Dziura w IIS 6 zagrożeniem dla 600 tys. serwerów. Łatki nie będzie

Strona głównaDziura w IIS 6 zagrożeniem dla 600 tys. serwerów. Łatki nie będzie
30.03.2017 18:34
Dziura w IIS 6 zagrożeniem dla 600 tys. serwerów. Łatki nie będzie

Usługi Internet Information Services w wersji 6.0 miały premierę 13 lat temu, wraz z Windows Server 2003. Zastąpione zostały przez IIS 7 już w roku 2008. Nie wszyscy administratorzy skłonni są jednak do systematycznego aktualizowania oprogramowania serwerowego, co oczywiście pociąga za sobą spore ryzyko.

bEIIPdqZ

Zwłaszcza jeśli aktualizacje były odwlekane tak długo, że producent porzucił już dla zainstalowanej wersji wsparcie. Z taką sytuacją właśnie mamy do czynienia. Badacze Zhiniang Peng and Chen Wu z University of Technology Guangzhou w Chinach, opublikowali w repozytorium GitHub scenariusz ataku na serwery z leciwym Windowsem Server 2003 R2. Jak informuje HelpNetSecurity, podatność jest często wykorzystywana w faktycznych atakach.

Po raz pierwszy ten exploit zero-day wykorzystany miał zostać przez hakerów zeszłego lata i wielokrotnie później. Atak opiera się na wykorzystaniu podatności komponentu WebDAV, dzięki któremu w obsłudze protokołu HTTP pojawiła się między innymi metoda PROPDIND, dzięki której możliwe jest pozyskanie właściwości pliku w postaci pliku XML. Po przygotowaniu wystarczająco długiego nagłówka IF w wysyłaniu żądania PROPDIND, możliwe jest przepełnienie bufora, a w konsekwencji blokada usług.

Według HNS, aktualnie z Windows Servera 2003 ma wciąż korzystać nawet 600 tys. serwerów. Nie należy jednak liczyć na to, że Microsoft opublikuje łatkę. Oficjalne wsparcie tego systemu, a zaraz IIS 6.0 zakończyło się w roku 2015. Jedynym rozwiązaniem jest zatem całkowite wyłączenie usługi WebDAV lub instalacja nowszego systemu operacyjnego.

Programy

Aktualizacje
Aktualizacje
Nowości
Udostępnij:
bEIIPdrX