Microsoft is mogelijk niet in staat om een zero-day-kwetsbaarheid op te lossen in een oudere versie van de Internet Information Services-webserver die aanvallers in juli en augustus vorig jaar als doelwit hadden. De exploit stelt aanvallers in staat kwaadaardige code uit te voeren op Windows-servers waarop IIS 6.0 wordt uitgevoerd, terwijl gebruikersrechten de toepassing uitvoeren. Een proof-of-concept exploit voor de kwetsbaarheid in IIS 6.0 is nu beschikbaar om te bekijken op GitHub en hoewel IIS 6.0 niet langer wordt ondersteund, wordt het zelfs vandaag nog veel gebruikt. Ondersteuning voor deze versie van IIS stopte in juli vorig jaar, samen met ondersteuning voor Windows Server 2003, het bovenliggende product.
Het nieuws baart beveiligingsprofessionals zorgen, aangezien uit webserverenquêtes blijkt dat IIS 6.0 nog steeds wordt gebruikt door miljoenen openbare websites. Het is ook mogelijk dat een groot aantal bedrijven nog steeds webapplicaties draaien op Windows Server 2003 en IIS 6.0 binnen hun organisatie. Aanvallers zouden de fout daarom kunnen gebruiken om zijwaartse bewegingen uit te voeren als ze toegang krijgen tot bedrijfsnetwerken.
Voorafgaand aan de publicatie op GitHub waren tot voor kort slechts enkele aanvallers op de hoogte van de kwetsbaarheid. Nu zijn er aanwijzingen dat veel aanvallers nu toegang hebben tot de niet-gepatchte fout. Beveiligingsleverancier Trend Micro biedt de volgende verklaring voor de kwetsbaarheid:
Een externe aanvaller kan misbruik maken van dit beveiligingslek in de IIS WebDAV-component met een vervaardigd verzoek met behulp van de PROPFIND-methode. Succesvolle exploitatie kan leiden tot denial of service-conditie of het uitvoeren van willekeurige code in de context van de gebruiker die de applicatie uitvoert. Volgens de onderzoekers die deze fout hebben gevonden, is deze kwetsbaarheid in juli of augustus 2016 in het wild uitgebuit. Het werd op 27 maart aan het publiek bekendgemaakt. Andere bedreigingsactoren zijn nu bezig met het maken van kwaadaardige code op basis van de originele proof-of-concept (PoC) code.
Trend Micro merkte op dat Web Distributed Authoring and Versioning (WebDAV) een uitbreiding is van het standaard Hypertext Transfer Protocol waarmee gebruikers documenten op een server kunnen maken, wijzigen en verplaatsen. De extensie biedt ondersteuning voor verschillende aanvraagmethoden, zoals PROPFIND. Het bedrijf raadt aan de WebDAV-service op IIS 6.0-installaties uit te schakelen om het probleem te verhelpen.
