Microsoft Internet Information Services یا همان IIS نسخه ۶ دارای یک آسیب‌پذیری روز صفر به نام CVE-2017-7269 است که تابستان گذشته و در سطح اینترنت بهره‌برداری شد. این آسیب‌پذیری به‌احتمال‌زیاد توسط مهاجمان و در حال حاضر نیز مورد بهره‌برداری قرار گرفته است.

IIS

این آسیب‌پذیری یک عیب سرریز بافر در یک تابع و در یک سرویس WebDAV در IIS نسخه ۶ در مایکروسافت ویندوز سرور ۲۰۰۳ نسخه R2 است و می‌تواند توسط مهاجمان مورد استفاده قرار گرفته تا یک سرآیند دارای طول بیش‌ازحد را در یک درخواست PROPFIND ارسال کنند.

متأسفانه، این عیب توسط مایکروسافت برطرف نشده بود چراکه این شرکت پشتیبانی از ویندوز سرور ۲۰۰۳ را که IIS نسخه ۶ نیز جزو آن بود، چند سال پیش متوقف کرده بود.

Shodan نشان داده است[۱] که بیش از ۶۰۰٫۰۰۰ سروری که به IIS نسخه ۶ به صورت عمومی دسترسی دارند در سطح اینترنت وجود دارد و بیشتر آن‌ها به‌احتمال‌زیاد بر روی ویندوز سرور ۲۰۰۳ در حال اجرا هستند. از این تعداد، ۱۰ درصد آن‌ها ویژگی WebDAV را فعال کرده‌اند[۲] تا به آن‌ها اجازه ویرایش سایت را از راه دور می‌دهد، این بدان معنی است که احتمالاً میلیون‌ها وب‌سایت در معرض این بهره‌برداری قرار دارند.

در برابر آسیب‌پذیری CVE-2017-7269 چه کاری می‌توان انجام داد؟

خطر بهره‌برداری از این آسیب‌پذیری می‌تواند از طریق غیرفعال کردن سرویس WebDAV بر روی پیکربندی IIS نسخه ۶ آسیب‌پذیر، کاهش یابد. اما تمامی مدیران موافق با غیرفعال کردن این گزینه نیستند.

Mitja Kolsek، مدیر Acros Security و یکی از مؤسسین ۰patch یک راه‌حل دیگر پیشنهاد داده است: یک وصله میکرو که می‌تواند این مشکل را برطرف کند[۳].

این وصله رایگان است و منبع کد آن به‌منظور بررسی به صورت باز در اختیار عموم قرار گرفته است[۴]. به‌منظور انتقال این وصله به دستگاه آسیب‌پذیر، مدیران باید یک نسخه از آن را دانلود کرده و یک کپی از عامل شرکت ۰patch را نصب کنند[۵].

جزئیات بیشتر در ارتباط با این آسیب‌پذیری را می‌توانید در گزارش محققان شرکت Trend Micro بخوانید[۶]. اما مهم‌ترین مطالبی که در حال حاضر و در ارتباط با این آسیب‌پذیری باید بدانید شامل این موارد است:

  • این آسیب‌پذیری می‌تواند از راه دور مورد بهره‌برداری قرار گیرد و به مهاجمان اجازه دهد تا یک کد دلخواه را بر روی سیستم آسیب‌پذیر اجرا کنند.
  • یک بهره‌بردار اثبات ادعا بر روی GitHub منتشر شده است، بنابراین به‌احتمال‌زیاد این بهره‌بردار توسط مهاجمان تغییر کاربری داده شده و به‌زودی مورد استفاده قرار می‌گیرد (اگر تاکنون مورد استفاده قرار نگرفته باشد).
  • این آسیب‌پذیری بر روی نسخه‌های ۳۲ و ۶۴ بیتی از ویندوز سرور ۲۰۰۳ که ویژگی WebDAV را فعال کرده باشند اثر می‌گذارد. این آسیب‌پذیری بر روی نسخه‌های جدیدتر IIS (نسخه ۷ و بالاتر) و نسخه‌های جدیدتر ویندوز سرور اثرگذار نیست.

منابع

[۱] https://www.shodan.io/search?query=Microsoft-IIS%2F6.0

[۲]https://medium.com/@iraklis/number-of-internet-facing-vulnerable-iis-6-0-to-cve-2017-7269-8bd153ef5812

[۳] https://www.helpnetsecurity.com/2017/03/13/reinventing-software-patching/

[۴] https://0patch.blogspot.hr/2017/03/0patching-immortal-cve-2017-7269.html

[۵] https://0patch.com/

[۶]http://blog.trendmicro.com/trendlabs-security-intelligence/iis-6-0-vulnerability-leads-code-execution

[۷] https://www.helpnetsecurity.com/2017/03/30/cve-2017-7269