Aktivně exploitovaná 0day zranitelnost postihující Windows Server 2003 nebude opravena

Microsoft pravděpodobně nevydá záplatu na zranitelnost ve starší verzi IIS 6.0, která byla vydána v roce 2010 spolu s Windows Server 2003 a Windows XP Professional x64 Edition. Chyba je aktivně zneužívána minimálně od července 2016 a tento týden byl zveřejněn 0day exploit.

Jedná se o "Buffer Overflow" (CVE-2017-7269) v důsledku nesprávné validace "IF" headeru v "PROPFIND" requestu. Vzdálený útočník tak může napadnout IIS WebDAV a vyvolat DoS, případně RCE v kontextu uživate, pod kterým je aplikace spuštěna.

Dva vědci Zhiniang Peng a Chen Wu z čínské University of Technology v Guangzhou publikovali Proof of Concept exploit na serveru GitHub. Celá situace je bohužel vážnější, protože Windows Server 2003 R2 je EOL, jeho podpora skončila v červenci 2015. Není tedy pravděpodobné, že by Microsoft zpětně vydal opravný patch.

Díky dostupným informacím ze serveru Shodan můžeme zjistit, že Win Server 2003 stále běží na více než 600 tisíc veřejně dostupných stanicích a minimálně 10% z nich může být ve zranitelné konfiguraci.

I když není dostupný žádný oficiální patch, je možné dohledat návody jak zranitelnost částečně opravit. Je však důrazně doporučeno aktualizovat na novější verze.

Momentálně přibývá mnoho variant veřejných exploitů a je pouze otázka času, kdy se útočníci pokusí napadnout všechny dostupné servery.

Více informací zde:

https://threatpost.com/publicly-attacked-microsoft-iis-zero-day-unlikely-to-be-patched/124641/

http://blog.trendmicro.com/trendlabs-security-intelligence/iis-6-0-vulnerability-leads-code-execution/

https://www.theregister.co.uk/2017/03/31/microsoft_wont_patch_server_2003/

https://www.bleepingcomputer.com/news/security/new-iis-6-0-zero-day-exploited-in-live-attacks-since-july-2016/

https://www.helpnetsecurity.com/2017/03/30/cve-2017-7269/
Aktivně exploitovaná 0day zranitelnost postihující Windows Server 2003 nebude opravena Aktivně exploitovaná 0day zranitelnost postihující Windows Server 2003 nebude opravena Reviewed by Kamil Vavra on března 31, 2017 Rating: 5

Žádné komentáře:

Používá technologii služby Blogger.