vous devriez toujours éviter
d’exécuter les applications « in process
» (c’est-à -dire, d’exécuter dans le
processus Inetinfo autant que possible).
Dans IIS 6.0, les applications
Web ne fonctionnent pas avec l’identité
System sauf si vous les configurez
explicitement pour cela, ou si vous
avez configuré le serveur pour qu’il
fonctionne en mode IIS 5.0.
En tant qu’administrateur, vous ne
pouvez pas empêcher un programme
d’utiliser l’identité du processus, mais
vous pouvez inspecter un binaire pour
déterminer s’il appelle RevertToSelf.
Pour inspecter un exécutable, vous
pouvez vous servir de l’utilitaire
DumpBin, qui accompagne la plupart
des langages de développement.
Utilisez la commande suivante :

dumpbin /imports executable name |
find « RevertToSelf »

Pour plus d’informations sur la validation
du contenu exécutable, voir la
Secure Internet Information Services 5
Checklist.