Es posible que Microsoft no pueda corregir una vulnerabilidad de día cero en una versión anterior de su servidor web de Internet Information Services que los atacantes atacaron en julio y agosto del año pasado. El exploit permite a los atacantes ejecutar código malicioso en servidores Windows que ejecutan IIS 6.0 mientras los privilegios de usuario ejecutan la aplicación.Un exploit de prueba de concepto para la vulnerabilidad en IIS 6.0 está ahora disponible para ser visto en GitHub y aunque IIS 6.0 ya no es soportado, sigue siendo ampliamente utilizado incluso hoy en día. El soporte para esta versión de IIS se detuvo en julio del año pasado junto con el soporte para Windows Server 2003, su producto principal.
Las noticias suscitan preocupación entre los profesionales de la seguridad, ya que las encuestas de los servidores web indican que millones de sitios web públicos siguen utilizando IIS 6.0. Además, es posible que un gran número de empresas todavía estén ejecutando aplicaciones web en Windows Server 2003 e IIS 6.0 dentro de su organización. Los atacantes podrían, por lo tanto, utilizar el defecto para realizar movimientos laterales si obtienen acceso a las redes corporativas.
Antes de su publicación en GitHub, sólo unos pocos atacantes eran conscientes de la vulnerabilidad, hasta hace poco. Ahora, hay evidencia de que muchos atacantes tienen acceso a la falla sin parchear.El proveedor de seguridad Trend Micro ofrece la siguiente explicación de la vulnerabilidad:
Un atacante remoto podría explotar esta vulnerabilidad en el componente IIS WebDAV con una petición hecha a mano usando el método PROPFIND. Una explotación exitosa podría resultar en la negación de la condición de servicio o en la ejecución arbitraria del código en el contexto de la ejecución de la aplicación por parte del usuario. Según los investigadores que encontraron este defecto, esta vulnerabilidad fue explotada en la naturaleza en julio o agosto de 2016. Fue divulgada al público el 27 de marzo. Otros actores de la amenaza se encuentran ahora en las etapas de creación de código malicioso basado en el código de prueba de concepto (PoC) original.
Trend Micro señaló que Web Distributed Authoring and Versioning (WebDAV) es una extensión del protocolo de transferencia de hipertexto estándar que permite a los usuarios crear, cambiar y mover documentos en un servidor. La extensión proporciona soporte para varios métodos de petición como PROPFIND. La empresa recomienda desactivar el servicio WebDAV en las instalaciones IIS 6.0 para ayudar a mitigar el problema.