माइक्रोसॉफ्ट हो सकता है कि अपने इंटरनेट सूचना सेवा वेब सर्वर के पुराने संस्करण में शून्य-दिन की भेद्यता को ठीक करने में सक्षम न हो, जिसे हमलावरों ने पिछले साल जुलाई और अगस्त में लक्षित किया था। शोषण हमलावरों को विंडोज सर्वर पर दुर्भावनापूर्ण कोड निष्पादित करने देता है जो आईआईएस 6.0 चलाते हैं जबकि उपयोगकर्ता विशेषाधिकार एप्लिकेशन चलाते हैं। IIS 6.0 में भेद्यता के लिए एक प्रूफ-ऑफ-कॉन्सेप्ट शोषण अब GitHub पर देखने के लिए उपलब्ध है और जबकि IIS 6.0 अब समर्थित नहीं है, यह आज भी व्यापक रूप से उपयोग किया जाता है। आईआईएस के इस संस्करण के लिए समर्थन पिछले साल जुलाई में विंडोज सर्वर 2003, इसके मूल उत्पाद के समर्थन के साथ बंद कर दिया गया था।
समाचार सुरक्षा पेशेवरों के बीच चिंता पैदा करता है क्योंकि वेब सर्वर सर्वेक्षण से संकेत मिलता है कि आईआईएस 6.0 अभी भी लाखों सार्वजनिक वेबसाइटों द्वारा उपयोग किया जा रहा है। साथ ही, यह भी संभव है कि बड़ी संख्या में कंपनियां अभी भी वेब एप्लिकेशन चला रही हों विंडोज सर्वर 2003 और आईआईएस 6.0 उनके संगठन के अंदर। इसलिए, यदि वे कॉर्पोरेट नेटवर्क तक पहुंच प्राप्त करते हैं, तो हमलावर पार्श्व आंदोलनों को करने के लिए दोष का उपयोग कर सकते हैं।
GitHub पर इसके प्रकाशन से पहले, केवल कुछ हमलावरों को भेद्यता के बारे में पता था - हाल तक। अब, इस बात के सबूत हैं कि कई हमलावरों के पास अब अप्रकाशित दोष तक पहुंच है। सुरक्षा विक्रेता ट्रेंड माइक्रो भेद्यता के लिए निम्नलिखित स्पष्टीकरण प्रदान करता है:
एक दूरस्थ हमलावर IIS WebDAV घटक में PROPFIND विधि का उपयोग करके तैयार किए गए अनुरोध के साथ इस भेद्यता का फायदा उठा सकता है। सफल शोषण के परिणामस्वरूप एप्लिकेशन चलाने वाले उपयोगकर्ता के संदर्भ में सेवा शर्त या मनमानी कोड निष्पादन से इनकार किया जा सकता है। इस दोष को खोजने वाले शोधकर्ताओं के अनुसार, जुलाई या अगस्त 2016 में इस भेद्यता का जंगल में शोषण किया गया था। इसका खुलासा 27 मार्च को लोगों के सामने किया गया। अन्य खतरे वाले अभिनेता अब मूल प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) कोड के आधार पर दुर्भावनापूर्ण कोड बनाने के चरण में हैं।
ट्रेंड माइक्रो ने नोट किया कि वेब डिस्ट्रिब्यूटेड ऑथरिंग एंड वर्जनिंग (वेबडीएवी) मानक हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल का एक विस्तार है जो उपयोगकर्ताओं को सर्वर पर दस्तावेज़ बनाने, बदलने और स्थानांतरित करने देता है। एक्सटेंशन कई अनुरोध विधियों जैसे PROPFIND के लिए समर्थन प्रदान करता है। कंपनी इस समस्या को कम करने में मदद करने के लिए IIS 6.0 स्थापनाओं पर WebDAV सेवा को अक्षम करने की अनुशंसा करती है।
