Microsoft pode não ser capaz de consertar uma vulnerabilidade de dia zero em uma versão mais antiga de seu servidor web Internet Information Services que os invasores visaram em julho e agosto do ano passado. A exploração permite que os invasores executem códigos maliciosos em servidores Windows que executam o IIS 6.0, enquanto os privilégios do usuário executam o aplicativo. Uma exploração de prova de conceito para a vulnerabilidade no IIS 6.0 agora está disponível para visualização no GitHub e, embora o IIS 6.0 não seja mais compatível, ele continua sendo amplamente usado até hoje. O suporte para esta versão do IIS foi interrompido em julho do ano passado, juntamente com o suporte para o Windows Server 2003, seu produto pai.
A notícia suscita preocupação entre os profissionais de segurança, já que pesquisas de servidores da Web indicam que o IIS 6.0 ainda está sendo usado por milhões de sites públicos. Além disso, é possível que um grande número de empresas ainda possa estar executando aplicativos da web em
Windows Server 2003 e IIS 6.0 dentro de sua organização. Os invasores podem, portanto, usar a falha para realizar movimentos laterais se obtiverem acesso às redes corporativas.Antes de sua publicação no GitHub, apenas alguns invasores estavam cientes da vulnerabilidade - até recentemente. Agora, há evidências de que muitos invasores agora têm acesso à falha não corrigida. O fornecedor de segurança Trend Micro oferece a seguinte explicação para a vulnerabilidade:
Um invasor remoto pode explorar esta vulnerabilidade no componente IIS WebDAV com uma solicitação criada usando o método PROPFIND. A exploração bem-sucedida pode resultar em negação da condição de serviço ou execução arbitrária de código no contexto do usuário que está executando o aplicativo. De acordo com os pesquisadores que encontraram essa falha, essa vulnerabilidade foi explorada em estado selvagem em julho ou agosto de 2016. Foi divulgado ao público no dia 27 de março. Outros agentes de ameaças estão agora nos estágios de criação de código malicioso com base no código de prova de conceito (PoC) original.
A Trend Micro observou que o Web Distributed Authoring and Versioning (WebDAV) é uma extensão do protocolo padrão de transferência de hipertexto que permite aos usuários criar, alterar e mover documentos em um servidor. A extensão fornece suporte para vários métodos de solicitação, como PROPFIND. A empresa recomenda desativar o serviço WebDAV nas instalações do IIS 6.0 para ajudar a atenuar o problema.
