微软XP/Vista系统IIS漏洞临时解决办法

　　今天在milw0rm看到一个新0day漏洞攻击代码——Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit。这个代码是昨天由kcope发布的，据他说这个代码仅对微软10年前的Windows 2000操作系统有效，这个操作系统采用老版本的IIS 5.0服务器软件。但安全专家称，这种攻击要获得成功还需要黑客在这个服务器上创建一个目录。 但证实其它版本的IIS软件也有风险，微软比较新的操作系统有缓解这种风险的功能。

　　微软周一表示，它们已经针对流传在外部的某些版本的Internet信息服务(IIS)产品缺陷的报告进行调查，据称该缺陷可以让攻击者控制整个系统。

　　在一份声明中，微软一名代表表示公司正在调查在IIS 5和IIS 6中可能出现的FTP协议中带来的脆弱环节，并采取步骤保护自己的客户，但首先需要确认这一问题是否属实。

　　据IDG新闻服务薄到，这一漏洞仅仅影响旧版IIS，并且仅仅是开了FTP状况下才会受到威胁，而微软的FTP服务至今为止几乎没有出现过漏洞。

　　一旦调查完成，漏洞属实，微软将有可能迅速在下周的Patch Tuesday（周二补丁日）公布补丁。

漏洞描述

　　Microsoft IIS的FTP服务程序在解析目录名时存在缓冲区溢出漏洞，远程攻击者通过提交包含特殊命名目录的FTP NLST (NAME LIST)命令请求，以触发基于栈的缓冲区溢出，导致攻击者可以以应用程序权限执行任意指令，攻击者还可使用攻击代码在服务器上安装未经许可的软件。

　　这个安全漏洞存在于IIS用于在互联网上传送大型文件的文件传输协议(FTP)软件中，因此，受攻击者必须要启用FTP协议才能受到这种攻击。

　　目前已经有利用该漏洞的攻击程序出现，由于攻击者需要FTP配置匿名帐户写权限或拥有其他合法帐户信息来建立特殊命名的目录，因此可以暂时禁用匿名FTP写访问权限，以缓解该漏洞对用户的影响。

受影响软件

　　Microsoft IIS 6.0
　　Microsoft IIS 5.0

攻击代码

　　Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit (win2k)

　　Microsoft IIS 5.0 FTP Server Remote Stack Overflow Exploit (win2k sp4)

　　点击下载PDF文档：http://archives.neohapsis.com/archives/fulldisclosure/2009-08/att-0444/isowarez.pdf

临时解决方法

　　1、关闭FTP服务器的写权限，禁止目录下写创建文件及目录。
　　2、由于漏洞利用需要匿名用户或者获得FTP账号，推荐所有匿名FTP服务器临时性打开账号验证策略。
　　3、更为严格的环境下推荐设定可授权的IP来连接FTP服务器。