Microsoft potrebbe non essere in grado di correggere una vulnerabilità zero-day in una versione precedente del server Web Internet Information Services che gli aggressori hanno preso di mira a luglio e agosto dello scorso anno. L'exploit consente agli aggressori di eseguire codice dannoso sui server Windows che eseguono IIS 6.0 mentre i privilegi dell'utente eseguono l'applicazione. Un exploit proof-of-concept per la vulnerabilità in IIS 6.0 è ora disponibile per la visualizzazione su GitHub e sebbene IIS 6.0 non sia più supportato, rimane ampiamente utilizzato anche oggi. Il supporto per questa versione di IIS è stato interrotto nel luglio dello scorso anno insieme al supporto per Windows Server 2003, il suo prodotto padre.
La notizia solleva preoccupazione tra i professionisti della sicurezza poiché i sondaggi sui server Web indicano che IIS 6.0 è ancora utilizzato da milioni di siti Web pubblici. Inoltre, è possibile che un gran numero di aziende stia ancora eseguendo applicazioni web su
Windows Server 2003 e IIS 6.0 all'interno della loro organizzazione. Gli aggressori potrebbero, quindi, utilizzare il difetto per eseguire movimenti laterali se ottengono l'accesso alle reti aziendali.Prima della sua pubblicazione su GitHub, solo pochi aggressori erano a conoscenza della vulnerabilità, fino a poco tempo fa. Ora, ci sono prove che molti aggressori ora hanno accesso al difetto senza patch. Il fornitore di sicurezza Trend Micro offre la seguente spiegazione per la vulnerabilità:
Un utente malintenzionato remoto potrebbe sfruttare questa vulnerabilità nel componente WebDAV di IIS con una richiesta predisposta utilizzando il metodo PROPFIND. Lo sfruttamento riuscito potrebbe comportare una condizione di negazione del servizio o l'esecuzione di codice arbitrario nel contesto dell'utente che esegue l'applicazione. Secondo i ricercatori che hanno trovato questo difetto, questa vulnerabilità è stata sfruttata in natura a luglio o agosto 2016. È stato reso noto al pubblico il 27 marzo. Altri attori delle minacce sono ora in fase di creazione di codice dannoso basato sul codice originale proof-of-concept (PoC).
Trend Micro ha notato che Web Distributed Authoring and Versioning (WebDAV) è un'estensione dell'Hypertext Transfer Protocol standard che consente agli utenti di creare, modificare e spostare documenti su un server. L'estensione fornisce supporto per diversi metodi di richiesta come PROPFIND. L'azienda consiglia di disabilitare il servizio WebDAV nelle installazioni di IIS 6.0 per ridurre il problema.
