CVE-2017-7269

Суть уязвимости

Уязвимость — переполнение буфера в обработчике WebDAV (scauth.dll) в IIS 6.0. Атакующий отправляет специально сформированный HTTP-запрос PROPFIND с очень длинным заголовком If: <http://, что позволяет выполнить произвольный код на сервере с правами учетной записи рабочего процесса IIS (обычно Network Service).

Как исправить

Установите официальный патч от Microsoft. Для Windows Server 2003 R2 (включая x64 Edition) это обновление: * Номер бюллетеня безопасности: MS17-016 * Номер обновления: KB3205409

Порядок действий: 1. Скачайте обновление вручную из Каталога Центра обновления Майкрософт. 2. Установите его на сервер. 3. Перезагрузите сервер.

Проверка установки:

# Запустите из командной строки (cmd)
wmic qfe list | find "3205409"

Если обновление установлено, команда вернет строку с его номером.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

1. Отключите WebDAV (если он не используется):

   • Откройте Диспетчер IIS.
   • Выберите веб-сайт.
   • В разделе Модули IIS найдите WebDAV.
   • Щелкните правой кнопкой мыши и выберите Удалить.

2. Заблокируйте запросы PROPFIND на уровне брандмауэра или WAF:

   • В WAF (например, ModSecurity): Добавьте правило для блокировки запросов с методом PROPFIND. bash SecRule REQUEST_METHOD "^PROPFIND$" "id:1001,deny,status:405,msg:'Block PROPFIND method'"
   • В брандмауэре (например, через групповую политику): Ограничьте входящий доступ к портам 80/TCP и 443/TCP только для доверенных IP-адресов, если это допустимо.

3. Используйте фильтрацию URL-адресов (URLScan):

   • Установите и настройте инструмент URLScan, запретив запросы, содержащие в заголовке подстроку If: <http://.