Microsoft, скорее всего, не станет выпускать патч для уязвимости нулевого дня в веб-сервере IIS неподдерживаемой версии, хотя имеются данные, что эта брешь использовалась в реальных атаках в июле и августе.

Три дня назад исследователи из Южно-Китайского технологического университета в Гуанчжоу опубликовали на GitHub PoC-эксплойт для обнаруженной ими уязвимости. Этот баг представляет собой переполнение буфера в функции ScStoragePathFromUrl службы WebDAV в IIS 6.0. Эта версия IIS была выпущена в составе Windows Server 2003 в 2003 году и снята с поддержки в июле 2015 года.

«Поддерживаемые в настоящее время версии данная уязвимость (CVE-2017-7269) не затрагивает, — заявил представитель Microsoft. — Мы по-прежнему рекомендуем клиентам произвести апгрейд до новейших операционных систем и пользоваться преимуществами мощной, современной защиты».

В своей публикации на GitHub исследователи Чжи Нян Пэн (Zhiniang Peng) и Чэнь У (Chen Wu) отметили, что эксплойт в данном случае осуществляется подачей запроса PROPFIND с длинным заголовком, начинающимся с If: <http://. В случае успеха атакующий получает возможность исполнить код.

В описании PROPFIND на сайте Microsoft сказано, что этот WebDAV-метод «получает свойства для ресурса, заданного в запросе универсальным кодом ресурса (URI)».

IIS до сих пор довольно популярны: в настоящее время их используют 11,4% сайтов, то есть по доле рынка серверы Microsoft занимают третье место после Apache (50,2%) и Nginx (33,1%). При этом 87,2% сайтов на IIS пользуются версией 7 или 8, а 11,2% — версией 6. Это означает, что с публикацией PoC-эксплойта для неподдерживаемого софта огромное количество сайтов оказалось под угрозой: злоумышленники наверняка не упустят возможность развить результаты исследования в своих интересах.

В отсутствие патча лучшей защитой для установок IIS 6 является отключение WebDAV. Этот протокол передачи данных представляет собой набор расширений к HTTP, позволяющих удаленным веб-клиентам совместно работать, создавая и редактируя контент на сервере.

Категории: Уязвимости