启用了WebDAV的 Windows Server 2003 机器遭遇安全漏洞影响
接入互联网的约60万台 Windows Server 2003 机器上存在 IIS 6.0 重大安全漏洞。
然而,微软发话称,不会发布补丁供用户防护该零日缓冲区溢出漏洞。相关技术报道参见:CVE-2017-7269 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。
该漏洞存在于微软Web服务器 IIS 6.0 的网页分布式创作与版本管理(WebDAV)组件中。WebDAV是HTTP协议的一个扩展,可使客户端远程编写网页内容。
WebDAV中有个名为PROPFIND的方法,供用户获取资源的属性,还有个称为IF的头处理状态标记。安全厂商趋势科技在博客文章中报道:在PROPFIND请求中填入过大的IF头,攻击者便可制造拒绝服务条件,或者在应用中执行任意代码。
该漏洞发现者为华南理工大学的研究人员。去年已观测到野生漏洞利用的情况。在3月27号公开漏洞之时,研究人员称,其他黑客现已处在基于原始概念验证(PoC)代码创建恶意代码的阶段。
漏洞在运行有 IIS 6.0 的 Windows Server 2003 R2 系统中被发现。微软对 Windows Server 2003 的延长支持期在20个月前就终止了,因此,该漏洞不会有官方安全修复补丁放出。
联网设备搜索引擎Shodan的检索结果显示:IIS 6.0 依然在超过60万台公开服务器上运行着,其中大多数都是 Windows 2003 系统。
但是,这些脆弱服务器的真实数量尚未可知。首先,可能有更多未接入互联网的服务器正在使用中。其次,还有些是没启用WebDAV的。至少Shodan发现的服务器中就仅有10%开启了WebDAV。
Opatch发布了一个CVE-2017-7269补丁,但因为没有官方补丁,用户最好还是禁用WebDAV,如果可能的话,升级到更新的操作系统最好。
微软不理会 Windows Server 2003 重大安全漏洞的事不是第一次发生了。退回到2015年2月,该公司就曾决定不修复该软件中的一个经年漏洞。
本文转自d1net(转载)
