Microsoft อาจไม่สามารถแก้ไขช่องโหว่ Zero-day ในเว็บเซิร์ฟเวอร์ Internet Information Services เวอร์ชันเก่าที่ผู้โจมตีกำหนดเป้าหมายในเดือนกรกฎาคมและสิงหาคมของปีที่แล้ว ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนเซิร์ฟเวอร์ Windows ที่เรียกใช้ IIS 6.0 ในขณะที่สิทธิ์ของผู้ใช้เรียกใช้แอปพลิเคชัน การใช้ประโยชน์จากการพิสูจน์แนวคิดสำหรับช่องโหว่ใน IIS 6.0 พร้อมให้ดูบน GitHub แล้ว และในขณะที่ IIS 6.0 ไม่ได้รับการสนับสนุนอีกต่อไป แต่ก็ยังคงใช้กันอย่างแพร่หลายจนถึงทุกวันนี้ การสนับสนุนสำหรับ IIS เวอร์ชันนี้หยุดลงในเดือนกรกฎาคมของปีที่แล้วพร้อมกับการสนับสนุนสำหรับ Windows Server 2003 ซึ่งเป็นผลิตภัณฑ์หลัก
ข่าวดังกล่าวก่อให้เกิดความกังวลในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยเนื่องจากการสำรวจเว็บเซิร์ฟเวอร์ระบุว่า IIS 6.0 ยังคงถูกใช้โดยเว็บไซต์สาธารณะหลายล้านแห่ง นอกจากนี้ ยังมีความเป็นไปได้ที่บริษัทจำนวนมากยังคงใช้งานเว็บแอปพลิเคชันบน Windows Server 2003 และ IIS 6.0 ภายในองค์กร ดังนั้น ผู้โจมตีจึงสามารถใช้จุดบกพร่องในการเคลื่อนไหวด้านข้างได้ หากพวกเขาเข้าถึงเครือข่ายขององค์กรได้
ก่อนที่จะเผยแพร่บน GitHub มีผู้โจมตีเพียงไม่กี่รายเท่านั้นที่ทราบถึงช่องโหว่นี้ จนกระทั่งเมื่อไม่นานมานี้ ขณะนี้ มีหลักฐานว่าผู้โจมตีจำนวนมากสามารถเข้าถึงข้อบกพร่องที่ยังไม่ได้แก้ไข ผู้ให้บริการด้านความปลอดภัย Trend Micro เสนอคำอธิบายต่อไปนี้สำหรับช่องโหว่:
ผู้โจมตีจากระยะไกลสามารถใช้ประโยชน์จากช่องโหว่นี้ในคอมโพเนนต์ IIS WebDAV ด้วยคำขอที่สร้างขึ้นโดยใช้วิธี PROPFIND การแสวงหาประโยชน์ที่สำเร็จอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการบริการหรือการใช้รหัสโดยอำเภอใจในบริบทของผู้ใช้ที่เรียกใช้แอปพลิเคชัน จากข้อมูลของนักวิจัยที่พบข้อบกพร่องนี้ ช่องโหว่นี้ถูกใช้ในป่าในเดือนกรกฎาคมหรือสิงหาคม 2559 เปิดเผยต่อสาธารณชนเมื่อวันที่ 27 มีนาคม ผู้คุกคามรายอื่นๆ อยู่ในขั้นตอนของการสร้างโค้ดที่เป็นอันตรายโดยอิงจากโค้ดพิสูจน์แนวคิด (PoC) ดั้งเดิม
Trend Micro ตั้งข้อสังเกตว่า Web Distributed Authoring and Versioning (WebDAV) เป็นส่วนขยายของ Hypertext Transfer Protocol มาตรฐานที่ให้ผู้ใช้สร้าง เปลี่ยนแปลง และย้ายเอกสารบนเซิร์ฟเวอร์ ส่วนขยายนี้รองรับวิธีการร้องขอต่างๆ เช่น PROPFIND บริษัทแนะนำให้ปิดใช้งานบริการ WebDAV ในการติดตั้ง IIS 6.0 เพื่อช่วยบรรเทาปัญหา
