Microsoft może nie być w stanie naprawić luki zero-day w starszej wersji swojego serwera internetowego Internet Information Services, na który atakujący atakowali w lipcu i sierpniu ubiegłego roku. Exploit umożliwia atakującym wykonanie złośliwego kodu na serwerach Windows z uruchomionym IIS 6.0, podczas gdy uprawnienia użytkownika uruchamiają aplikację. Exploit oparty na koncepcji dla luki w IIS 6.0 jest teraz dostępny do przeglądania w GitHub i chociaż IIS 6.0 nie jest już obsługiwany, pozostaje szeroko stosowany nawet dzisiaj. Obsługa tej wersji IIS została zatrzymana w lipcu ubiegłego roku wraz ze wsparciem dla Windows Server 2003, jej produktu nadrzędnego.

Wiadomości budzą niepokój wśród specjalistów ds. Bezpieczeństwa, ponieważ ankiety przeprowadzane na serwerach internetowych wskazują, że IIS 6.0 jest nadal używany przez miliony publicznych stron internetowych. Możliwe jest również, że wiele firm nadal może uruchamiać aplikacje internetowe w systemach Windows Server 2003 i IIS 6.0 w ramach swojej organizacji. Atakujący mogliby zatem wykorzystać tę wadę do wykonywania ruchów bocznych, jeśli uzyskają dostęp do sieci korporacyjnych.

Przed opublikowaniem na GitHub tylko kilku atakujących wiedziało o tej luce - do niedawna. Istnieją dowody na to, że wielu atakujących ma teraz dostęp do niepoprawnej wady. Producent zabezpieczeń Trend Micro udostępnia następujące wyjaśnienie luki:

Zdalny atakujący może wykorzystać tę lukę w komponencie IIS WebDAV za pomocą spreparowanego żądania przy użyciu metody PROPFIND. Pomyślne wykorzystanie może spowodować odmowę usługi lub wykonanie dowolnego kodu w kontekście użytkownika uruchamiającego aplikację. Według naukowców, którzy odkryli tę lukę, ta luka została wykorzystana na wolności w lipcu lub sierpniu 2016 r. Została ujawniona publicznie 27 marca. Inne podmioty zajmujące się zagrożeniami są obecnie na etapie tworzenia złośliwego kodu na podstawie oryginalnego dowodu kodu koncepcji (PoC).

Trend Micro zauważył, że internetowe rozproszone tworzenie i wersjonowanie (WebDAV) jest rozszerzeniem standardowego protokołu przesyłania hipertekstu, który pozwala użytkownikom tworzyć, zmieniać i przenosić dokumenty na serwerze. Rozszerzenie zapewnia obsługę kilku metod żądań, takich jak PROPFIND. Firma zaleca wyłączenie usługi WebDAV w instalacjach IIS 6.0, aby złagodzić ten problem.