Microsoft: zaczęły się ataki przez lukę w IIS

Exploit na IIS 5.0 pojawił się w Sieci w ubiegłym tygodniu - opublikował go specjalista ds. bezpieczeństwa Nikolaos Rangos (nie informując wcześniej Microsoftu o wykryciu problemu - co ściągnęło na niego falę krytyki ze strony innych ekspertów od zabezpieczeń). Jego oprogramowanie umożliwia przejęcie kontroli nad serwerem - pod warunkiem, że jest w nim uruchomiony moduł FTP i dozwolone jest anonimowe logowanie się. Problem dotyczył niewielkiej liczby systemów - pierwszy exploit był skuteczny tylko w przypadku IIS 5.0 w systemie Windows 2000.

Exploit Rangosa został szybko udoskonalony przez kogoś innego - po kilku dniach w Internecie można było znaleźć jego drugą wersję, umożliwiającą przeprowadzenie ataki DDoS (distributed denial of service) na serwer. Jej zasięg jest znacznie szerszy - może zostać przeprowadzony przeciwko IIS w wersjach 5.0, 5.1, 6.0 oraz 7.0, zainstalowanych w Windows XP oraz Windows Server 2003 (a to znaczy, że ofiarami ewentualnego może stać się większość użytkowników serwera Microsoftu). Również w tym przypadku musi być spełniony jeden warunek - musi działać usługa FTP z anonimowym logowaniem.

Zaraz po obublikowaniu pierwszego exploita Microsoft wydał własny alert w tej sprawie - koncern opisał w nim problem i poinformował, że nie odnotowano na razie żadnych ataków wykorzystujących te luki. Ale sytuacja już się zmieniła - pod koniec ubiegłego tygodnia alert został uaktualniony - znalazła się w nim adnotacja, że zauważono już pierwsze ataki. Warto podkreślić, że informuje o nich tylko Microsoft - inne firmy, zajmujące się monitorowaniem incydentów z zakresu bezpieczeństwa, nie zauważyły na razie żadnych prób wykorzystania nowych exploitów do przejmowania kontroli nad IIS.

Na razie nie wiadomo, o jakich atakach mówi Microsoft - czy przestępcy wykorzystują lukę do instalowania w serwerach złośliwego oprogramowania, przejmowania na nad nimi kontroli czy może po prostu do ich zawieszania (atak DDoS). Koncern odmówił komentarza w tej sprawie.

Microsoft kilka dni temu informował, że pracuje już nad odpowiednią poprawką dla swojego oprogramowania serwerowego - niestety, na razie nie wiadomo, kiedy może być ona gotowa. Raczej wątpliwe jest, by koncern zdołał ją przygotować do jutra (8 września to drugi wtorek miesiąca - czyli dzień, w którym Microsoft zwykł udostępniać swoje poprawki). Najbardziej prawdopodobne wydaje się więc, że patch pojawi się dopiero w październiku - chyba, że liczba ataków gwałtownie wzrośnie i Microsoft uzna, że koniecznie jest udostępnienie poprawki wcześniej, poza standardowym terminarzem.

Szerzej o problemie z IIS pisaliśmy w ubiegłym tygodniu, w tekście "Microsoft: wkrótce załatamy lukę w IIS". Warto dodać, że atak można przeprowadzić tylko, jeśli w IIS jest włączona obsługa protokołu File Transfer Protocol (FTP). Ale nawet wtedy użytkownik może w stosunkowo łatwy sposób się zabezpieczyć - wystarczy nie dawać prawa zapisu na serwerze anonimowym użytkownikom FTP (domyślnie taka opcja jest wyłączona - więc atak jest możliwy tylko po jej uaktywnieniu).