Microsoft можливо, не вдасться виправити уразливість нульового дня у попередній версії веб-сервера Інформаційних служб Інтернету, на який зловмисники націлювались на липень та серпень минулого року. Експлойт дозволяє зловмисникам виконувати зловмисний код на серверах Windows, на яких запущено IIS 6.0, тоді як привілеї користувача запускають програму. Експлойт доказової концепції для вразливості в IIS 6.0 тепер доступний для перегляду на GitHub, і хоча IIS 6.0 більше не підтримується, він залишається широко використовуваним навіть сьогодні. Підтримка цієї версії IIS припинилася в липні минулого року разом із підтримкою Windows Server 2003, її материнського продукту.
Ця новина викликає занепокоєння серед фахівців із безпеки, оскільки опитування веб-серверів вказують на те, що IIS 6.0 все ще використовується мільйонами загальнодоступних веб-сайтів. Крім того, можливо, що велика кількість компаній все ще може використовувати веб-програми Windows Server 2003 та IIS 6.0 всередині їх організації. Отже, зловмисники могли використати недолік для здійснення бічних рухів, якщо вони отримають доступ до корпоративних мереж.
До публікації на GitHub лише кілька зловмисників знали про вразливість - до недавнього часу. Зараз є докази того, що багато зловмисників тепер мають доступ до недопрацьованої вади. Постачальник безпеки Trend Micro пропонує таке пояснення вразливості:
Віддалений зловмисник може використати цю вразливість у компоненті IID WebDAV за допомогою сформованого запиту за допомогою методу PROPFIND. Успішне використання може призвести до відмови в обслуговуванні або довільного виконання коду в контексті користувача, який запускає додаток. За словами дослідників, які виявили цю ваду, цю вразливість експлуатували в дикій природі в липні або серпні 2016 року. Це було розголошено громадськості 27 березня. Інші актори загроз зараз перебувають на стадії створення шкідливого коду на основі оригінального коду доказу концепції (PoC).
Trend Micro зазначила, що розподілене веб-розробництво та створення версій (WebDAV) є розширенням стандартного протоколу передачі гіпертексту, що дозволяє користувачам створювати, змінювати та переміщувати документи на сервері. Розширення забезпечує підтримку декількох методів запиту, таких як PROPFIND. Компанія рекомендує вимкнути службу WebDAV на установках IIS 6.0, щоб допомогти пом'якшити проблему.
