Cyber News 研究人员发现，全球仍有超过200万台Web服务器仍在运行过时且易受攻击的Microsoft Internet Information Services软件版本。Microsoft不再支持这些旧版本，这使得数百万个Web服务器很容易成为威胁参与者和网络犯罪分子的目标。

Microsoft Internet Information Services (IIS)拥有12.4%的市场份额，是第三受欢迎的 Web服务器软件套件，用于为全球至少5160万个网站和Web应用程序提供支持。在安全性方面，大多数运行最新版本IIS的Web服务器通常都处于良好状态。

但是，并非所有版本的IIS都是一样的。

虽然Microsoft通过发布安全更新和漏洞修补程序来保持较新版本相对安全，但该公司不再支持7.5及以下的旧IIS版本。与其他类型的过时服务器软件一样，Microsoft IIS的所有旧版本都存在许多严重的安全漏洞。

这意味着在不受支持的IIS版本上运行的任何网站都可能成为网络犯罪分子有利可图的目标，让他们能够轻松渗透此类网站，向其中注入危险的恶意软件，并窃取访问者的数据，包括登录和支付信息。

Cyber News 对网上存在的Web服务器仍由已停产的Microsoft IIS版本提供支持情况进行调查。在调查前，研究人员确定了Microsoft 已停止使用的 IIS 的五个不同版本和子版本，并将它们与与这些版本相关的已知常见漏洞和暴露 (CVE) 进行匹配，同时在调查期间过滤了蜜罐。

200万台Microsoft IIS服务器容易受到威胁参与者的攻击

易受攻击的 IIS 服务器在线
在调查中发现，全球有7,335,868个运行旧版IIS的潜在易受攻击的Web服务器。

虽然这些服务器中有72%是被研究人员和安全团队用作诱饵的蜜罐，但实际仍有200万个实际运行在微软不再支持的危险软件上。

根据Cyber News安全研究员的说法，由于承载公共网站的网络服务器必须是公开可访问的，所以它们也在向所有人播放过时的IIS版本。

“这意味着，在明显易受攻击的软件上运行这些服务器，等于向威胁行为者发出了渗透其网络的邀请。”

DevelopIntelligence 的网络安全讲师认为，开放如此多的易受攻击的Web服务器使得威胁参与者进行侦察变得非常容易。意识到web服务器的漏洞后，威胁行动者可以迅速收集数据，找出攻击目标的最佳方式。

易受攻击的IIS网络服务器位置分布

易受攻击的服务器位置
调查显示，中国大陆是最易受攻击的服务器位置，有679941个暴露的实例运行IIS的旧版本。美国紧随其后，有581708台未受保护的服务器位于美国。

中国香港有203,786台易受攻击的IIS服务器，排在第三位，而韩国和德国分列前五，分别有54,981台和43,857台服务器。

根据ThreatX首席技术官的说法，由于它比Linux服务器更容易安装，并且存在软件盗版情况，因此维护程度不高，并且未及时进行升级处理。

最易受攻击的IIS版本

最易受攻击的 Microsoft IIS 版本
实际上，每个遗留版本的Microsoft IIS都容易受到至少5个已知漏洞的影响，其中大多数是严重的，相对容易被有经验的威胁参与者利用。

然而，根据itsecdb.com的数据，7.0版是微软IIS最脆弱的版本，有17个已知的漏洞。目前确定的有47620个在这个版本的IIS上运行的遗留web服务器。

140万台易受攻击的服务器运行IIS 7.5

易受攻击的服务器排名靠前的 IIS 版本
另一方面，在2020年1月14日被微软停止的7.5版本，似乎是目前最流行的由脆弱服务器运行的微软IIS版本，在数量级上使其他服务器相形见绌，在web上总共有1376,216个实例。

6.0版本相对落后，有167,870个易受攻击的web服务器，其中大部分位于中国。7.0版本是最容易受到攻击的版本，位居第三，有47620台暴露在外的服务器，其中47%位于美国。

IIS 7.5版本的流行可能是因为它最近才停止使用。oak9的安全工程师表示，升级到最新版本的软件需要时间和金钱，并不是每个人都愿意在某个版本使用结束时承担过渡的成本。打补丁需要花费时间来规划和测试补丁，还需要花钱，并且可能导致需要开发更改的应用程序行为更改。”“如果不清楚未打补丁软件的风险，许多开发人员就会认定打补丁的成本大于收益。”

一直保持软件更新很麻烦

对于有网络安全意识的人来说，更新软件并非一件难事，但对于身负多个职责的Web开发人员来说，维护软件很可能在他们优先级列表中排名较低的位置。开发人员更多专注于新功能，而非现有应用程序及其维护。

但其实维护软件安全，是提前为公司在未来获得更多收入做好铺垫。不难想象，当公司因为软件安全漏洞遭到网络攻击时，将会多么狼狈。

因此维护软件安全应是团队首要处理的一部分，开发人员应和系统安全人员携手合作。

保护网络安全本身应该是整个团队的协作，开发人员不能只管把代码扔给安全团队，然后指望他们解决剩下的问题。对于网络开发人员来说，要有一份软件材料清单，清晰了解都在用什么，有哪些依赖项和代码库，随着时间推移有哪些需要修复的安全漏洞。

同时，安全应该置入应用程序的完整生命周期当中，包括IT管理、应用程序补丁，利用静态代码检测工具实行编码修复，查找安全漏洞等，从一开始就将安全问题考虑到开发成本、预算和财务开销当中。

参读链接：

https://cybernews.com/security/millions-of-microsoft-web-servers-powered-by-vulnerable-legacy-software/

[课程]Android-CTF解题方法汇总！