Po wydaniu kodu, Microsoft poprawi błąd IIS

Pewnego dnia, po tym jak pewien badacz bezpieczeństwa opublikował kod ataku na lukę w oprogramowaniu serwera IIS Microsoftu, Microsoft powiedział, że planuje to załatać.

Microsoft wydał także poradnik bezpieczeństwa opisujący problem i szczegóły techniczne rozwiązania techniczne, które administratorzy systemu mogą wdrożyć, gdy czekają na poprawkę. "Obecnie badamy ten problem … i pracujemy nad opracowaniem aktualizacji zabezpieczeń" - powiedział Microsoft w notatce na swojej stronie internetowej. "Ta aktualizacja zostanie opublikowana po osiągnięciu odpowiedniego poziomu jakości dla szerokiej dystrybucji."

Następny zestaw poprawek bezpieczeństwa Microsoftu ma się pojawić 8 września. Nie jest jasne, czy firma będzie w stanie opracować i przetestować swoje IIS (Internetowe usługi informacyjne) poprawka w czasie dla tej aktualizacji jednak.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Kod ataku został opublikowany w poniedziałek przez Nikolaosa Rangosa, który powiedział, że nie powiadomił oprogramowania firma problemu z wyprzedzeniem. Atak Ranga jest uważany za bardzo niezawodny w systemach IIS 5 i może być używany do uruchamiania nieautoryzowanego oprogramowania na serwerze.

Wada leży w oprogramowaniu FTP (File Transfer Protocol) używanym przez IIS i jest uważana za krytyczną wydanie dla użytkowników starszego produktu IIS 5. Dotyczy to również użytkowników IIS 6, ale są oni mniej narażeni na ryzyko ze względu na sposób kompilacji usług IIS 6, o czym Microsoft powiedział w swoim doradztwie. "Nie usuwa to luki, ale utrudnia jej wykorzystanie."

Użytkownicy, którzy używają nowszych usług IIS 7 lub nie korzystają z usługi FTP, nie mają na nią wpływu, powiedział Microsoft.

Nawet w przypadku użytkowników IIS 5 i 6 istnieje inny czynnik łagodzący: "Zainfekowane systemy nie są podatne na ataki, chyba że niezaufanym użytkownikom FTP przyznano prawa zapisu. Domyślnie użytkownicy FTP nie mają prawa do zapisu", powiedział Microsoft.

Chociaż nikt jeszcze nie zgłosił ataki w świecie rzeczywistym z wykorzystaniem kodu Rangos, producenta zabezpieczeń, firmy Symantec, powiedział we wtorek, że "wiele systemów będzie zagrożonych przez Internet i że będą miały miejsce ataki typu" dziko ".

Inna firma ochroniarska, Secunia, ocenia wadę" umiarkowanie krytyczną. "

W maju firma analityka internetowa Netcraft naliczyła 2,8 miliona witryn wciąż używających oprogramowania IIS 5, ale nie jest jasne, ilu z nich miałoby konfigurację FTP, która uczyniłaby je podatnymi na ten atak.