微軟IIS零日攻擊拉響警報
微軟IIS想必我們都知道。針對某些版本FTP功能的微軟IIS零日攻擊的代碼已經在網上出現,網絡安全機構建議采取相應對策。微軟是否還有足夠的時間在九月份的常規微軟安全補丁中解決這個漏洞目前尚不可知。
網絡安全機構US-CERT(the U.S. Computer Emergency Readiness Team,美國計算機應急響應小組)日前發出警告稱針對微軟IIS 5.0和6.0中FTP模塊的零日漏洞的概念證明代碼(proof-of-concept code)已經在網絡上現身。
“我們注意到有一個漏洞被公開,主要目標是攻擊微軟Internet信息服務(微軟IIS)中的FTP服務,”US-CERT的發言人表示,“這個漏洞會讓遠程攻擊者有可能獲得對系統的控制權并且執行任意代碼。”
根據報道,該漏洞的攻擊代碼被公布在黑客組織Milw0rm網站,目前看來這個漏洞似乎主要影響舊版本的微軟IIS,而且只有當FTP功能啟用的時候才會起作用。因此US-CERT建議IT管理員暫時“禁用微軟IIS FTP服務器的匿名寫入權限,作為風險緩解措施”,但他們又補充說“應在采取防御措施之前進行適當的影響性分析。”
這個漏洞的風險細節以及影響程度目前尚不清楚,賽門鐵克的研究人員并沒有立即發表評論,他們仍在對這個漏洞的概念證明代碼進行分析。
而據微軟表示,他們已經開始研究公布的漏洞并且準備提供合理的保護措施。“目前還沒有發現任何試圖利用該漏洞發起的攻擊或對客戶造成任何影響,”微軟發言人在電子郵件中聲明。微軟表示一旦漏洞被確認,將采取一切可能的步驟保護客戶。
微軟通常會在每月的第二個星期二發布微軟安全公告。下一次的微軟安全公告將在9月8日公布,所以按慣例微軟會在本周四發布下周二安全公告的初步信息。因此我們可以觀察一下,看看微軟是否還有足夠的時間在九月份的常規補丁中解決這個漏洞。對微軟IIS的態度,我們還是在觀望。
【編輯推薦】
