Более 511 тысяч устаревших серверов Microsoft IIS всё ещё доступны из интернета. Почему это проблема

В интернете по-прежнему остаётся огромное число публично доступных экземпляров Microsoft IIS, которые уже вышли из основного жизненного цикла поддержки. По данным Cyber Security News со ссылкой на Shadowserver, в ежедневных сканированиях на 23 марта 2026 года замечено более 511 тысяч End-of-Life-экземпляров IIS, а более 227 тысяч из них уже находятся даже за пределами периода обновлений безопасности Extended Security Updates (ESU). Это значит, что для значительной части таких систем новые исправления безопасности уже не выйдут вообще.

Microsoft прямо указывает, что Internet Information Services (IIS) — это компонент Windows, и его сроки поддержки зависят от жизненного цикла соответствующей версии Windows Server. В официальной таблице Microsoft Lifecycle видно, что:

• IIS 8.5 на Windows Server 2012 R2 поддерживался до 10 октября 2023 года;

• IIS 8 на Windows Server 2012 поддерживался до 10 октября 2023 года;

• IIS 7.5 на Windows Server 2008 R2 — до 14 января 2020 года;

• IIS 7.0 на Windows Server 2008 — до 14 января 2020 года;

• IIS 6.0 на Windows Server 2003 — до 14 июля 2015 года.

Microsoft также отдельно пишет, что расширенная поддержка Windows Server 2012 и 2012 R2 закончилась 10 октября 2023 года, а программа ESU для этих систем может продлить получение критических и важных обновлений безопасности до 13 октября 2026 года. После завершения ESU обновления прекращаются.

Публично доступный IIS — это внешний периметр. Если сервер старый и больше не получает патчи, он становится удобной точкой входа. Shadowserver действительно ведёт Vulnerable HTTP Report, где отмечает интернет-доступные HTTP-хосты с признаками известных проблем и уязвимых конфигураций.

Практические последствия:

• известные уязвимости в старых сборках уже давно описаны и автоматизированы;

• внешние сканеры постоянно ищут именно такие хосты;

• уязвимый веб-сервер часто становится первой точкой компрометации;

• после взлома атакующие могут закрепиться, украсть данные или использовать сервер как плацдарм для движения внутрь сети.

CISA в феврале 2026 года отдельно выпустило директиву для федеральных агентств США по снижению риска от end-of-support edge devices, то есть граничных устройств и систем, которые больше не поддерживаются вендором. Это не документ именно про IIS, но он хорошо показывает общий подход: неподдерживаемые внешние системы рассматриваются как постоянный и серьёзный источник риска.

Что делать администраторам

Базовый список действий здесь вполне приземлённый:

1. Провести инвентаризацию внешних HTTP/HTTPS-узлов.

2. Найти все IIS на Windows Server 2012/2012 R2 и старше.

3. Проверить, есть ли ESU и до какого срока они действуют.

4. Планировать миграцию на поддерживаемые версии Windows Server и IIS.

5. Если немедленная миграция невозможна — максимально ограничить доступ, поставить WAF, сократить экспозицию в интернет и проверить серверы на признаки компрометации.

Проблема старых IIS-серверов — это не только технический долг. Очень часто на них продолжают жить:

• старые корпоративные порталы;

• внутренние кабинеты, случайно «торчащие» наружу;

• легаси-приложения для клиентов и партнёров;

• промежуточные веб-сервисы, о которых уже почти забыли.

Такие системы редко считаются критичными, но на практике часто оказываются связаны с доменной инфраструктурой, базами данных и внутренними API. Поэтому компрометация старого веб-сервера может быстро превратиться в полноценный инцидент. Это и есть главный смысл подобных предупреждений.