Microsoft möglicherweise nicht in der Lage, eine Zero-Day-Sicherheitslücke in einer älteren Version des Internet-Informationsdienste-Webservers zu schließen, auf die Angreifer im Juli und August letzten Jahres abzielten. Der Exploit ermöglicht es Angreifern, schädlichen Code auf Windows-Servern auszuführen, auf denen IIS 6.0 ausgeführt wird, während Benutzerrechte die Anwendung ausführen. Ein Proof-of-Concept-Exploit für die Schwachstelle in IIS 6.0 ist jetzt auf GitHub verfügbar und obwohl IIS 6.0 nicht mehr unterstützt wird, ist es auch heute noch weit verbreitet. Die Unterstützung für diese Version von IIS wurde im Juli letzten Jahres zusammen mit der Unterstützung für das übergeordnete Produkt Windows Server 2003 eingestellt.
Die Nachricht löst bei Sicherheitsexperten Besorgnis aus, da Umfragen zu Webservern ergeben, dass IIS 6.0 immer noch von Millionen öffentlicher Websites verwendet wird. Es ist auch möglich, dass eine große Anzahl von Unternehmen noch Webanwendungen auf Windows Server 2003
und IIS 6.0 innerhalb ihrer Organisation. Angreifer könnten die Schwachstelle also für seitliche Bewegungen nutzen, wenn sie sich Zugang zu Unternehmensnetzwerken verschaffen.Vor der Veröffentlichung auf GitHub war die Schwachstelle nur wenigen Angreifern bekannt – bis vor kurzem. Nun gibt es Hinweise darauf, dass viele Angreifer nun Zugriff auf den ungepatchten Fehler haben. Der Sicherheitsanbieter Trend Micro bietet die folgende Erklärung für die Schwachstelle:
Ein Remote-Angreifer kann diese Sicherheitsanfälligkeit in der IIS-WebDAV-Komponente mit einer gestalteten Anfrage mithilfe der PROPFIND-Methode ausnutzen. Eine erfolgreiche Ausnutzung kann zu einer Denial-of-Service-Bedingung oder zur Ausführung willkürlichen Codes im Kontext des Benutzers führen, der die Anwendung ausführt. Laut den Forschern, die diesen Fehler gefunden haben, wurde diese Sicherheitsanfälligkeit im Juli oder August 2016 in freier Wildbahn ausgenutzt. Es wurde am 27. März der Öffentlichkeit bekannt gegeben. Andere Bedrohungsakteure sind derzeit dabei, bösartigen Code basierend auf dem ursprünglichen Proof-of-Concept-Code (PoC) zu erstellen.
Trend Micro stellte fest, dass Web Distributed Authoring and Versioning (WebDAV) eine Erweiterung des standardmäßigen Hypertext Transfer Protocol ist, mit der Benutzer Dokumente auf einem Server erstellen, ändern und verschieben können. Die Erweiterung bietet Unterstützung für mehrere Anforderungsmethoden wie PROPFIND. Das Unternehmen empfiehlt, den WebDAV-Dienst bei IIS 6.0-Installationen zu deaktivieren, um das Problem zu beheben.
