Dziura w IIS 6 zagrożeniem dla 600 tys. serwerów. Łatki nie będzie
Usługi Internet Information Services w wersji 6.0 miały premierę 13 lat temu, wraz z Windows Server 2003. Zastąpione zostały przez IIS 7 już w roku 2008. Nie wszyscy administratorzy skłonni są jednak do systematycznego aktualizowania oprogramowania serwerowego, co oczywiście pociąga za sobą spore ryzyko.
30.03.2017 18:34
Zwłaszcza jeśli aktualizacje były odwlekane tak długo, że producent porzucił już dla zainstalowanej wersji wsparcie. Z taką sytuacją właśnie mamy do czynienia. Badacze Zhiniang Peng and Chen Wu z University of Technology Guangzhou w Chinach, opublikowali w repozytorium GitHub scenariusz ataku na serwery z leciwym Windowsem Server 2003 R2. Jak informuje HelpNetSecurity, podatność jest często wykorzystywana w faktycznych atakach.
Po raz pierwszy ten exploit zero-day wykorzystany miał zostać przez hakerów zeszłego lata i wielokrotnie później. Atak opiera się na wykorzystaniu podatności komponentu WebDAV, dzięki któremu w obsłudze protokołu HTTP pojawiła się między innymi metoda PROPDIND, dzięki której możliwe jest pozyskanie właściwości pliku w postaci pliku XML. Po przygotowaniu wystarczająco długiego nagłówka IF w wysyłaniu żądania PROPDIND, możliwe jest przepełnienie bufora, a w konsekwencji blokada usług.
Według HNS, aktualnie z Windows Servera 2003 ma wciąż korzystać nawet 600 tys. serwerów. Nie należy jednak liczyć na to, że Microsoft opublikuje łatkę. Oficjalne wsparcie tego systemu, a zaraz IIS 6.0 zakończyło się w roku 2015. Jedynym rozwiązaniem jest zatem całkowite wyłączenie usługi WebDAV lub instalacja nowszego systemu operacyjnego.
