نقص امنیتی در Microsoft IIS 6

با انتشار آنلاین یک Exploit که از سری آسیب‌پذیری‌های Zero-Day می‌باشد و در Microsoft IIS 6.0 مشاهده می‌شود، ریسک حمله به وب‌سایت‌های مبتنی بر این نسخه‌ی وب‌سرور افزایش یافته است.

آسیب‌پذیری موجود در Microsoft Internet Information Services 6.0 که به صورت Patch ‌نشده باقی مانده، به صورت عمومی انتشار یافته است و با اینکه این نسخه از وب‌سرور‌ در‌حال‌حاضر توسط مایکروسافت پشتیبانی نمی‌شود، همچنان از کاربرد وسیعی برخوردار است.

این Exploit به مهاجمان اجازه می‌دهد که از دسترسی کاربران برای فعال‌سازی برنامه‌های کاربردی بر روی نسخه‌های ویندوز سرور که IIS 6.0 بر روی آن‌ها می‌باشد، به منظور اجرای کدهای مخرب خود استفاده نمایند و این در حالی است که پشتیبانی از IIS 6.0 و ویندوز سرور 2003 در ژوئیه 2015 پایان یافته است.

بر اساس آمارها نسخه IIS 6.0 هنوز در میلیون‌ها وب‌سایت عمومی کاربرد دارد؛ علاوه بر اینکه ممکن است بسیاری از شرکت‌ها در شبکه‌های سازمانی خود همچنان به استفاده از برنامه‌های کاربردیِ تحت وب برروی ویندوز سرور 2003 و نسخه IIS 6.0 ادامه دهند. بنابراین در صورتی که مهاجمان به هر طریقی به این نوع شبکه‌ها دسترسی یابند، می توانند اقدامات بعدی را برای نفوذ دنبال نمایند.

نقص موجود در این نسخه‌ی IIS، از سال گذشته تا‌کنون تنها توسط بخش کوچکی از مهاجمان شناسایی شده اما به نظر می‌رسد که انتشار Exploit آن برروی GitHub، دسترسی تعداد زیادی از مهاجمان را به آن امکانپذیر سازد.

سازنده‌ی این Exploit معتقد است که آسیب‌پذیری فوق در حقیقت یک سربارِ بافر از عملکرد ScStoragePathFromUrl در سرویس IIS 6.0 WebDAV به شمار می‌آید که از طریق درخواست جعلیِ PROPFIND، امکان Exploit نمودن آن را فراهم می‌کند.

Web Distributed Authoring and Versioning یا به اختصار WebDAV را می‌توان یک افزونه از پروتکل HTTP دانست که ایجاد، تغییر و جابجایی مستندات برروی سرور را میسر می‌سازد. این افزونه چند روش‌ ارسال درخواست از جمله PROPFIND که برای بازیابی مشخصات منبع به کارمی‌رود را پشتیبانی می‌کند.

از آنجاییکه مایکروسافت به دلیل عدم پشتیبانی از این نسخه‌ی IIS، آسیب‌پذیری مذکور را Patch نخواهد نمود، تنها راه موجود جهت کاهش خسارات احتمالی می‌تواند غیرفعال کردن سرویس WebDAV از نسخه‌های نصب‌شده‌ی IIS 6.0 باشد. موسسه امنیتی ACROS Security نیز یک Micropatch رایگان را توسعه داده است که به عنوان یک Patch غیررسمی، امکان استفاده از آن بدون راه‌اندازی مجدد سرور آلوده یا حتی بدون نیاز به فعال‌سازی IIS را فراهم می‌نماید. اما با توجه به اینکه احتمال وجود نقص‌های تاثیرگذار و بدون Patch دیگر نیز در این نسخه‌ها وجود دارد، توصیه می‌گردد که وب‌سایت‌های آلوده‌شده به نسخه‌های جدیدتری از IIS و ویندوز سرور منتقل گردند.

موسسه تحقیقات وب Netcraft از وجود نزدیک به 185 میلیون وب‌سایت خبر داده است که هنوز توسط 300 هزار وب‌سرور بر روی ویندوز سرور 2003 سرویس‌دهی می‌کنند.