Microsoft może nie być w stanie naprawić luki dnia zerowego w starszej wersji serwera internetowego Internetowych usług informacyjnych, którego celem atakujący byli w lipcu i sierpniu zeszłego roku. Exploit umożliwia atakującym wykonanie złośliwego kodu na serwerach Windows z IIS 6.0, podczas gdy aplikacja ma uprawnienia użytkownika. W serwisie GitHub jest już dostępny do wglądu exploit typu „proof-of-concept” luki w zabezpieczeniach usług IIS 6.0 i chociaż usługi IIS 6.0 nie są już obsługiwane, nadal są powszechnie stosowane. Wsparcie dla tej wersji IIS zakończyło się w lipcu zeszłego roku wraz z obsługą Windows Server 2003, jego produktu macierzystego.
Wiadomość ta budzi zaniepokojenie wśród specjalistów ds. bezpieczeństwa, ponieważ ankiety dotyczące serwerów internetowych wskazują, że IIS 6.0 jest nadal używany przez miliony publicznych witryn internetowych. Możliwe jest również, że wiele firm nadal korzysta z aplikacji internetowych Windows Server 2003 i IIS 6.0 wewnątrz ich organizacji. Atakujący mogą zatem wykorzystać tę lukę do wykonywania ruchów bocznych, jeśli uzyskają dostęp do sieci korporacyjnych.
Przed publikacją na GitHubie tylko kilku atakujących było świadomych tej luki — do niedawna. Teraz istnieją dowody na to, że wielu atakujących ma teraz dostęp do niezałatanej luki. Firma Trend Micro, producent zabezpieczeń, podaje następujące wyjaśnienie luki w zabezpieczeniach:
Osoba atakująca zdalnie może wykorzystać tę lukę w składniku IIS WebDAV, wysyłając spreparowane żądanie przy użyciu metody PROPFIND. Udana eksploatacja może spowodować odmowę usługi lub wykonanie dowolnego kodu w kontekście użytkownika uruchamiającego aplikację. Według badaczy, którzy znaleźli tę lukę, luka ta została wykorzystana na wolności w lipcu lub sierpniu 2016 r. Został on ujawniony opinii publicznej 27 marca. Inni cyberprzestępcy są obecnie na etapie tworzenia złośliwego kodu na podstawie oryginalnego kodu weryfikacyjnego (PoC).
Firma Trend Micro zauważyła, że Web Distributed Authoring and Versioning (WebDAV) jest rozszerzeniem standardowego protokołu Hypertext Transfer Protocol, który pozwala użytkownikom tworzyć, zmieniać i przenosić dokumenty na serwerze. Rozszerzenie zapewnia obsługę kilku metod żądań, takich jak PROPFIND. Firma zaleca wyłączenie usługi WebDAV w instalacjach IIS 6.0 w celu złagodzenia problemu.
