Microsoft ei ehkä pysty korjaamaan nollapäivän haavoittuvuutta Internet Information Services -verkkopalvelimen vanhemmassa versiossa, johon hyökkääjät kohdensivat viime vuoden heinä- ja elokuun. Hyödyntämisen avulla hyökkääjät voivat suorittaa haitallista koodia Windows-palvelimilla, jotka käyttävät IIS 6.0: ta, kun taas käyttäjän oikeudet ajavat sovellusta. IIS 6.0: n haavoittuvuuden todistettu hyödyntäminen on nyt nähtävissä GitHubissa, ja vaikka IIS 6.0: ta ei enää tueta, sitä käytetään edelleen laajalti. Tämän IIS-version tuki lopetettiin viime vuoden heinäkuussa samoin kuin sen päätuotteen Windows Server 2003: n tuki.
Uutiset herättävät huolta turvallisuusalan ammattilaisten keskuudessa, koska verkkopalvelintutkimukset osoittavat, että miljoonat julkiset verkkosivustot käyttävät edelleen IIS 6.0: ta. On myös mahdollista, että suuri joukko yrityksiä voisi silti käyttää verkkosovelluksia Windows Server 2003 ja IIS 6.0 organisaationsa sisällä. Hyökkääjät voisivat siis käyttää virhettä sivuttaisliikkeiden suorittamiseen, jos he pääsevät yritysverkkoihin.
Ennen julkaisemista GitHubissa vain harvat hyökkääjät olivat tietoisia haavoittuvuudesta - viime aikoihin asti. Nyt on todisteita siitä, että monilla hyökkääjillä on nyt pääsy korjaamattomaan virheeseen. Suojaustoimittaja Trend Micro tarjoaa seuraavan haavoittuvuuden selityksen:
Etähyökkääjä voi hyödyntää tätä IIS WebDAV -komponentin heikkoutta muotoillun pyynnön avulla PROPFIND-menetelmällä. Onnistunut hyväksikäyttö voi johtaa palveluneston ehtoon tai mielivaltaiseen koodin suorittamiseen sovellusta käyttävän käyttäjän yhteydessä. Tämän virheen löytäneiden tutkijoiden mukaan tätä heikkoutta hyödynnettiin luonnossa heinä- tai elokuussa 2016. Se paljastettiin yleisölle 27. maaliskuuta. Muut uhkatekijät ovat nyt luomassa haitallista koodia, joka perustuu alkuperäiseen todistuskoodiin (PoC).
Trend Micro totesi, että Web Distributed Authoring and Versioning (WebDAV) on tavallisen Hypertext Transfer Protocol -protokollan laajennus, jonka avulla käyttäjät voivat luoda, muuttaa ja siirtää asiakirjoja palvelimella. Laajennus tarjoaa tukea useille pyyntötavoille, kuten PROPFIND. Yritys suosittelee WebDAV-palvelun poistamista käytöstä IIS 6.0 -asennuksissa ongelman lieventämiseksi.
