Уязвимость в старом веб-сервере от Microsoft создала угрозу множеству сайтов

02 апреля 2017 21:34


Популярный, но уже не поддерживаемый разработчиками Microsoft Internet Information Services 6.0 по-прежнему широко используется для обеспечения работы миллионов сайтов. Хотя компания Microsoft прекратила поддерживать данный веб-сервер как и Windows Server 2003 еще два года назад, многие организации не стали обновляться и оставили свои веб-ресурсы работать на этом движке. Хотя можно понять нежелание переезжать на новый сервер (или покупать его) из-за отсутствия знаний или собственного администратора, теперь все это множество Интернет-ресурсов оказалось под угрозой взлома.

В Microsoft IIS 6 осталось не устранена уязвимость переполнения буфера в функции ScStoragePathFromUrl сервиса IIS 6 WebDAV. Это позволяет злоумышленникам формировать специальный запрос PROPFIND и менять содержимое сервера без ведома его владельцев. Web Distributed Authoring and Versioning (WebDAV) является расширением стандартного протокола HTTP, и дает возможность создавать, вносить изменения или перемещать документы в папках веб-сервера.

Миллионы сайтов находятся под угрозой из-за уязвимости в Microsoft IIS 6

Сама Microsoft выпускать заплатки для этой уязвимости не будет поэтому у владельцев сайтов, работающих на IIS 6 есть два выхода — отключить службу WebDAV или воспользоваться неофициальным патчем от стороннего разработчика — компании ACROS Security. Хотя разумнее всего было бы перенести веб-ресурсы на современные версии Windows Server и Microsoft IIS. Есть обоснованные предположения, что часть хакеров знали об этой уязвимости и могли ее эксплуатировать для своих целей с июля прошлого года. А теперь, когда на портале GitHub опубликовали эксплоит, использующий данную дыру в веб-сервере, владельцы сайтов оказались в гораздо большей опасности.

А таких веб ресурсов очень много. По данным, представленным аналитиками из Minecraft , по состоянию на март 2017 года, Microsoft IIS 6 эксплуатирвоался более чем на 300 000 серверов, на которых работали примерно 185 миллионов сайтов. Кроме этого, связка Windows Server 2003 и IIS 6 активно используется в компаниях для внутренних целей, а значит, внутри корпоративных сетей также есть неопределенное количество уязвимых серверов.  





Обсудить материал (0)


Предыдущая статья

Выпущена окончательная версия Microsoft Teams



Мессенджер Flock представил механизм простой миграции со Slack

Появившийся всего пару лет назад корпоративный мессенджер Flock активно наступает на позиции более дорого (и менее функционального в бесплатной версии) конкурента Slack. В этом году в Flock добавлена поддержка русского языка и он оказался единственным корпоративным продуктом в котором предусмотрена русская локализация. Теперь команда разработчиков Flock выпустила важный инструмент в конкурентной борьбе — возможность беспроблемной миграции команд со Slack.

 

Читать далее...

Facebook продолжает борьбу за чистоту новостной ленты

Представители крупнейшей социальной сети сообщили об изменениях в формировании ленты новостей. Цель нововведений — улучшение качество материала, определение заголовков-приманок и удаление из ленты спама, фальшивых сенсаций. Программное обеспечение Facebook при отборе публикаций в новости будет анализировать материал и заголовок по двум дополнительным параметрам: если признаки того, что заголовок преувеличивает значимость информации или наоборот, скрывает ее. По словам инженеров соцсети. Они стремятся к точному определению спамных заголовков, нацеленных только на то, чтобы завлечь посетителя, заставить его кликнуть по сообщению.

 

Читать далее...

Интернет-провайдеры США устали бороться с пользователями-пиратами и сдались первыми

Шесть лет назад AT&T, Cablevision, Verizon, Time Warner и Comcast и другие интернет-провайдеры США совместно с MPAA, защищающей интересы кинокомпаний и RIAA, представляющей звукозаписывающие компании начали проект по борьбе распространением нелегального контента и пиратских копий музыки и видео посредством торрент-трекеров. Система предупреждения о нарушении авторских прав «Copyright Alert System» отслеживала факт загрузки пиратских копий определенным пользователем и отправляла ему предупреждение. Если абонент игнорировал эти сообщения, то после шестого предупреждения провайдер мог включить перенаправление некоторых запросов пользователя на специальный сайт или снизить скорость доступа в глобальную сеть.

 

Читать далее...

Выпущена окончательная версия Microsoft Teams

После завершения тестирования Microsoft выпустила итоговую версию корпоративного интернет-мессенджера Microsoft Teams. В Нью-Йорке прошла презентация, на которой показано демонстрационное видео типичной ситуации использования нового продукта для организации эффективной работы. Это групповой чат для сотрудников и руководства с тесной интеграцией с офисными приложениями будет бесплатно включен в состав корпоративных версий Office 365. Все привыкли считать стандартом интернет-звонков и чатов Skype, но Slack был более подходящим для тех случаев, когда нужно проводить совещания, конференции с заказчиками и совместно решать деловые вопросы внутри компаний. Теперь софтверный гигант решил и в этой сфере обогнать конкурентов с помощью Microsoft Teams.

 

Читать далее...

CDN CloudFlare допустила утечку данных ее клиентов

Крупнейшая сеть доставки контента CloudFlare, специализирующаяся на ускорении загрузки сайтов и защите от DDoS атак объявила об обнаружении и устранении серьезной уязвимости в системе безопасности. Результатом этой дыры стала утечка данных клиентов, подключивших свои сайты к одной из услуг CloudFlare. Особенностью данной проблемы является то, что пострадали очень крупные сайты, так как небольшим ресурсам услуги CDN CloudFlare как правило недоступны. В список ресурсов, оказавшихся в опасности (но с неподтвержденной компрометацией данных) вошли такие сайты как uber.com, yelp.com, glassdoor.com, 1password.com, upwork.com, namecheap.com, 4pda.ru и еще более 1200 сайтов входящих в TOP 10000 Alexa.

 

Читать далее...

Теперь ФБР будет иметь доступ ко всей информации Google, даже по иностранцам

Крупнейшие компании в сфере ИТ  давно и активно сопротивляются попыткам американских и других властей получать доступ к любой, интересующей их приватной информации. На этот раз в столкновение Google и ФБР вмешался мировой судья Томас Райтер из Филадельфии. Своим решением судья обязал Google предавать по запросам ФБР содержимое электронной почты и другую информацию, даже если она хранится за пределами США. Данный спор возник в рамках расследования мошенничества, которое ведет ФБР. По мнению судьи, хотя данное решение и создает  возможность вмешательства в частную жизнь, нарушение прав владельца учётной записи  не является серьезным и раскрытие преступления важнее. 

 

Читать далее...

Защищенная почта PronotMail теперь открыла специализированный сайт в сети Tor

Почтовый сервис PronotMail, специализирующийся на предоставлении услуг защищенной от перехвата электронной почты, создал отдельный сайт для доступа через анонимную сеть Tor. «Луковичный» портал должен помочь пользователям ПротонМейл обходить блокировки, устанавливаемые в интернет провайдерами по указаниям властей и поможет защититься от цензуры. Швейцарская компания Proton Technologies создала сайт protonirockerxow.onion, который поможет двум миллионам пользователей почтового сервиса обходить государственную цензуру и ограничения. 

 

Читать далее...

Amazon намерена получить патент на склады-дирижабли

Американский лидер интернет-торговли, компания Amazon уже удивляла публику своими высокотехнологичными инициативами, например доставку посылок с помощью беспилотных летательных аппаратов. Однако интернет-гигант намерен и дальше совершенствовать логистику и методы быстрой доставки покупок своим пользователям. Подтверждением этому стала новая заявка на патент, поданная Amazon. Американская компания намерена создать AFC «воздухоплавательные центры исполнения заказов», то есть, огромные летающие склады, размещенные в дирижаблях. 

 

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов