Microsoft возможно, не удастся исправить уязвимость нулевого дня в более старой версии веб-сервера Internet Information Services, на которую злоумышленники нацелились в июле и августе прошлого года. Эксплойт позволяет злоумышленникам выполнять вредоносный код на серверах Windows, на которых работает IIS 6.0, в то время как приложение запускается с правами пользователя. Эксплойт для проверки концепции уязвимости в IIS 6.0 теперь доступен для просмотра на GitHub, и, хотя IIS 6.0 больше не поддерживается, он широко используется даже сегодня. Поддержка этой версии IIS прекратилась в июле прошлого года вместе с поддержкой Windows Server 2003, ее родительского продукта.
Эта новость вызывает беспокойство у специалистов по безопасности, поскольку опросы веб-серверов показывают, что IIS 6.0 все еще используется миллионами общедоступных веб-сайтов. Кроме того, возможно, что большое количество компаний все еще может запускать веб-приложения на Windows Server 2003 и IIS 6.0 внутри своей организации. Таким образом, злоумышленники могут использовать уязвимость для бокового перемещения, если они получат доступ к корпоративным сетям.
До публикации на GitHub об уязвимости знали лишь несколько злоумышленников - до недавнего времени. Теперь есть свидетельства того, что многие злоумышленники теперь имеют доступ к неисправленной уязвимости. Производитель средств безопасности Trend Micro предлагает следующее объяснение уязвимости:
Удаленный злоумышленник может воспользоваться этой уязвимостью в компоненте IIS WebDAV с помощью созданного запроса с использованием метода PROPFIND. Успешная эксплуатация может привести к отказу в обслуживании или выполнению произвольного кода в контексте пользователя, запускающего приложение. По словам исследователей, обнаруживших эту уязвимость, эта уязвимость использовалась в дикой природе в июле или августе 2016 года. Об этом стало известно 27 марта. Другие злоумышленники сейчас находятся на стадии создания вредоносного кода на основе исходного кода подтверждения концепции (PoC).
Компания Trend Micro отметила, что веб-распределенная разработка и управление версиями (WebDAV) является расширением стандартного протокола передачи гипертекста, который позволяет пользователям создавать, изменять и перемещать документы на сервере. Расширение обеспечивает поддержку нескольких методов запроса, таких как PROPFIND. Компания рекомендует отключить службу WebDAV в установках IIS 6.0, чтобы решить эту проблему.
