微軟IIS 6.0舊漏洞再被用來挖礦

安全研究人員發現一個被揭露1年多的微軟Internet Information Services (IIS) 6.0舊漏洞，再度成為駭客用以挖礦的目標。

F5研究人員最近發現，微軟編號CVE–2017–7269的漏洞被駭客團隊開採來挖Electroneum幣。去年3月，這項漏洞首度被揭露，同年11月安全公司ESET則發現有駭客組織Lazarus散佈惡意程式來挖Monero幣。一般相信Lazarus背後獲得北韓政府資助。

IIS 6.0主要是Windows Server 2003的服務，微軟在2016年正式終止對Server 2003的所有支援，可以說成了軟體孤兒。

最新的攻擊中，駭客使用名為Squiblydoo的手法，為躲避軟體白名單過濾，利用合法的Microsoft binary程式regsvr32.exe，下載並執行包含VBScript指令行的XML檔案。其中的執行檔，為32-bit的採礦程式XMRing，等它成功進入IIS伺服器後，駭客就利用多個礦池來挖Electroneum幣。

研究顯示，惡意程式來源為中國聯通位於北京的某台伺服器，鎖定中國及美國的Windows IIS伺服器下手。根據發現的錢包顯示目前駭客得手的金額不高，只有99美元，研究人員認為這若不是因為駭客不定期變更錢包位址，就是可用的IIS 6.0伺服器還不夠多。

但研究人員仍然指出，這波攻擊還是顯示有許多系統未修補這個已宣佈EOL（End of Life，產品生命周期終止）的作業系統上、揭露已經一年的漏洞，因此建議最好抛棄已經EOL的作業系統，否則就不要讓這些系統連上公開網路。