微軟拒絕修復60萬台 Windows 2003 Web伺服器安全性漏洞

啟用了WebDAV的 Windows Server 2003 機器遭遇安全性漏洞影響

接入互聯網的約60萬台 Windows Server 2003 機器上存在 IIS 6.0 重大安全性漏洞。

然而，微軟發話稱，不會發佈補丁供用戶防護該零日緩衝區溢位漏洞。相關技術報導參見：[CVE-2017-7269]( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7269 )。

該漏洞存在於微軟Web伺服器 IIS 6.0 的網頁分散式創作與版本管理(WebDAV)組件中。WebDAV是HTTP協議的一個擴展，可使用戶端遠端編寫網頁內容。

WebDAV中有個名為PROPFIND的方法，供使用者獲取資源的屬性，還有個稱為IF的頭處理狀態標記。安全廠商趨勢科技在博客文章中報導：在PROPFIND請求中填入過大的IF頭，

該漏洞發現者為華南理工大學的研究人員。去年已觀測到野生漏洞利用的情況。在3月27號公開漏洞之時，研究人員稱，其他駭客現已處在基於原始概念驗證(PoC)代碼創建惡意程式碼的階段。

漏洞在運行有 IIS 6.0 的 Windows Server 2003 R2 系統中被發現。微軟對 Windows Server 2003 的延長支持期在20個月前就終止了，因此，該漏洞不會有官方安全修復補丁放出。

聯網設備搜尋引擎Shodan的檢索結果顯示：IIS 6.0 依然在超過60萬台公開伺服器上運行著，其中大多數都是 Windows 2003 系統。

但是，這些脆弱伺服器的真實數量尚未可知。首先，可能有更多未接入互聯網的伺服器正在使用中。其次，還有些是沒啟用WebDAV的。至少Shodan發現的伺服器中就僅有10%開啟了WebDAV。

Opatch發佈了一個CVE-2017-7269補丁，但因為沒有官方補丁，用戶最好還是禁用WebDAV，如果可能的話，升級到更新的作業系統最好。

微軟不理會 Windows Server 2003 重大安全性漏洞的事不是第一次發生了。退回到2015年2月，該公司就曾決定不修復該軟體中的一個經年漏洞。