【51CTO.com快譯自9月2日外電頭條】網絡安全機構US-CERT（the U.S. Computer Emergency Readiness Team，美國計算機應急響應小組）日前發出警告稱針對微軟IIS 5.0和6.0中FTP模塊的零日漏洞的概念證明代碼（proof-of-concept code）已經在網絡上現身。

“我們注意到有一個漏洞被公開，主要目標是攻擊微軟Internet信息服務（IIS）中的FTP服務，”US-CERT的發言人表示，“這個漏洞會讓遠程攻擊者有可能獲得對系統的控制權并且執行任意代碼。”

根據報道，該漏洞的攻擊代碼被公布在黑客組織Milw0rm網站，目前看來這個漏洞似乎主要影響舊版本的IIS，而且只有當FTP功能啟用的時候才會起作用。因此US-CERT建議IT管理員暫時“禁用IIS FTP服務器的匿名寫入權限，作為風險緩解措施”，但他們又補充說“應在采取防御措施之前進行適當的影響性分析。”【51CTO.com編輯提醒：IIS5.0在缺省設置下是開啟FTP功能的，IIS6.0得手動選擇，不過很多管理員為了工作方便也會把自帶的FTP打開傳文件。因此51CTO編輯建議，在補丁沒有發布之前請立即關閉匿名FTP功能以降低安全風險。】

這個漏洞的風險細節以及影響程度目前尚不清楚，賽門鐵克的研究人員并沒有立即發表評論，他們仍在對這個漏洞的概念證明代碼進行分析。

而據微軟表示，他們已經開始研究公布的漏洞并且準備提供合理的保護措施。“目前還沒有發現任何試圖利用該漏洞發起的攻擊或對客戶造成任何影響，”微軟發言人在電子郵件中聲明。微軟表示一旦漏洞被確認，將采取一切可能的步驟保護客戶。

微軟通常會在每月的第二個星期二發布微軟安全公告。下一次的微軟安全公告將在9月8日公布，所以按慣例微軟會在本周四發布下周二安全公告的初步信息。因此我們可以觀察一下，看看微軟是否還有足夠的時間在九月份的常規補丁中解決這個漏洞。

【編輯推薦】

1. IIS驚現0day 服務器匿名FTP應立即關閉
2. 攻擊悄然來臨 該如何保障IIS安全
3. 保護IIS Web服務器的15個技巧
4. IIS常見攻擊漏洞及技巧大全

【51CTO.com譯稿，非經授權請勿轉載。合作站點轉載請注明原文譯者和出處為51CTO.com，且不得修改原文內容。】

原文：Microsoft IIS Zero-Day Vulnerability Reported作者：Thomas Claburn