啟用了WebDAV的 Windows Server 2003 機(jī)器遭遇安全漏洞影響
接入互聯(lián)網(wǎng)的約60萬(wàn)臺(tái) Windows Server 2003 機(jī)器上存在 IIS 6.0 重大安全漏洞。
然而,微軟發(fā)話稱,不會(huì)發(fā)布補(bǔ)丁供用戶防護(hù)該零日緩沖區(qū)溢出漏洞。相關(guān)技術(shù)報(bào)道參見(jiàn):CVE-2017-7269 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。
該漏洞存在于微軟Web服務(wù)器 IIS 6.0 的網(wǎng)頁(yè)分布式創(chuàng)作與版本管理(WebDAV)組件中。WebDAV是HTTP協(xié)議的一個(gè)擴(kuò)展,可使客戶端遠(yuǎn)程編寫網(wǎng)頁(yè)內(nèi)容。
WebDAV中有個(gè)名為PROPFIND的方法,供用戶獲取資源的屬性,還有個(gè)稱為IF的頭處理狀態(tài)標(biāo)記。安全廠商趨勢(shì)科技在博客文章中報(bào)道:在PROPFIND請(qǐng)求中填入過(guò)大的IF頭,攻擊者便可制造拒絕服務(wù)條件,或者在應(yīng)用中執(zhí)行任意代碼。
該漏洞發(fā)現(xiàn)者為華南理工大學(xué)的研究人員。去年已觀測(cè)到野生漏洞利用的情況。在3月27號(hào)公開(kāi)漏洞之時(shí),研究人員稱,其他黑客現(xiàn)已處在基于原始概念驗(yàn)證(PoC)代碼創(chuàng)建惡意代碼的階段。
漏洞在運(yùn)行有 IIS 6.0 的 Windows Server 2003 R2 系統(tǒng)中被發(fā)現(xiàn)。微軟對(duì) Windows Server 2003 的延長(zhǎng)支持期在20個(gè)月前就終止了,因此,該漏洞不會(huì)有官方安全修復(fù)補(bǔ)丁放出。
聯(lián)網(wǎng)設(shè)備搜索引擎Shodan的檢索結(jié)果顯示:IIS 6.0 依然在超過(guò)60萬(wàn)臺(tái)公開(kāi)服務(wù)器上運(yùn)行著,其中大多數(shù)都是 Windows 2003 系統(tǒng)。
但是,這些脆弱服務(wù)器的真實(shí)數(shù)量尚未可知。首先,可能有更多未接入互聯(lián)網(wǎng)的服務(wù)器正在使用中。其次,還有些是沒(méi)啟用WebDAV的。至少Shodan發(fā)現(xiàn)的服務(wù)器中就僅有10%開(kāi)啟了WebDAV。
Opatch發(fā)布了一個(gè)CVE-2017-7269補(bǔ)丁,但因?yàn)闆](méi)有官方補(bǔ)丁,用戶最好還是禁用WebDAV,如果可能的話,升級(jí)到更新的操作系統(tǒng)最好。
微軟不理會(huì) Windows Server 2003 重大安全漏洞的事不是第一次發(fā)生了。退回到2015年2月,該公司就曾決定不修復(fù)該軟件中的一個(gè)經(jīng)年漏洞。