今天在milw0rm看到一個新0day漏洞攻擊代碼——Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit。這個代碼是昨天由kcope發布的,據他說這個代碼僅對微軟10年前的Windows 2000操作系統有效,這個操作系統采用老版本的IIS 5.0服務器軟件。但安全專家稱,這種攻擊要獲得成功還需要黑客在這個服務器上創建一個目錄。 但證實其它版本的IIS軟件也有風險,微軟比較新的操作系統有緩解這種風險的功能。
微軟周一表示,它們已經針對流傳在外部的某些版本的Internet信息服務(IIS)產品缺陷的報告進行調查,據稱該缺陷可以讓攻擊者控制整個系統。
在一份聲明中,微軟一名代表表示公司正在調查在IIS 5和IIS 6中可能出現的FTP協議中帶來的脆弱環節,並采取步驟保護自己的客戶,但首先需要確認這一問題是否屬實。
據IDG新聞服務薄到,這一漏洞僅僅影響舊版IIS,並且僅僅是開了FTP狀況下才會受到威脅,而微軟的FTP服務至今為止幾乎沒有出現過漏洞。
一旦調查完成,漏洞屬實,微軟將有可能迅速在下周的Patch Tuesday(周二補丁日)公布補丁。
漏洞描述
Microsoft IIS的FTP服務程序在解析目錄名時存在緩沖區溢出漏洞,遠程攻擊者通過提交包含特殊命名目錄的FTP NLST (NAME LIST)命令請求,以觸發基於棧的緩沖區溢出,導致攻擊者可以以應用程序權限執行任意指令,攻擊者還可使用攻擊代碼在服務器上安裝未經許可的軟件。
這個安全漏洞存在於IIS用於在互聯網上傳送大型文件的文件傳輸協議(FTP)軟件中,因此,受攻擊者必須要啟用FTP協議才能受到這種攻擊。
目前已經有利用該漏洞的攻擊程序出現,由於攻擊者需要FTP配置匿名帳戶寫權限或擁有其他合法帳戶信息來建立特殊命名的目錄,因此可以暫時禁用匿名FTP寫訪問權限,以緩解該漏洞對用戶的影響。
受影響軟件
Microsoft IIS 6.0
Microsoft IIS 5.0
攻擊代碼
Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit (win2k)
Microsoft IIS 5.0 FTP Server Remote Stack Overflow Exploit (win2k sp4)
臨時解決方法
1、關閉FTP服務器的寫權限,禁止目錄下寫創建文件及目錄。
2、由於漏洞利用需要匿名用戶或者獲得FTP賬號,推薦所有匿名FTP服務器臨時性打開賬號驗證策略。
3、更為嚴格的環境下推薦設定可授權的IP來連接FTP服務器。
