計算機安全巨頭賽門鐵克公司的研究人員昨天證實,1月6日公布的攻擊代碼可以削弱Web服務器運行微軟的ASP網絡發表概念證明型攻擊。
其它安全專家並不感到意外,沖出了一個補丁,攻擊代碼出現在微軟的日子GitHub上周五,一個網站,主機軟件項目,並已被黑客在過去分發他們的工作。其軟件的拒絕服務漏洞。“沒有,並不奇怪,”安德魯風暴nCircle公司安全主任,安全操作,在接受記者采訪時說星期二。 “有足夠的興趣[在研究人員的原始演示文稿,我們應該有預期的攻擊代碼很快。”風暴的介紹是由德國研究人員亞歷山大克林克和朱利安Walde在12月28日在柏林,那裡,他們表現出了網絡上最流行的應用程序和網站編程語言,包括微軟的ASP。淨,在開放源碼的PHP和紅寶石,Oracle的Java和谷歌的V8引擎的JavaScript的一個漏洞混沌通信大會(CCC認證)會議。
據克林克和Walde,攻擊者可能削弱使用單一現成的現成PC和低帶寬連接到互聯網進行拒絕服務攻擊Web服務器。在一份安全公告發布的同一天,微軟承諾在ASP中的漏洞補丁。NET,然後,“2011年12月29日第一次”出帶外更新。於一月6,確定為“HybrisDisaster”的人的攻擊代碼在GitHub上發表的克林克Walde演示和攻擊代碼的出現之間的時間間隔僅9天,八天之後,微軟發布了其緊急補丁“他們的介紹很不錯,並說明該漏洞和如何很好地利用它,說:”沃爾夫岡Kandek,在Qualys的首席技術官。風暴一樣,Kandek是不是目瞪口呆的是利用代碼出現如此之快http://.。 “[攻擊]真的有一個非常簡單的機制,”Kandek補充說,“沒有,所以實際上,我並不感到驚訝。”
證明的概念,這實際上是一個巨大的文本文件,可以簡單地被發送到一個脆弱的Web服務器癱瘓,托德比爾茲利,在Rapid7研究員,公司,生產流行的Metasploit滲透測試工具包。
賽門鐵克公布新的針對windows Web服務器的攻擊代碼.