Dziura w IIS 6 zagrożeniem dla 600 tys. serwerów. Łatki nie będzie
Usługi Internet Information Services w wersji 6.0 miały premierę 13 lat temu, wraz z Windows Server 2003. Zastąpione zostały przez IIS 7 już w roku 2008. Nie wszyscy administratorzy skłonni są jednak do systematycznego aktualizowania oprogramowania serwerowego, co oczywiście pociąga za sobą spore ryzyko.
Zwłaszcza jeśli aktualizacje były odwlekane tak długo, że producent porzucił już dla zainstalowanej wersji wsparcie. Z taką sytuacją właśnie mamy do czynienia. Badacze Zhiniang Peng and Chen Wu z University of Technology Guangzhou w Chinach, opublikowali w repozytorium GitHub scenariusz ataku na serwery z leciwym Windowsem Server 2003 R2. Jak informuje HelpNetSecurity, podatność jest często wykorzystywana w faktycznych atakach.
Po raz pierwszy ten exploit zero-day wykorzystany miał zostać przez hakerów zeszłego lata i wielokrotnie później. Atak opiera się na wykorzystaniu podatności komponentu WebDAV, dzięki któremu w obsłudze protokołu HTTP pojawiła się między innymi metoda PROPDIND, dzięki której możliwe jest pozyskanie właściwości pliku w postaci pliku XML. Po przygotowaniu wystarczająco długiego nagłówka IF w wysyłaniu żądania PROPDIND, możliwe jest przepełnienie bufora, a w konsekwencji blokada usług.
Według HNS, aktualnie z Windows Servera 2003 ma wciąż korzystać nawet 600 tys. serwerów. Nie należy jednak liczyć na to, że Microsoft opublikuje łatkę. Oficjalne wsparcie tego systemu, a zaraz IIS 6.0 zakończyło się w roku 2015. Jedynym rozwiązaniem jest zatem całkowite wyłączenie usługi WebDAV lub instalacja nowszego systemu operacyjnego.
