Microsoft potrebbe non essere in grado di correggere una vulnerabilità zero-day in una versione precedente del suo server Web Internet Information Services che gli aggressori hanno preso di mira luglio e agosto dello scorso anno. L'exploit consente agli aggressori di eseguire codice dannoso su server Windows che eseguono IIS 6.0 mentre i privilegi dell'utente eseguono l'applicazione. Un exploit di prova del concetto per la vulnerabilità in IIS 6.0 è ora disponibile per la visualizzazione su GitHub e mentre IIS 6.0 non è più supportato, rimane ampiamente utilizzato anche oggi. Il supporto per questa versione di IIS è stato interrotto nel luglio dello scorso anno insieme al supporto per Windows Server 2003, il suo prodotto principale.

Le notizie destano preoccupazione tra i professionisti della sicurezza poiché i sondaggi sui server web indicano che IIS 6.0 è ancora utilizzato da milioni di siti Web pubblici. Inoltre, è possibile che un gran numero di aziende possa ancora eseguire applicazioni Web su Windows Server 2003 e IIS 6.0 all'interno della propria organizzazione. Gli aggressori potrebbero quindi utilizzare il difetto per eseguire movimenti laterali se ottengono l'accesso alle reti aziendali.

Prima della sua pubblicazione su GitHub, solo pochi autori di attacchi erano a conoscenza della vulnerabilità, fino a poco tempo fa. Ora, ci sono prove che molti aggressori ora hanno accesso al difetto senza patch. Il fornitore di sicurezza Trend Micro offre la seguente spiegazione per la vulnerabilità:

Un utente malintenzionato remoto può sfruttare questa vulnerabilità nel componente IIS WebDAV con una richiesta predisposta utilizzando il metodo PROPFIND. Uno sfruttamento riuscito potrebbe comportare la negazione della condizione del servizio o l'esecuzione di codice arbitrario nel contesto dell'utente che esegue l'applicazione. Secondo i ricercatori che hanno riscontrato questo difetto, questa vulnerabilità è stata sfruttata allo stato brado a luglio o agosto 2016. È stata divulgata al pubblico il 27 marzo. Altri attori della minaccia sono ora in fase di creazione di codice dannoso basato sulla prova originale- of-concept (PoC) codice.

Trend Micro ha osservato che Web Distributed Authoring and Versioning (WebDAV) è un'estensione dello standard Hypertext Transfer Protocol che consente agli utenti di creare, modificare e spostare documenti su un server. L'estensione fornisce supporto per diversi metodi di richiesta come PROPFIND. La società consiglia di disabilitare il servizio WebDAV sulle installazioni di IIS 6.0 per aiutare a mitigare il problema.