Недавно был опубликован эксплоит незакрытый уязвимости в веб-сервере Microsoft Internet Information Services 6.0, который больше не поддерживается, но при этом широко используется. Уязвимость позволяет хакерам запускать вредоносный код на Windows-серверах на Microsoft IIS 6.0 с привилегиями пользователя. Расширенная поддержка этой версии сервера была прекращена в июле 2015 года вместе с прекращением поддержки Windows Server 2003.
Независимое исследование показывает, что на Microsoft IIS 6.0 продолжают работать миллионы публично доступных веб-сайтов. Мартовское исследование аналитической компании Minecraft показало, что около 185 млн. сайтов расположены на более чем 300 тысячах серверов под управлением Windows Server 2003. Также многие компании работают с приложениями на Windows Server 2003 и IIS 6.0 в своих корпоративных сетях. Есть свидетельства того, что об уязвимости было известно ограниченному числу хакеров с июля или августа прошлого года. Публикация эксплоита на портале GitHub сделает эту уязвимость намного опаснее и доступнее большему количеству злоумышленников.
Уязвимость представляет собой переполнение буфера в функции ScStoragePathFromUrl сервиса IIS 6 WebDAV. Её можно задействовать через специально созданный запрос PROPFIND. Web Distributed Authoring and Versioning (WebDAV) представляет собой расширение стандартного протокола HTTP, которое позволяет создавать, менять и перемещать документы на сервере. Это расширение поддерживает несколько методов запросов, включая PROPFIND, применяемый для получения свойств ресурсов.
Поскольку Microsoft не будет выпускать патч для закрытия уязвимости, единственным методом является отключение сервиса WebDAV на IIS 6. Неофициальный патч предлагает компания ACROS Security, после его установки не потребуется перезагрузка сервера. Самым лучшим вариантом является переход на новые версии Windows Server и Microsoft IIS.