示意圖,與新聞事件無關。

圖片來源: 

微軟

兩名來自中國南方科技大學的安全研究人員Zhiniang Peng與Chen Wu在本周透過GitHub公開了鎖定微軟IIS 6.0零時差安全漏洞的攻擊程式,還說去年中就有駭客利用該漏洞展開攻擊,估計全球約有1.3%的網站仍使用IIS 6.0。

Internet Information Services(IIS,網路資訊服務)被微軟定位為網頁伺服器,可安置網路應用程式或串流媒體服務,IIS 6.0是早在2010年就發表的版本,支援Windows Server 2003與64位元的Windows XP專業版,研究人員已證實該漏洞影響Windows Server 2003 R2版。最新的IIS版本則是隨著Windows Server 2016及Windows 10出爐的IIS 10。。

根據Peng與Wu的說明,IIS 6的WebDAV服務中含有一編號為CVE-2017-7269的緩衝區溢位漏洞,駭客只要送出以If: <http://" in a PROPFIND展開的請求,就能自遠端執行任意程式,或是造成服務阻斷,在去年7、8月的時候就已被開採。

雖然微軟知道該漏洞,但因Windows Server 2003屬於已終止生命周期的產品,不太可能被修補。微軟並未正面回應修補與否,僅呼籲客戶升級到最近的作業系統。

根據W3Techs的調查數據,全球約有11.4%的網站採用微軟的IIS,其中,最普及的是IIS 7的46.4%與IIS 8的40.8%,IIS 6則以11.2%位居第三,因此全球仍約有1.3%的網站可能受到CVE-2017-7269漏洞的影響。


Advertisement

更多 iThome相關內容