Microsoft es posible que no pueda reparar una vulnerabilidad de día cero en una versión anterior de su servidor web de Internet Information Services que los atacantes atacaron en julio y agosto del año pasado. El exploit permite a los atacantes ejecutar código malicioso en servidores Windows que ejecutan IIS 6.0 mientras que los privilegios de usuario ejecutan la aplicación. Un exploit de prueba de concepto para la vulnerabilidad en IIS 6.0 ahora está disponible para ver en GitHub y, aunque IIS 6.0 ya no es compatible, sigue siendo ampliamente utilizado incluso en la actualidad. La compatibilidad con esta versión de IIS se detuvo en julio del año pasado junto con la compatibilidad con Windows Server 2003, su producto principal.
La noticia genera preocupación entre los profesionales de la seguridad, ya que las encuestas de servidores web indican que millones de sitios web públicos todavía utilizan IIS 6.0. Además, es posible que un gran número de empresas aún ejecuten aplicaciones web en
Windows Server 2003 e IIS 6.0 dentro de su organización. Los atacantes podrían, por lo tanto, utilizar la falla para realizar movimientos laterales si obtienen acceso a las redes corporativas.Antes de su publicación en GitHub, solo unos pocos atacantes conocían la vulnerabilidad, hasta hace poco. Ahora, hay evidencia de que muchos atacantes ahora tienen acceso a la falla sin parchear. El proveedor de seguridad Trend Micro ofrece la siguiente explicación de la vulnerabilidad:
Un atacante remoto podría aprovechar esta vulnerabilidad en el componente IIS WebDAV con una solicitud diseñada mediante el método PROPFIND. La explotación exitosa podría resultar en una condición de denegación de servicio o la ejecución de código arbitrario en el contexto del usuario que ejecuta la aplicación. Según los investigadores que encontraron esta falla, esta vulnerabilidad fue explotada en estado salvaje en julio o agosto de 2016. Se dio a conocer al público el 27 de marzo. Otros actores de amenazas se encuentran ahora en las etapas de creación de código malicioso basado en el código de prueba de concepto (PoC) original.
Trend Micro señaló que Web Distributed Authoring and Versioning (WebDAV) es una extensión del Protocolo de transferencia de hipertexto estándar que permite a los usuarios crear, cambiar y mover documentos en un servidor. La extensión proporciona soporte para varios métodos de solicitud como PROPFIND. La compañía recomienda deshabilitar el servicio WebDAV en instalaciones de IIS 6.0 para ayudar a mitigar el problema.
