SÅRBARHETER

Millioner av nettsteder rammet av alvorlig sårbarhet, men ingen sikkerhetsfiks finnes

Har vært under angrep i mange måneder.

Fortsatt er det nettsteder som kjøres på Windows Server 2003 og IIS 6.0. Det er ikke risikofritt.
Fortsatt er det nettsteder som kjøres på Windows Server 2003 og IIS 6.0. Det er ikke risikofritt.
Harald BrombachHarald BrombachNyhetsleder
30. mars 2017 - 18:00

To kinesiske forskere ved South China University of Technology i Guangzhou har funnet en svært alvorlig sårbarhet i en utdatert, men fortsatt mye brukt utgave av Microsofts webserver, Internet Information Services (IIS). 

Det dreier seg om en buffer-overflytssårbarhet som skyldes mangel på adekvat validering av brukerdata, før dataene kopieres over i en utilstrekkelig dimensjonert minnebuffer.

Dette gjør det mulig for angripere å fjernkjøre vilkårlig kode i konteksten av den berørte applikasjonen. Mislykkede angrep fører til en tjenestenekt-tilstand.

Sårbarheten skal ha blitt brukt i aktive angrep siden i juli eller august i fjor.

Nedlagt produkt

Normalt ville dette kunne løses med en sikkerhetsoppdatering fra Microsofts side. Men den versjonen av IIS som det dreier seg om, 6.0, er en del av Windows Server 2003 og Windows Server 2003 R2. 

Denne versjonen kom i 2005 og ble støtte av Microsoft i ti år, men i 2015 var det slutt. Det kommer ingen flere sikkerhetsoppdateringer til verken Windows Server 2003, R2 eller IIS 6.0. 

Det er selvfølgelig alltid en sikkerhetsrisiko å bruke utdatert programvare, i alle fall når den er knyttet så direkte til internett som det en webserver gjerne er. Derfor er det kanskje litt overraskende at det fortsatt finnes millioner av nettsteder som kjøres på IIS 6.0, i alle fall ifølge tall fra W3Techs og BuildWith.

Netcraft mener at antallet Windows Server 2003- og IIS 6.0-baserte nettsteder, aktive eller parkerte, er på 185 millioner, noe som utgjør omtrent 24 prosent av alle nettsteder basert på IIS.

WebDAV

Nå skal det være slik at den aktuelle sårbarheten er knyttet til WebDAV-tjenesten (Web Distributed Authoring and Versioning) til IIS. Denne utvider blant annet hvilke HTTP-metoder og -headere som tillates i en HTTP-spørring, blant annet PROPFIND-metoden som denne sårbarheten er relatert til. 

Trend Micro har kommet med flere detaljer her.

Risikoen for angrep av akkurat denne typen kan derfor dempes eller fjernes helt ved å deaktivere WebDAV. Men det å bruke Windows Server 2003 i nettverkstilknyttede omgivelser – så lang tid etter at de siste sikkerhetsoppdateringene ble utgitt – utgjør en betydelig risiko uansett, siden dette er langt fra den eneste, kjente sårbarheten som ikke kommer til å bli fjernet.

Les også: På tide å ta farvel med sliteren

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.