Microsoft ist möglicherweise nicht in der Lage, eine Zero-Day-Sicherheitsanfälligkeit in einer älteren Version seines Internet Information Services-Webservers zu beheben, die von Angreifern im Juli und August des letzten Jahres angegriffen wurde. Mit dem Exploit können Angreifer bösartigen Code auf Windows-Servern ausführen, auf denen IIS 6.0 ausgeführt wird, während Benutzerrechte die Anwendung ausführen. Ein Proof-of-Concept-Exploit für die Sicherheitsanfälligkeit in IIS 6.0 kann jetzt auf GitHub angezeigt werden. IIS 6.0 wird zwar nicht mehr unterstützt, ist aber auch heute noch weit verbreitet. Die Unterstützung für diese Version von IIS wurde im Juli letzten Jahres eingestellt, zusammen mit der Unterstützung für Windows Server 2003, das übergeordnete Produkt.

Die Nachricht gibt Anlass zur Sorge bei Sicherheitsexperten, da Umfragen unter Webservern zeigen, dass IIS 6.0 immer noch von Millionen öffentlicher Websites verwendet wird. Es ist auch möglich, dass eine große Anzahl von Unternehmen noch Webanwendungen unter Windows Server 2003 und IIS 6.0 in ihrer Organisation ausführt. Angreifer könnten daher den Fehler nutzen, um seitliche Bewegungen auszuführen, wenn sie Zugang zu Unternehmensnetzwerken erhalten.

Vor der Veröffentlichung auf GitHub waren sich nur wenige Angreifer der Sicherheitsanfälligkeit bewusst - bis vor kurzem. Nun gibt es Hinweise darauf, dass viele Angreifer nun Zugriff auf den nicht gepatchten Fehler haben. Der Sicherheitsanbieter Trend Micro bietet die folgende Erklärung für die Sicherheitsanfälligkeit:

Ein entfernter Angreifer kann diese Sicherheitsanfälligkeit in der IIS-WebDAV-Komponente mit einer gestalteten Anforderung mithilfe der PROPFIND-Methode ausnutzen. Eine erfolgreiche Ausnutzung kann zu einer Denial-of-Service-Bedingung oder zur Ausführung von willkürlichem Code im Kontext des Benutzers führen, der die Anwendung ausführt. Laut den Forschern, die diesen Fehler entdeckt haben, wurde diese Sicherheitsanfälligkeit im Juli oder August 2016 in der Natur ausgenutzt. Sie wurde am 27. März der Öffentlichkeit zugänglich gemacht. Andere Bedrohungsakteure sind derzeit dabei, auf der Grundlage des ursprünglichen Beweises bösartigen Code zu erstellen. of-concept (PoC) Code.

Trend Micro stellte fest, dass Web Distributed Authoring und Versioning (WebDAV) eine Erweiterung des Hypertext Transfer-Standardprotokolls ist, mit dem Benutzer Dokumente auf einem Server erstellen, ändern und verschieben können. Die Erweiterung bietet Unterstützung für verschiedene Anforderungsmethoden wie PROPFIND. Das Unternehmen empfiehlt, den WebDAV-Dienst in IIS 6.0-Installationen zu deaktivieren, um das Problem zu beheben.