IIS零日攻击拉响警报 微软能否及时响应成疑

网络安全机构US-CERT（the U.S. Computer Emergency Readiness Team，美国计算机应急响应小组）日前发出警告称针对微软IIS 5.0和6.0中FTP模块的零日漏洞的概念证明代码（proof-of-concept code）已经在网络上现身。

“我们注意到有一个漏洞被公开，主要目标是攻击微软Internet信息服务（IIS）中的FTP服务，”US-CERT的发言人表示，“这个漏洞会让远程攻击者有可能获得对系统的控制权并且执行任意代码。”

根据报道，该漏洞的攻击代码被公布在黑客组织Milw0rm网站，目前看来这个漏洞似乎主要影响旧版本的IIS，而且只有当FTP功能启用的时候才会起作用。因此US-CERT建议IT管理员暂时“禁用IIS FTP服务器的匿名写入权限，作为风险缓解措施”，但他们又补充说“应在采取防御措施之前进行适当的影响性分析

这个漏洞的风险细节以及影响程度目前尚不清楚，赛门铁克的研究人员并没有立即发表评论，他们仍在对这个漏洞的概念证明代码进行分析。

而据微软表示，他们已经开始研究公布的漏洞并且准备提供合理的保护措施。“目前还没有发现任何试图利用该漏洞发起的攻击或对客户造成任何影响，”微软发言人在电子邮件中声明。微软表示一旦漏洞被确认，将采取一切可能的步骤保护客户。

微软通常会在每月的第二个星期二发布微软安全公告。下一次的微软安全公告将在9月8日公布，所以按惯例微软会在本周四发布下周二安全公告的初步信息。因此我们可以观察一下，看看微软是否还有足够的时间在九月份的常规补丁中解决这个漏洞。