Af Torben B. Sørensen, 30/03/17
Microsoft har øjensynlig ingen planer om at lukke et alvorligt sikkerhedshul i det gamle webserverprogram IIS 6.
Sikkerhedsforskere har opdaget, at angribere har udnyttet sårbarheden siden sommeren 2016. Sårbarheden gør det muligt at afvikle skadelig programkode på serveren.
Da fejlen findes i version 6 af IIS (Internet Information Services), som Microsoft ikke længere vedligeholder, er det usandsynligt, at Microsoft lukker hullet. Firmaet anbefaler brugerne at opdatere til en nyere version.
Man kan forhindre sikkerhedshullet i at blive udnyttet ved at slå WebDAV fra på serveren.
Ifølge SecurityWeek kører over otte millioner websteder stadig IIS 6.
Anbefaling
Slå WebDAV fra, indtil det er muligt at opgradere til et nye webserverprogram.
Links
- Millions of Websites Affected by IIS 6.0 Zero-Day, artikel fra SecurityWeek
- Publicly Attacked Microsoft IIS Zero Day Unlikely to be Patched, artikel fra Kaspersky Threatpost
- IIS 6.0 Vulnerability Leads to Code Execution, blogindlæg fra TrendLabs
- IIS_exploit CVE-2017-7269
- Actively exploited zero-day in IIS 6.0 affects 60,000+ servers, artikel fra Help Net Security