Уязвимость в старом веб-сервере от Microsoft создала угрозу множеству сайтов

02 апреля 2017 21:34


Популярный, но уже не поддерживаемый разработчиками Microsoft Internet Information Services 6.0 по-прежнему широко используется для обеспечения работы миллионов сайтов. Хотя компания Microsoft прекратила поддерживать данный веб-сервер как и Windows Server 2003 еще два года назад, многие организации не стали обновляться и оставили свои веб-ресурсы работать на этом движке. Хотя можно понять нежелание переезжать на новый сервер (или покупать его) из-за отсутствия знаний или собственного администратора, теперь все это множество Интернет-ресурсов оказалось под угрозой взлома.

В Microsoft IIS 6 осталось не устранена уязвимость переполнения буфера в функции ScStoragePathFromUrl сервиса IIS 6 WebDAV. Это позволяет злоумышленникам формировать специальный запрос PROPFIND и менять содержимое сервера без ведома его владельцев. Web Distributed Authoring and Versioning (WebDAV) является расширением стандартного протокола HTTP, и дает возможность создавать, вносить изменения или перемещать документы в папках веб-сервера.

Миллионы сайтов находятся под угрозой из-за уязвимости в Microsoft IIS 6

Сама Microsoft выпускать заплатки для этой уязвимости не будет поэтому у владельцев сайтов, работающих на IIS 6 есть два выхода — отключить службу WebDAV или воспользоваться неофициальным патчем от стороннего разработчика — компании ACROS Security. Хотя разумнее всего было бы перенести веб-ресурсы на современные версии Windows Server и Microsoft IIS. Есть обоснованные предположения, что часть хакеров знали об этой уязвимости и могли ее эксплуатировать для своих целей с июля прошлого года. А теперь, когда на портале GitHub опубликовали эксплоит, использующий данную дыру в веб-сервере, владельцы сайтов оказались в гораздо большей опасности.

А таких веб ресурсов очень много. По данным, представленным аналитиками из Minecraft , по состоянию на март 2017 года, Microsoft IIS 6 эксплуатирвоался более чем на 300 000 серверов, на которых работали примерно 185 миллионов сайтов. Кроме этого, связка Windows Server 2003 и IIS 6 активно используется в компаниях для внутренних целей, а значит, внутри корпоративных сетей также есть неопределенное количество уязвимых серверов.  





Обсудить материал (0)


Предыдущая статья

Выпущена окончательная версия Microsoft Teams



Вконтакте запустила новый инструмент для борьбы с пиратами

Социальная сеть ВКонтакте обновила форму, с помощью которой пользователи могут пожаловаться на неприемлемый контент. К уже привычным пунктам добавился новый — «Неоригинальный контент». Если выбрать этот пункт, то нужно приложить ссылку на оригинальную публикацию. Таким образом в действие вступила «Немезида», новая система борьбы с воровством контента. В данном случае, ВК решила пойти по стопам поисковых систем, давно накладывающим санкции на сайты с ворованными текстами или фотографиями.

Читать далее...

Редизайн облачного диска Google и новые тарифы

Компания Google продолжает редизайн своих продуктов и дополнила его еще и ребрендингом. Всем известное и популярное облако Google Drive сначала получила обновленный дизайн а теперь переименовано в Google One. С точки зрения бесплатных возможностей это те же 15 гигабайт места и интеграция с почтой и Google Photo. Но вместе с новым названием пришли новые тарифы.

Читать далее...

Мессенджер Вконтакте теперь позволяет звонить голосом и с видео

Компания «ВКонтакте» сообщила о новой возможности для пользователей своего официального приложения на мобильных устройствах Android и iOS. Теперь кроме чата доступны голосовые и видео звонки. Для того чтобы воспользоваться новыми функциями нужно обновить приложение ВК до последней версии. А потом звонки станут появляться постепенно у пользователей. Чтобы эта возможность активировалась, нужно принять звонок от пользователя с уже работающими звонками.

 

Читать далее...

Пользователи Facebook смогут удалять уже отправленные сообщения

Представители крупнейшей социальной сети объявили о планах добавить в конце весны-летом 2018 года новую функцию — отмену отправленных сообщений. Это произошло сразу после того, как выяснилось то подобной привилегией обладал только Марк Цукерберг. Факт удаления старых сообщений руководителя Facebook возмутил общественность, но компания заявила, что подобная возможность будет у каждого пользователя. А до этого ни одно сообщение Цукерберга не будет удалено. Таким образом руководство социальной сети пытается успокоить пользователей, возмущенных преимуществом, которое сам себе выдал основатель FB.

Читать далее...

Slack дал админам групп больше прав просматривать чаты

Компания Slack изменила политику приватности своего мессенджера. Теперь администраторы групп могут скачивать всю переписку между членами команды, в том числе личные сообщения и приватны чаты. Более того, администратор может это делать без уведомления пользователей, которые даже не узнают о факте копирования переписки. Но для того, чтобы получить доступ к таким возможностям, администраторы понадобиться перейти с пятидолларового базового тарифа на Plus с $15 за каждого участника команды.

Читать далее...

Голосовой помощник Alexa не работал 12 часов из-за сбоя на серверах

Пользователи цифрового помощника Alexa испытали на себе как будет выглядеть интернет-апокалипсис, когда привыкшие к онлайн сервисам люди окажутся отрезанными от сети. Из-за серьезного сбоя на серверах компании Amazon миллионы пользователей лишились доступа к голосовому помощнику Алекса. Элегантная колонка замолчала и перестала реагировать на голосовые команды.

Читать далее...

Chrome теперь самостоятельно очищает интернет от назойливой рекламы

15 февраля в интернет-браузере Chrome активировалась встроенная система блокировки рекламы, разом сделав бесполезными множество расширений. Раньше пользователи защищались от атаки баннеров, шокирующих тизеров и назойливых всплывающих окон с помощью расширения AdBlock и его аналогов. Теперь в браузере Google есть встроенная фильтрация назойливой рекламы.

Читать далее...

Сорос обвиняет Google и Facebook в веб-тоталитаризме

На всемирном форуме в Давосе известный инвестор и миллиардер Джордж Сорос обрушился с критикой на интернет-гигантов, обвиним их в монополизме и угрозе сетевой демократии. Заодно известный предприниматель обозвал «типичным пузырем» биткоин. Впрочем, по мнению Сороса, биткоину не позволят лопнуть, так как его будут использовать сторонники построения авторитарного общества на базе современных технологий и интернета.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов