Microsoft muligvis ikke i stand til at rette en nul-dags sårbarhed i en ældre version af sin Internet Information Services-webserver, som angribere målrettede mod juli og august sidste år. Udnyttelsen lader angribere udføre ondsindet kode på Windows-servere, der kører IIS 6.0, mens brugerrettigheder kører applikationen. En proof-of-concept-udnyttelse af sårbarheden i IIS 6.0 er nu tilgængelig til visning på GitHub, og mens IIS 6.0 ikke længere understøttes, bruges den stadig meget i dag. Support til denne version af IIS stoppede i juli sidste år sammen med support til Windows Server 2003, dets overordnede produkt.
Nyhederne vækker bekymring blandt sikkerhedsprofessionelle, da webserverundersøgelser indikerer, at IIS 6.0 stadig bruges af millioner af offentlige websteder. Det er også muligt, at et stort antal virksomheder stadig kan køre webapplikationer på Windows Server 2003 og IIS 6.0 inde i deres organisation. Angribere kunne derfor bruge fejlen til at udføre laterale bevægelser, hvis de får adgang til virksomhedsnetværk.
Før offentliggørelsen på GitHub var kun få angribere opmærksomme på sårbarheden - indtil for nylig. Nu er der bevis for, at mange angribere nu har adgang til den upatchede fejl. Sikkerhedsleverandør Trend Micro tilbyder følgende forklaring på sårbarheden:
En fjernangriber kunne udnytte denne sårbarhed i IIS WebDAV-komponenten med en udformet anmodning ved hjælp af PROPFIND-metoden. Vellykket udnyttelse kan resultere i benægtelse af servicetilstand eller udførelse af vilkårlig kode i forbindelse med, at brugeren kører applikationen. Ifølge forskerne, der fandt denne fejl, blev denne sårbarhed udnyttet i naturen i juli eller august 2016. Det blev offentliggjort den 27. marts. Andre trusselsaktører er nu i fasen med at oprette ondsindet kode baseret på den originale PoC-kode (proof-of-concept).
Trend Micro bemærkede, at WebDAV (Web Distributed Authoring and Versioning) er en udvidelse af standard Hypertext Transfer Protocol, der giver brugerne mulighed for at oprette, ændre og flytte dokumenter på en server. Udvidelsen understøtter flere anmodningsmetoder såsom PROPFIND. Virksomheden anbefaler, at WebDAV-tjenesten deaktiveres på IIS 6.0-installationer for at hjælpe med at mindske problemet.
