Microsoft ei pruugi oma Interneti-teenuse veebiserveri vanemas versioonis, mille ründajad sihtisid eelmise aasta juulit ja augustit, nullipäevast haavatavust parandada. Kasutamine võimaldab ründajatel käivitada pahatahtlikku koodi Windowsi serverites, mis käitavad IIS 6.0, samal ajal kui kasutajaõigused rakendust käitavad. IIS 6.0 haavatavuse kontseptsioonikasutus on nüüd GitHubis vaatamiseks saadaval ja kuigi IIS 6.0 ei ole enam toetatud, on see ka tänapäeval laialt levinud. IIS-i selle versiooni tugi peatati eelmise aasta juulis koos selle põhitoote Windows Server 2003 toega.
Uudised tekitavad turvatöötajate seas muret, kuna veebiserveri uuringud näitavad, et IIS 6.0-d kasutavad endiselt miljonid avalikud veebisaidid. Samuti on võimalik, et suur hulk ettevõtteid võiks endiselt veebirakendusi käivitada Windows Server 2003 ja IIS 6.0 nende organisatsioonis. Seega võivad ründajad kasutada viga külgmiste liikumiste tegemiseks, kui nad saavad juurdepääsu ettevõtte võrkudele.
Enne selle avaldamist GitHubis olid haavatavusest teadlikud vaid vähesed ründajad - kuni viimase ajani. Nüüd on tõendeid selle kohta, et paljudel ründajatel on nüüd juurdepääs parandamata veale. Turvamüüja Trend Micro pakub haavatavusele järgmist selgitust:
Kaugründaja võib seda IIS-i WebDAV-komponendi haavatavust kasutada koostatud taotlusega, kasutades meetodit PROPFIND. Edukas ekspluateerimine võib põhjustada teenuse keelamise tingimuse või meelevaldse koodi käivitamise rakendust käitava kasutaja kontekstis. Selle vea leidnud teadlaste sõnul kasutati seda haavatavust looduses 2016. aasta juulis või augustis. See avalikustati 27. märtsil. Teised ohutegijad on nüüd algsel kontseptsioonikinnituse (PoC) koodil põhineva pahatahtliku koodi loomise etapis.
Trend Micro märkis, et veebi hajutatud autorid ja versioonid (WebDAV) on tavalise hüperteksti edastamise protokolli laiendus, mis võimaldab kasutajatel serveris dokumente luua, muuta ja teisaldada. Laiendus pakub tuge mitmetele päringumeetoditele, näiteks PROPFIND. Ettevõte soovitab probleemi leevendamiseks IIS 6.0 installides WebDAV-teenuse keelata.
