Microsoft kanskje ikke være i stand til å fikse et null-dagers sårbarhet i en eldre versjon av Internet Information Services-webserveren som angripere målrettet mot juli og august i fjor. Utnyttelsen lar angripere utføre ondsinnet kode på Windows-servere som kjører IIS 6.0 mens brukerrettigheter kjører applikasjonen. En proof-of-concept-utnyttelse for sårbarheten i IIS 6.0 er nå tilgjengelig for visning på GitHub, og mens IIS 6.0 ikke lenger støttes, forblir den mye brukt også i dag. Støtte for denne versjonen av IIS stoppet i juli i fjor sammen med støtte for Windows Server 2003, dets overordnede produkt.
Nyhetene vekker bekymring blant sikkerhetsfagfolk da undersøkelser av webserverer indikerer at IIS 6.0 fortsatt brukes av millioner av offentlige nettsteder. Det er også mulig at et stort antall selskaper fortsatt kan kjøre webapplikasjoner på Windows Server 2003 og IIS 6.0 i organisasjonen. Angripere kan derfor bruke feilen til å utføre laterale bevegelser hvis de får tilgang til bedriftsnettverk.
Før publiseringen på GitHub var bare noen få angripere klar over sårbarheten - inntil nylig. Nå er det bevis for at mange angripere nå har tilgang til den upatchede feilen. Sikkerhetsleverandør Trend Micro tilbyr følgende forklaring på sårbarheten:
En ekstern angriper kan utnytte dette sikkerhetsproblemet i IIS WebDAV-komponenten med en utformet forespørsel ved hjelp av PROPFIND-metoden. Vellykket utnyttelse kan føre til nektelse av tjenestetilstand eller kjøring av vilkårlig kode i sammenheng med at brukeren kjører applikasjonen. Ifølge forskerne som fant denne feilen, ble denne sårbarheten utnyttet i naturen i juli eller august 2016. Det ble offentliggjort 27. mars. Andre trusselaktører er nå i fasen med å lage ondsinnet kode basert på den opprinnelige proof-of-concept-koden (PoC).
Trend Micro bemerket at WebDAV (Web Distributed Authoring and Versioning) er en utvidelse av standard Hypertext Transfer Protocol som lar brukerne opprette, endre og flytte dokumenter på en server. Utvidelsen gir støtte for flere forespørselsmetoder som PROPFIND. Selskapet anbefaler å deaktivere WebDAV-tjenesten på IIS 6.0-installasjoner for å avhjelpe problemet.
