微軟拒絕修複60萬台 Windows 2003 Web服務器安全漏洞

啟用了WebDAV的 Windows Server 2003 機器遭遇安全漏洞影響

接入互聯網的約60萬台 Windows Server 2003 機器上存在 IIS 6.0 重大安全漏洞。

然而，微軟發話稱，不會發布補丁供用戶防護該零日緩衝區溢出漏洞。相關技術報道參見：[CVE-2017-7269]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。

該漏洞存在於微軟Web服務器 IIS 6.0 的網頁分布式創作與版本管理(WebDAV)組件中。WebDAV是HTTP協議的一個擴展，可使客戶端遠程編寫網頁內容。

WebDAV中有個名為PROPFIND的方法，供用戶獲取資源的屬性，還有個稱為IF的頭處理狀態標記。安全廠商趨勢科技在博客文章中報道：在PROPFIND請求中填入過大的IF頭，攻擊者便可製造拒絕服務條件，或者在應用中執行任意代碼。

該漏洞發現者為華南理工大學的研究人員。去年已觀測到野生漏洞利用的情況。在3月27號公開漏洞之時，研究人員稱，其他黑客現已處在基於原始概念驗證(PoC)代碼創建惡意代碼的階段。

漏洞在運行有 IIS 6.0 的 Windows Server 2003 R2 係統中被發現。微軟對 Windows Server 2003 的延長支持期在20個月前就終止了，因此，該漏洞不會有官方安全修複補丁放出。

聯網設備搜索引擎Shodan的檢索結果顯示：IIS 6.0 依然在超過60萬台公開服務器上運行著，其中大多數都是 Windows 2003 係統。

但是，這些脆弱服務器的真實數量尚未可知。首先，可能有更多未接入互聯網的服務器正在使用中。其次，還有些是沒啟用WebDAV的。至少Shodan發現的服務器中就僅有10%開啟了WebDAV。

Opatch發布了一個CVE-2017-7269補丁，但因為沒有官方補丁，用戶最好還是禁用WebDAV，如果可能的話，升級到更新的操作係統最好。

微軟不理會 Windows Server 2003 重大安全漏洞的事不是第一次發生了。退回到2015年2月，該公司就曾決定不修複該軟件中的一個經年漏洞。