Microsoft kanske inte kan åtgärda en nolldagars sårbarhet i en äldre version av sin Internet Information Services-webbserver som angriparna riktade mot juli och augusti förra året. Utnyttjandet låter angripare köra skadlig kod på Windows-servrar som kör IIS 6.0 medan användarbehörigheter kör applikationen. Ett bevis på konceptutnyttjande för sårbarheten i IIS 6.0 är nu tillgängligt för visning på GitHub och medan IIS 6.0 inte längre stöds används den fortfarande i stor utsträckning även idag. Stöd för den här versionen av IIS upphörde i juli förra året tillsammans med stöd för Windows Server 2003, dess överordnade produkt.
Nyheten väcker oro bland säkerhetspersonal eftersom undersökningar på webbservern visar att IIS 6.0 fortfarande används av miljontals offentliga webbplatser. Det är också möjligt att ett stort antal företag fortfarande kan köra webbapplikationer på Windows Server 2003 och IIS 6.0 i deras organisation. Angripare kan därför använda bristen för att utföra sidorörelser om de får tillgång till företagsnätverk.
Före publiceringen på GitHub var bara ett fåtal angripare medvetna om sårbarheten - tills nyligen. Nu finns det bevis för att många angripare nu har tillgång till den ouppdaterade bristen. Säkerhetsleverantören Trend Micro erbjuder följande förklaring till sårbarheten:
En fjärranfallare kan utnyttja denna sårbarhet i IIS WebDAV-komponenten med en utformad begäran med PROPFIND-metoden. Framgångsrikt utnyttjande kan leda till förnekande av tjänstevillkor eller exekvering av godtycklig kod i samband med att användaren kör applikationen. Enligt forskarna som fann denna brist utnyttjades denna sårbarhet i naturen i juli eller augusti 2016. Det avslöjades för allmänheten den 27 mars. Andra hotaktörer är nu i faser av att skapa skadlig kod baserad på den ursprungliga proof-of-concept-koden (PoC).
Trend Micro noterade att WebDAV (Web Distributed Authoring and Versioning) är en förlängning av det vanliga Hypertext Transfer Protocol som låter användare skapa, ändra och flytta dokument på en server. Tillägget ger stöd för flera förfrågningsmetoder som PROPFIND. Företaget rekommenderar att du inaktiverar WebDAV-tjänsten på IIS 6.0-installationer för att mildra problemet.
