Microsoft pourrait ne pas être en mesure de corriger une vulnérabilité de type «jour zéro» dans une version antérieure de son serveur Web Internet Information Services que les attaquants avaient ciblée en juillet et en août de l'année dernière. Cet exploit permet aux attaquants d’exécuter du code malveillant sur les serveurs Windows exécutant IIS 6.0 lorsque les privilèges de l’utilisateur exécutent l’application. Un exploit de validation de concept relatif à la vulnérabilité dans IIS 6.0 est désormais disponible sur GitHub. Bien qu'IIS 6.0 ne soit plus pris en charge, il reste largement utilisé, même aujourd'hui. La prise en charge de cette version d'IIS s'est arrêtée en juillet de l'année dernière, parallèlement à la prise en charge de Windows Server 2003, son produit parent.

Cette nouvelle suscite l'inquiétude des professionnels de la sécurité, car des enquêtes sur les serveurs Web indiquent qu'IIS 6.0 est toujours utilisé par des millions de sites Web publics. En outre, il est possible qu'un grand nombre d'entreprises exécutent encore des applications Web sur Windows Server 2003 et IIS 6.0 au sein de leur organisation. Les attaquants pourraient donc utiliser cette faille pour effectuer des mouvements latéraux s’ils ont accès aux réseaux de l’entreprise.

Avant sa publication sur GitHub, seuls quelques attaquants étaient conscients de cette vulnérabilité - jusqu'à récemment. Or, il est prouvé que de nombreux attaquants ont maintenant accès à la faille non corrigée. Le fournisseur de sécurité, Trend Micro, explique la vulnérabilité de la manière suivante:

Un attaquant distant pourrait exploiter cette vulnérabilité dans le composant IIS WebDAV avec une requête spécialement construite utilisant la méthode PROPFIND. Une exploitation réussie pourrait entraîner une condition de déni de service ou une exécution de code arbitraire dans le contexte de l'utilisateur exécutant l'application. Selon les chercheurs qui ont découvert cette faille, cette vulnérabilité aurait été exploitée à l'état sauvage en juillet ou août 2016. Elle a été révélée au public le 27 mars. D'autres acteurs de la menace en sont actuellement à la phase de création de code malveillant sur la base du code de preuve original. de concept (PoC).

Trend Micro a noté que WebDAV (Web Distributed Authoring and Versioning) est une extension du protocole de transfert hypertexte standard permettant aux utilisateurs de créer, modifier et déplacer des documents sur un serveur. L'extension fournit un support pour plusieurs méthodes de requête telles que PROPFIND. La société recommande de désactiver le service WebDAV sur les installations IIS 6.0 afin d’atténuer le problème.