Microsoft Saldırganların geçen yılın Temmuz ve Ağustos aylarında hedeflediği Internet Information Services web sunucusunun daha eski bir sürümündeki sıfır gün güvenlik açığını düzeltemeyebilir. Bu istismar, kullanıcı ayrıcalıkları uygulamayı çalıştırırken, saldırganların IIS 6.0 çalıştıran Windows sunucularında kötü amaçlı kod yürütmesine olanak tanır. IIS 6.0'daki güvenlik açığı için bir kavram kanıtı kullanımı artık GitHub'da görüntülenebilir ve IIS 6.0 artık desteklenmese de bugün bile yaygın olarak kullanılmaya devam etmektedir. IIS'nin bu sürümüne yönelik destek, ana ürünü olan Windows Server 2003 desteğiyle birlikte geçen yılın Temmuz ayında durduruldu.
Web sunucusu anketleri, IIS 6.0'ın hala milyonlarca genel web sitesi tarafından kullanıldığını gösterdiğinden, haberler güvenlik uzmanları arasında endişe uyandırıyor. Ayrıca, çok sayıda şirketin hala web uygulamaları üzerinde çalışıyor olması mümkündür. Windows Sunucusu 2003 ve kuruluşları içinde IIS 6.0. Saldırganlar bu nedenle, kurumsal ağlara erişim kazanırlarsa yanal hareketler gerçekleştirmek için kusuru kullanabilir.
GitHub'da yayınlanmasından önce, yakın zamana kadar yalnızca birkaç saldırgan bu güvenlik açığından haberdardı. Artık birçok saldırganın yama uygulanmamış kusura erişimi olduğuna dair kanıtlar var. Güvenlik sağlayıcısı Trend Micro, güvenlik açığı için aşağıdaki açıklamayı sunar:
Uzaktaki bir saldırgan, PROPFIND yöntemini kullanarak hazırlanmış bir istekle IIS WebDAV Bileşenindeki bu güvenlik açığından yararlanabilir. Başarılı bir istismar, uygulamayı çalıştıran kullanıcı bağlamında hizmet reddi koşuluna veya rastgele kod yürütülmesine neden olabilir. Bu kusuru bulan araştırmacılara göre, bu güvenlik açığı Temmuz veya Ağustos 2016'da vahşi doğada istismar edildi. 27 Mart'ta kamuoyuna açıklandı. Diğer tehdit aktörleri şu anda orijinal kavram kanıtı (PoC) koduna dayalı olarak kötü amaçlı kod oluşturma aşamalarındadır.
Trend Micro, Web'de Dağıtılmış Yazma ve Sürüm Oluşturma'nın (WebDAV), kullanıcıların bir sunucu üzerinde belgeler oluşturmasına, değiştirmesine ve taşımasına olanak tanıyan standart Köprü Metni Aktarım Protokolü'nün bir uzantısı olduğunu belirtti. Uzantı, PROPFIND gibi çeşitli istek yöntemleri için destek sağlar. Şirket, sorunun azaltılmasına yardımcı olması için IIS 6.0 yüklemelerinde WebDAV hizmetinin devre dışı bırakılmasını önerir.
