微軟IIS想必我們都知道。針對某些版本FTP功能的微軟IIS零日攻擊的代碼已經(jīng)在網(wǎng)上出現(xiàn)，網(wǎng)絡(luò)安全機(jī)構(gòu)建議采取相應(yīng)對策。微軟是否還有足夠的時間在九月份的常規(guī)微軟安全補(bǔ)丁中解決這個漏洞目前尚不可知。

網(wǎng)絡(luò)安全機(jī)構(gòu)US-CERT（the U.S. Computer Emergency Readiness Team，美國計算機(jī)應(yīng)急響應(yīng)小組）日前發(fā)出警告稱針對微軟IIS 5.0和6.0中FTP模塊的零日漏洞的概念證明代碼（proof-of-concept code）已經(jīng)在網(wǎng)絡(luò)上現(xiàn)身。

“我們注意到有一個漏洞被公開，主要目標(biāo)是攻擊微軟Internet信息服務(wù)（微軟IIS）中的FTP服務(wù)，”US-CERT的發(fā)言人表示，“這個漏洞會讓遠(yuǎn)程攻擊者有可能獲得對系統(tǒng)的控制權(quán)并且執(zhí)行任意代碼。”

根據(jù)報道，該漏洞的攻擊代碼被公布在黑客組織Milw0rm網(wǎng)站，目前看來這個漏洞似乎主要影響舊版本的微軟IIS，而且只有當(dāng)FTP功能啟用的時候才會起作用。因此US-CERT建議IT管理員暫時“禁用微軟IIS FTP服務(wù)器的匿名寫入權(quán)限，作為風(fēng)險緩解措施”，但他們又補(bǔ)充說“應(yīng)在采取防御措施之前進(jìn)行適當(dāng)?shù)挠绊懶苑治觥?rdquo;

這個漏洞的風(fēng)險細(xì)節(jié)以及影響程度目前尚不清楚，賽門鐵克的研究人員并沒有立即發(fā)表評論，他們?nèi)栽趯@個漏洞的概念證明代碼進(jìn)行分析。

而據(jù)微軟表示，他們已經(jīng)開始研究公布的漏洞并且準(zhǔn)備提供合理的保護(hù)措施。“目前還沒有發(fā)現(xiàn)任何試圖利用該漏洞發(fā)起的攻擊或?qū)蛻粼斐扇魏斡绊懀?rdquo;微軟發(fā)言人在電子郵件中聲明。微軟表示一旦漏洞被確認(rèn)，將采取一切可能的步驟保護(hù)客戶。

微軟通常會在每月的第二個星期二發(fā)布微軟安全公告。下一次的微軟安全公告將在9月8日公布，所以按慣例微軟會在本周四發(fā)布下周二安全公告的初步信息。因此我們可以觀察一下，看看微軟是否還有足夠的時間在九月份的常規(guī)補(bǔ)丁中解決這個漏洞。對微軟IIS的態(tài)度，我們還是在觀望。

【編輯推薦】

1. IIS服務(wù)器身份驗(yàn)證的方式與基本原理
2. 微軟ISA 服務(wù)器推動網(wǎng)絡(luò)安全建設(shè)
3. Windows 7下IIS7的安裝及ASP配置
4. 在Windows7上啟用IIS日志記錄
5. 攻擊悄然來臨 該如何保障IIS安全