Возможно, Microsoft не сможет исправить уязвимость нулевого дня в более старой версии своего веб-сервера Internet Information Services, на которую злоумышленники ориентировались на июль и август прошлого года. Эксплойт позволяет злоумышленникам выполнять вредоносный код на серверах Windows, работающих под управлением IIS 6.0, в то время как пользовательские привилегии запускают приложение. Экспериментальный эксплойт для уязвимости в IIS 6.0 теперь доступен для просмотра на GitHub, и хотя IIS 6.0 больше не поддерживается, он по-прежнему широко используется даже сегодня. Поддержка этой версии IIS была прекращена в июле прошлого года вместе с поддержкой Windows Server 2003, ее родительского продукта.

Эта новость вызывает обеспокоенность у специалистов по безопасности, поскольку опросы веб-серверов показывают, что IIS 6.0 по-прежнему используется миллионами общедоступных веб-сайтов. Кроме того, возможно, что большое количество компаний по-прежнему могут запускать веб-приложения на Windows Server 2003 и IIS 6.0 внутри своей организации. Поэтому злоумышленники могут использовать недостаток для выполнения боковых перемещений, если они получают доступ к корпоративным сетям.

До публикации на GitHub лишь немногие злоумышленники знали об этой уязвимости - до недавнего времени. Теперь есть свидетельства того, что многие злоумышленники теперь имеют доступ к не исправленной уязвимости. Поставщик безопасности Trend Micro предлагает следующее объяснение этой уязвимости:

Удаленный злоумышленник может использовать эту уязвимость в компоненте IIS WebDAV с помощью специально созданного запроса с использованием метода PROPFIND. Успешная эксплуатация может привести к отказу в обслуживании или выполнению произвольного кода в контексте пользователя, запускающего приложение. По словам исследователей, обнаруживших этот недостаток, эта уязвимость использовалась в условиях дикой природы в июле или августе 2016 года. Она была раскрыта для общественности 27 марта. Другие субъекты угроз в настоящее время находятся на стадии создания вредоносного кода на основе оригинального доказательства. of-concept (PoC) код.

Trend Micro отмечает, что Web Distributed Authoring and Versioning (WebDAV) является расширением стандартного протокола передачи гипертекста, который позволяет пользователям создавать, изменять и перемещать документы на сервере. Расширение обеспечивает поддержку нескольких методов запроса, таких как PROPFIND. Компания рекомендует отключить службу WebDAV в установках IIS 6.0, чтобы помочь устранить проблему.