Microsoft kan ikke være i stand til å fikse et null-dagers sårbarhet i en eldre versjon av sin Internet Information Services-webserver som angriperne målrettet juli og august i fjor. Utnyttelsen lar angripere utføre ondsinnet kode på Windows-servere som kjører IIS 6.0 mens brukerrettigheter kjører applikasjonen. En proof-of-concept utnyttelse av sårbarheten i IIS 6.0 er nå tilgjengelig for visning på GitHub, og mens IIS 6.0 ikke lenger støttes, forblir den mye brukt selv i dag. Støtte for denne versjonen av IIS stoppet i juli i fjor sammen med støtte for Windows Server 2003, dets overordnede produkt.

Nyhetene vekker bekymring blant sikkerhetspersoner ettersom webserverundersøkelser indikerer at IIS 6.0 fortsatt brukes av millioner av offentlige nettsteder. Det er også mulig at et stort antall selskaper fremdeles kan kjøre webapplikasjoner på Windows Server 2003 og IIS 6.0 i organisasjonen. Angripere kan derfor bruke feilen til å utføre sidebevegelser hvis de får tilgang til bedriftsnettverk.

Før publiseringen på GitHub, var det bare noen få angripere som var klar over sårbarheten - inntil nylig. Nå er det bevis på at mange angripere nå har tilgang til den uslåtte feilen. Sikkerhetsleverandør Trend Micro tilbyr følgende forklaring på sårbarheten:

En ekstern angriper kan utnytte dette sikkerhetsproblemet i IIS WebDAV-komponenten med en utformet forespørsel ved å bruke PROPFIND-metoden. Vellykket utnyttelse kan føre til nektelse av tjenesteforhold eller utførelse av vilkårlig kode i sammenheng med brukeren som kjører applikasjonen. I følge forskerne som fant denne feilen, ble denne sårbarheten utnyttet i naturen i juli eller august 2016. Den ble avslørt for publikum 27. mars. Andre trusselaktører er nå i stadier med å lage ondsinnet kode basert på den opprinnelige bevis- of-concept (PoC) kode.

Trend Micro bemerket at Web Distribed Authoring and Versioning (WebDAV) er en utvidelse av standard Hypertext Transfer Protocol som lar brukere opprette, endre og flytte dokumenter på en server. Utvidelsen gir støtte for flere forespørselsmetoder, for eksempel PROPFIND. Selskapet anbefaler å deaktivere WebDAV-tjenesten på IIS 6.0-installasjoner for å avhjelpe problemet.