Microsoft IIS 6 Web服务器中的数百万个网站受到未分割缺陷的影响
已发布概念验证漏洞,用于Microsoft Internet信息服务6.0中的未括在一起的漏洞,该版本的Web服务器的版本不再支持但仍然广泛使用。
exproit允许攻击者在运行IIS 6.0的Windows服务器上执行恶意代码,其中包含运行该应用程序的用户的权限。对此版本的IIS的扩展支持于2015年7月结束,同时支持其父产品Windows Server 2003。
[进一步阅读:战斗勒索软件:清新看Windows Server方法]即便如此,独立的Web服务器调查表明IIS 6.0仍然可以为数百万公共网站提供权力。此外,许多公司仍可能在他们的公司网络内的Windows Server 2003和IIS 6.0上运行Web应用程序,因此如果通过其他方式访问此类网络,此漏洞可能会帮助攻击者执行横向移动。
有证据表明,这种IIS脆弱性由于去年至少或8月以来的有限数量的攻击者而闻名。但是,本周早些时候发布了在Github上的漏洞利用使其可以访问更多的黑客。
“其他威胁演员现在处于基于原始概念证明(PoC)代码的恶意代码的阶段,”趋势科技的研究人员在周三的博客文章中表示。
根据Exproit的作者,漏洞是IIS 6.0 WebDAV服务的ScstoragePathFromURL函数中的缓冲区溢出。它可以通过特制的Propfind请求进行利用。
Web分布式创作和版本控制(WebDAV)是标准超文本传输协议(HTTP)的扩展,允许用户在服务器上创建,更改和移动文档。扩展支持多种请求方法,包括Procfind,用于检索资源的属性。
自从Microsoft获取“T补丁这种漏洞,可能的缓解是禁用IIS 6.0安装上的WebDAV服务。安全公司Actos Security还为此漏洞开发了一个免费的“MicroPatch” - 可以在不重新启动受影响的服务器甚至IIS进程的情况下应用的非官方补丁。
但是,最好的行动方案是完全将受影响的网站迁移到较新的IIS和Windows服务器版本,因为可能存在其他漏洞,这也影响了这个平台并获得了修补的奖励。
Web Analytics公司Netcraft的三月调查显示,在运行Windows Server 2003的超过300,000个Web服务器上仍托管大约185,000个网站。
