Microsoft is mogelijk niet in staat om een ​​zero-day kwetsbaarheid op te lossen in een oudere versie van zijn Internet Information Services-webserver die aanvallers in juli en augustus van vorig jaar hebben getarget. Door de exploit kunnen aanvallers schadelijke code uitvoeren op Windows-servers waarop IIS 6.0 wordt uitgevoerd, terwijl gebruikersrechten de toepassing uitvoeren. Een proof-of-concept-exploit voor de kwetsbaarheid in IIS 6.0 is nu beschikbaar voor weergave op GitHub en hoewel IIS 6.0 niet langer wordt ondersteund, wordt het vandaag de dag nog steeds veel gebruikt. Ondersteuning voor deze versie van IIS stopte in juli vorig jaar samen met ondersteuning voor Windows Server 2003, het moederproduct.

Het nieuws geeft aanleiding tot bezorgdheid onder beveiligingsprofessionals, omdat webserverenquêtes aangeven dat IIS 6.0 nog steeds wordt gebruikt door miljoenen openbare websites. Het is ook mogelijk dat een groot aantal bedrijven binnen hun organisatie nog steeds webtoepassingen op Windows Server 2003 en IIS 6.0 draaien. Aanvallers kunnen daarom de fout gebruiken om zijwaartse bewegingen uit te voeren als ze toegang krijgen tot bedrijfsnetwerken.

Vóór de publicatie op GitHub waren slechts enkele aanvallers zich bewust van de kwetsbaarheid - tot voor kort. Nu is er bewijs dat veel aanvallers nu toegang hebben tot de niet-gepatchte fout. Beveiligingsleverancier Trend Micro biedt de volgende verklaring voor het beveiligingslek:

Een externe aanvaller kan dit beveiligingslek in de IIS WebDAV-component misbruiken met een vervaardigd verzoek met behulp van de PROPFIND-methode. Succesvolle exploitatie kan leiden tot denial of service of uitvoering van willekeurige code in de context van de gebruiker die de toepassing uitvoert. Volgens de onderzoekers die deze fout hebben gevonden, werd deze kwetsbaarheid in juli of augustus 2016 in het wild uitgebuit. Het werd op 27 maart aan het publiek bekendgemaakt. Andere bedreigingsactoren zijn nu bezig met het maken van kwaadaardige code op basis van de oorspronkelijke of-concept (PoC) code.

Trend Micro merkte op dat Web Distributed Authoring and Versioning (WebDAV) een uitbreiding is van het standaard Hypertext Transfer Protocol waarmee gebruikers documenten op een server kunnen maken, wijzigen en verplaatsen. De extensie biedt ondersteuning voor verschillende aanvraagmethoden, zoals PROPFIND. Het bedrijf raadt aan om de WebDAV-service op IIS 6.0-installaties uit te schakelen om het probleem te verminderen.