És possible que Microsoft no pugui arreglar una vulnerabilitat d'un dia zero en una versió anterior del seu servidor web d'Internet Information Services que els atacants van apuntar juliol i agost de l'any passat. L'explot permet als atacants executar codi maliciós en servidors Windows que executen IIS 6.0 mentre els privilegis de l'usuari executen l'aplicació. Una prova de concepte explotació de la vulnerabilitat en IIS 6.0 ja està disponible per a visualitzar-la a GitHub i, mentre que IIS 6.0 ja no és compatible, continua sent àmpliament utilitzada encara avui en dia. El suport per a aquesta versió d’IIS es va aturar el juliol de l’any passat juntament amb el suport per a Windows Server 2003, el seu producte principal.

Les notícies desperten la preocupació entre els professionals de la seguretat, ja que les enquestes al servidor web indiquen que milions de llocs web públics utilitzen encara l’IIS 6.0. A més, és possible que un gran nombre d’empreses encara poguessin tenir aplicacions web a Windows Server 2003 i IIS 6.0 dins de la seva organització. Per tant, els atacants podrien utilitzar el defecte per realitzar moviments laterals si accedeixen a les xarxes corporatives.

Abans de la seva publicació a GitHub, només uns quants atacants eren conscients de la vulnerabilitat - fins fa poc. Ara, hi ha proves que molts atacants ara tenen accés a la falla no controlada. El proveïdor de seguretat Trend Micro ofereix la següent explicació per a la vulnerabilitat:

Un atacant remot podria explotar aquesta vulnerabilitat al component WebDAV IIS amb una sol·licitud elaborada mitjançant el mètode PROPFIND. L’explotació amb èxit podria donar lloc a la denegació de la condició del servei o a l’execució arbitrària del codi en el context de l’usuari que executa l’aplicació. Segons els investigadors que van trobar aquest defecte, aquesta vulnerabilitat va ser explotada en estat salvatge el juliol o l’agost del 2016. Es va revelar al públic el 27 de març. Altres actors d’amenaça es troben ara en les etapes de creació de codi maliciós basat en la prova original. codi de concepte (PoC).

Trend Micro va assenyalar que l’autorització i la versió de distribució web (WebDAV) és una extensió del protocol estàndard de transferència d’hipertext que permet als usuaris crear, canviar i moure documents en un servidor. L’extensió proporciona suport per a diversos mètodes de sol·licitud com ara PROPFIND. L’empresa recomana desactivar el servei WebDAV en instal·lacions d’IIS 6.0 per ajudar a mitigar el problema.