【51CTO.com快譯自9月2日外電頭條】網(wǎng)絡安全機構(gòu)US-CERT（the U.S. Computer Emergency Readiness Team，美國計算機應急響應小組）日前發(fā)出警告稱針對微軟IIS 5.0和6.0中FTP模塊的零日漏洞的概念證明代碼（proof-of-concept code）已經(jīng)在網(wǎng)絡上現(xiàn)身。

“我們注意到有一個漏洞被公開，主要目標是攻擊微軟Internet信息服務（IIS）中的FTP服務，”US-CERT的發(fā)言人表示，“這個漏洞會讓遠程攻擊者有可能獲得對系統(tǒng)的控制權(quán)并且執(zhí)行任意代碼。”

根據(jù)報道，該漏洞的攻擊代碼被公布在黑客組織Milw0rm網(wǎng)站，目前看來這個漏洞似乎主要影響舊版本的IIS，而且只有當FTP功能啟用的時候才會起作用。因此US-CERT建議IT管理員暫時“禁用IIS FTP服務器的匿名寫入權(quán)限，作為風險緩解措施”，但他們又補充說“應在采取防御措施之前進行適當?shù)挠绊懶苑治??！薄?1CTO.com編輯提醒：IIS5.0在缺省設置下是開啟FTP功能的，IIS6.0得手動選擇，不過很多管理員為了工作方便也會把自帶的FTP打開傳文件。因此51CTO編輯建議，在補丁沒有發(fā)布之前請立即關(guān)閉匿名FTP功能以降低安全風險?！?/P>

這個漏洞的風險細節(jié)以及影響程度目前尚不清楚，賽門鐵克的研究人員并沒有立即發(fā)表評論，他們?nèi)栽趯@個漏洞的概念證明代碼進行分析。

而據(jù)微軟表示，他們已經(jīng)開始研究公布的漏洞并且準備提供合理的保護措施?！澳壳斑€沒有發(fā)現(xiàn)任何試圖利用該漏洞發(fā)起的攻擊或?qū)蛻粼斐扇魏斡绊?，”微軟發(fā)言人在電子郵件中聲明。微軟表示一旦漏洞被確認，將采取一切可能的步驟保護客戶。

微軟通常會在每月的第二個星期二發(fā)布微軟安全公告。下一次的微軟安全公告將在9月8日公布，所以按慣例微軟會在本周四發(fā)布下周二安全公告的初步信息。因此我們可以觀察一下，看看微軟是否還有足夠的時間在九月份的常規(guī)補丁中解決這個漏洞。

【編輯推薦】

1. IIS驚現(xiàn)0day 服務器匿名FTP應立即關(guān)閉
2. 攻擊悄然來臨 該如何保障IIS安全
3. 保護IIS Web服務器的15個技巧
4. IIS常見攻擊漏洞及技巧大全

【51CTO.com譯稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com，且不得修改原文內(nèi)容?！?

原文：Microsoft IIS Zero-Day Vulnerability Reported作者：Thomas Claburn