微软IIS6.0开发零日漏洞
验证概念开发发布 微软互联网信息服务6.0
使用允许攻击者使用Windows服务器执行恶意代码IIS6.0并拥有操作程序用户特权扩展支持IIS于2015年7月结束,同时支持父产品Windows服务器2003
即便如此,独立Web服务器调查显示ITS6.0仍然能为数以百万计的公共网站提供权力。 此外,许多公司仍可能在WindowsServer 2003和IIS6.0公司网络内运行Windows应用软件,因此这种脆弱性有助于攻击者通过其他方式访问网络时实现横向运动。
证据显示自去年7月或8月以来 有限数攻击者知道 IIS漏洞本周早些时候Github上发布开发信息使更多黑客能访问
由TrindMicro研究者表示:「其他威胁行为主体目前正处于生成恶意代码阶段,博客文章周三
开发者表示,脆弱点是ScStoragePathFERURL函数中6.0WEWDAV服务缓冲溢出可以通过特殊编译PROPFIND请求开发
web分布式写作和版本程序扩展程序HTTP标准超文本传输协议允许用户创建、修改和移动服务器文档扩展支持数种请求方法,包括PROPFIND,PROPIND用于检索资源属性
微软不修补漏洞, 一种可能的减法就是禁用IIS6.0安装WebDAV服务安全公司ACROS安全开发免费微小批非非正式补丁可应用而不重新启动受影响的服务器或甚至IIS进程
最佳策略是迁移受影响的网站全新IIS和Windows服务器版本,因为可能还有其他漏洞也影响平台并不会补丁
三月调查网络分析公司Netcraft透露约1.85亿网站仍然托管于30万多网络服务器上,运行WindowsServer 2003
