【风险通告】Microsoft IIS Web 服务器风险分析

0x00 风险概述

2021年9月9日，CyberNews 研究人员发现，全球有超过 200 万台 Web 服务器仍在运行过时且易受攻击的 Microsoft InternetInformation Services（IIS）软件版本。Microsoft现在已经不再支持这些旧版本，这导致数百万个 Web 服务器很容易成为恶意攻击者和网络犯罪分子的目标。

0x01 攻击详情

Microsoft IIS是非常受欢迎的 Web 服务器软件套件，在全球拥有12.4%的市场份额，它们至少为全球 5160 万个网站和 Web 应用程序提供支持。

虽然 Microsoft 通过发布安全更新和漏洞修补程序来保持较新版本的安全，但其已经不再支持 7.5 及以下的旧版 IIS ，而这些旧版IIS都存在许多严重的安全漏洞。恶意攻击者可以利用这些漏洞轻松渗透网站，向其中注入恶意软件，并窃取访问者的数据，包括登录和支付信息等。

200 万个 Microsoft IIS 服务器容易受到攻击

研究人员选取了Microsoft 已不再支持的 IIS 的五个不同版本和子版本，并将它们与这些版本相关的已知漏洞的CVE 进行匹配，通过使用 IoT 搜索引擎查找易受已知 CVE 影响且未打补丁的开放的 IIS Web 服务器。研究人员总共发现了全球 7,335,868 个运行旧版 IIS 的Web 服务器容易受到攻击，但其中有72%是研究人员用作诱饵的蜜罐，过滤蜜罐后，研究人员确定了200 万个 Microsoft IIS 服务器容易受到攻击。

图1.易受攻击的IIS Web服务器数量

中国易受攻击的 IIS Web 服务器最多

调查显示，中国易受到攻击的 IIS Web 服务器最多，有 679,941 个运行旧版 IIS 的暴露实例；其次是美国，有581,708 台未受到保护的服务器；韩国和德国分别以 54,981 台和 43,857 台服务器位列前五。

据研究人员表示，中国易受攻击的IIS Web服务器数量居首位的原因可能是因为IIS Web服务器比 Linux 服务器更容易安装，或者出于对盗版软件的松懈态度，以及不知道如何维护或升级服务器。

最易受攻击的 IIS 版本

研究人员表示，Microsoft IIS 的每个旧版本都至少容易受到五个已知漏洞的影响，其中大多数是严重的漏洞，并且容易被经验丰富的攻击者利用。其中，最易受攻击的 IIS 版本为Microsoft IIS 7.0，它容易受到 17 个已知漏洞的影响。

图2.最易受攻击的IIS版本

140 万台易受攻击的服务器运行 IIS 7.5

根据研究，微软于 2020 年 1 月 14 日起不再支持的IIS 7.5 似乎是最受欢迎的版本，可能是因为它是最近才停止使用的版本，全网共有1,376,216个实例。

IIS6.0版本相对少一些，有167,870个易受攻击（存在漏洞）的web服务器，其中大部分位于中国。IIS 7.0是最易受攻击的版本，排在第三位，有47,620台暴露在外的服务器，其中47%位于美国。

图3.使用旧版IIS的易受攻击的服务器数量Top3

存在大量易受攻击的服务器的原因可能是，升级到最新版本的软件需要时间和金钱，而且并不是所有人都愿意在某个版本的生命周期结束时承担转换成本。此外，修复程序需要时间来规划和测试补丁，需要投入资金，并可能导致应用程序行为的改变，这就需要改变开发。

研究人员认为，Web 开发人员在进行规划时还应该考虑应用程序的整个生命周期，他们应该维护提供服务的系统的完整清单，并为其在生命周期内的维护制定计划。这包括像IT管理、修复应用程序、执行更新和编码修复等领域，直到停止服务。服务提供者应该从一开始就把这个因素纳入其开发成本、预算和财务开销，因为在很多时候，预算只被投入到新的开发上。