Microsoft ενδέχεται να μην είναι σε θέση να επιδιορθώσει μια ευπάθεια μηδενικής ημέρας σε μια παλαιότερη έκδοση του διακομιστή διαδικτυακών υπηρεσιών πληροφοριών που στόχευσαν οι εισβολείς τον Ιούλιο και τον Αύγουστο του προηγούμενου έτους. Το exploit επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα σε διακομιστές Windows που εκτελούν IIS 6.0 ενώ τα δικαιώματα χρήστη εκτελούν την εφαρμογή. Ένα αποδεικτικό πλεονέκτημα για την ευπάθεια στο IIS 6.0 είναι πλέον διαθέσιμο για προβολή στο GitHub και ενώ το IIS 6.0 δεν υποστηρίζεται πλέον, εξακολουθεί να χρησιμοποιείται ευρέως ακόμη και σήμερα. Η υποστήριξη για αυτήν την έκδοση των υπηρεσιών IIS σταμάτησε τον Ιούλιο του περασμένου έτους μαζί με την υποστήριξη για τον Windows Server 2003, το μητρικό προϊόν της.
Τα νέα εγείρουν ανησυχία στους επαγγελματίες της ασφάλειας, καθώς οι έρευνες διακομιστών ιστού δείχνουν ότι το IIS 6.0 εξακολουθεί να χρησιμοποιείται από εκατομμύρια δημόσιους ιστότοπους. Επίσης, είναι πιθανό ένας μεγάλος αριθμός εταιρειών να εξακολουθούν να χρησιμοποιούν διαδικτυακές εφαρμογές
Windows Server 2003 και IIS 6.0 εντός του οργανισμού τους. Οι επιτιθέμενοι θα μπορούσαν, επομένως, να χρησιμοποιήσουν το ελάττωμα για να εκτελέσουν πλευρικές κινήσεις εάν αποκτήσουν πρόσβαση σε εταιρικά δίκτυα.Πριν από τη δημοσίευσή του στο GitHub, λίγοι εισβολείς γνώριζαν την ευπάθεια - μέχρι πρόσφατα. Τώρα, υπάρχουν ενδείξεις ότι πολλοί επιτιθέμενοι έχουν πλέον πρόσβαση στο ασυγκράτητο ελάττωμα. Ο προμηθευτής ασφαλείας Trend Micro προσφέρει την ακόλουθη εξήγηση για την ευπάθεια:
Ένας απομακρυσμένος εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια στο IIS WebDAV Component με ένα κατασκευασμένο αίτημα χρησιμοποιώντας τη μέθοδο PROPFIND. Η επιτυχής εκμετάλλευση θα μπορούσε να οδηγήσει σε άρνηση υπηρεσίας ή σε αυθαίρετη εκτέλεση κώδικα στο πλαίσιο του χρήστη που εκτελεί την εφαρμογή. Σύμφωνα με τους ερευνητές που βρήκαν αυτό το ελάττωμα, αυτή η ευπάθεια εκμεταλλεύτηκε στη φύση τον Ιούλιο ή τον Αύγουστο του 2016. Αποκαλύφθηκε στο κοινό στις 27 Μαρτίου. Άλλοι παράγοντες απειλής βρίσκονται τώρα στα στάδια δημιουργίας κακόβουλου κώδικα βάσει του αρχικού κώδικα απόδειξης (PoC).
Η Trend Micro σημείωσε ότι το Web Distributed Authoring and Versioning (WebDAV) είναι μια επέκταση του τυπικού πρωτοκόλλου μεταφοράς υπερκειμένου που επιτρέπει στους χρήστες να δημιουργούν, να αλλάζουν και να μετακινούν έγγραφα σε έναν διακομιστή. Η επέκταση παρέχει υποστήριξη για διάφορες μεθόδους αιτήματος, όπως το PROPFIND. Η εταιρεία συνιστά να απενεργοποιήσετε την υπηρεσία WebDAV σε εγκαταστάσεις IIS 6.0 για να μετριάσετε το πρόβλημα.