Microsoft kanske inte kan åtgärda en nolldagars sårbarhet i en äldre version av sin Internet Information Services webbserver som angriparna riktade till juli och augusti förra året. Utnyttjandet låter angripare köra skadlig kod på Windows-servrar som kör IIS 6.0 medan användarrättigheter kör applikationen. Ett bevis-of-concept-utnyttjande av sårbarheten i IIS 6.0 är nu tillgängligt att visa på GitHub och även om IIS 6.0 inte längre stöds, förblir den ofta även i dag. Stöd för denna version av IIS stannade i juli förra året tillsammans med stöd för Windows Server 2003, dess moderprodukt.

Nyheten väcker oro bland säkerhetspersoner eftersom undersökningar av webbservrar indikerar att IIS 6.0 fortfarande används av miljontals offentliga webbplatser. Det är också möjligt att ett stort antal företag fortfarande kan köra webbapplikationer på Windows Server 2003 och IIS 6.0 i sin organisation. Angripare kan därför använda felet för att utföra laterala rörelser om de får tillgång till företagens nätverk.

Innan det publicerades på GitHub var bara ett fåtal angripare medvetna om sårbarheten - tills nyligen. Nu finns det bevis för att många angripare nu har tillgång till den oöverträffade bristen. Säkerhetsleverantör Trend Micro erbjuder följande förklaring till sårbarheten:

En fjärrattacker kan utnyttja denna sårbarhet i IIS WebDAV-komponenten med en utformad begäran med PROPFIND-metoden. Framgångsrik exploatering kan leda till att tjänsten förnekas av tjänst eller körning av godtycklig kod i samband med användaren som kör applikationen. Enligt forskarna som upptäckte denna brist utnyttjades denna sårbarhet i naturen i juli eller augusti 2016. Den avslöjades för allmänheten den 27 mars. Andra hotaktörer är nu i stadierna att skapa skadlig kod baserat på det ursprungliga beviset- of-concept (PoC) -kod.

Trend Micro noterade att webbdistribuerad författning och versionering (WebDAV) är en förlängning av standard Hypertext Transfer Protocol som låter användare skapa, ändra och flytta dokument på en server. Tillägget ger stöd för flera förfrågningsmetoder som PROPFIND. Företaget rekommenderar att inaktivera WebDAV-tjänsten på IIS 6.0-installationer för att lindra problemet.