Microsoft, saldırganların geçen yılın temmuz ve ağustos aylarını hedefleyen Internet Information Services web sunucusunun eski bir sürümünde sıfır günlük bir güvenlik açığını gideremeyebilir. Suistimal, saldırganların IIS 6.0 çalıştıran Windows sunucularında kötü niyetli kod çalıştırmasına izin verirken kullanıcı ayrıcalıkları uygulamayı çalıştırır. Artık IIS 6.0'daki güvenlik açığı için kavram kanıtı kullanımı GitHub'da görüntülenebilir ve IIS 6.0 artık desteklenmese de, bugün bile yaygın olarak kullanılmaktadır. IIS'nin bu sürümüne yönelik destek, üst ürünü olan Windows Server 2003'ün desteğiyle birlikte, geçen yılın Temmuz ayında durduruldu.

Web sunucusu anketleri IIS 6.0'ın hala milyonlarca halka açık web sitesi tarafından kullanılmakta olduğunu gösterdiğinden, haberler güvenlik uzmanları arasındaki endişeyi artırıyor. Ayrıca, çok sayıda şirketin hala Windows Server 2003 ve IIS 6.0'da web uygulamaları çalıştırabiliyor olmaları mümkündür. Saldırganlar bu nedenle, şirket ağlarına erişirlerse yanal hareketler gerçekleştirmek için açığı kullanabilirler.

GitHub'da yayınlanmasından önce, yalnızca birkaç saldırgan güvenlik açığından haberdardı - yakın zamana kadar. Şimdi, birçok saldırganın lekelenmemiş kusura erişebildiğine dair kanıtlar var. Güvenlik satıcısı Trend Micro, güvenlik açığı için aşağıdaki açıklamaları sunar:

Uzak bir saldırgan, PROPFIND yöntemini kullanarak hazırlanmış bir istekle IIS WebDAV Bileşeninde bu güvenlik açığından yararlanabilir. Başarılı bir şekilde yararlanılması, uygulamayı çalıştıran kullanıcı bağlamında hizmet reddi durumunun veya keyfi kod yürütülmesine neden olabilir. Bu kusuru bulan araştırmacılara göre, bu güvenlik açığı, Temmuz ya da Ağustos 2016’da vahşi doğada istismar edildi. 27 Mart’ta halka açıklandı. Diğer tehdit aktörleri, şimdi orijinal kanıtlara dayanan kötü amaçlı kod oluşturma aşamalarında bulunuyorlar. kavramı (PoC) kodu.

Trend Micro, Web'de Dağıtılmış Yazma ve Sürüm Oluşturmanın (WebDAV), kullanıcıların bir sunucuda belge oluşturmasını, değiştirmesini ve taşımasını sağlayan standart Köprü Metni Aktarım Protokolünün bir uzantısı olduğunu belirtti. Uzantı, PROPFIND gibi birkaç istek yöntemi için destek sağlar. Şirket, sorunun azaltılmasına yardımcı olmak için IIS 6.0 yüklemelerinde WebDAV hizmetinin devre dışı bırakılmasını önerir.