Microsoft pourrait ne pas être en mesure de corriger une vulnérabilité zero-day dans une ancienne version de son serveur Web Internet Information Services que les attaquants ont ciblé en juillet et août de l'année dernière. L'exploit permet aux attaquants d'exécuter du code malveillant sur les serveurs Windows qui exécutent IIS 6.0 tandis que les privilèges des utilisateurs exécutent l'application. Un exploit de preuve de concept pour la vulnérabilité dans IIS 6.0 est désormais disponible sur GitHub et bien qu'IIS 6.0 ne soit plus pris en charge, il reste largement utilisé même aujourd'hui. La prise en charge de cette version d'IIS s'est arrêtée en juillet de l'année dernière, ainsi que la prise en charge de Windows Server 2003, son produit parent.
La nouvelle inquiète les professionnels de la sécurité, car les enquêtes sur les serveurs Web indiquent qu'IIS 6.0 est toujours utilisé par des millions de sites Web publics. En outre, il est possible qu'un grand nombre d'entreprises exécutent encore des applications Web sur
Serveur Windows 2003 et IIS 6.0 au sein de leur organisation. Les attaquants pourraient donc utiliser la faille pour effectuer des mouvements latéraux s'ils accèdent aux réseaux d'entreprise.Avant sa publication sur GitHub, seuls quelques attaquants étaient au courant de la vulnérabilité - jusqu'à récemment. Maintenant, il est prouvé que de nombreux attaquants ont désormais accès à la faille non corrigée. Le fournisseur de sécurité Trend Micro propose l'explication suivante pour la vulnérabilité :
Un attaquant distant pourrait exploiter cette vulnérabilité dans le composant IIS WebDAV avec une requête spécialement conçue à l'aide de la méthode PROPFIND. Une exploitation réussie pourrait entraîner un déni de service ou l'exécution de code arbitraire dans le contexte de l'utilisateur exécutant l'application. Selon les chercheurs qui ont découvert cette faille, cette vulnérabilité a été exploitée à l'état sauvage en juillet ou août 2016. Il a été rendu public le 27 mars. D'autres acteurs de la menace sont maintenant en train de créer un code malveillant basé sur le code de preuve de concept (PoC) d'origine.
Trend Micro a noté que Web Distributed Authoring and Versioning (WebDAV) est une extension du protocole de transfert hypertexte standard qui permet aux utilisateurs de créer, modifier et déplacer des documents sur un serveur. L'extension prend en charge plusieurs méthodes de requête telles que PROPFIND. La société recommande de désactiver le service WebDAV sur les installations IIS 6.0 pour aider à atténuer le problème.
