Friendoffriends
Microsoft is mogelijk niet in staat om een zero-day-kwetsbaarheid op te lossen in een oudere versie van zijn Internet Information Services-webserver waarop aanvallers vorig jaar juli en augustus hadden gemunt. Door deze exploit kunnen aanvallers schadelijke code uitvoeren op Windows-servers waarop IIS 6.0 wordt uitgevoerd, terwijl gebruikersrechten de toepassing uitvoeren. Een proof-of-concept-exploit voor de kwetsbaarheid in IIS 6.0 is nu beschikbaar voor weergave op GitHub en hoewel IIS 6.0 niet langer wordt ondersteund, wordt deze nog steeds op grote schaal gebruikt, zelfs vandaag de dag. Ondersteuning voor deze versie van IIS stopte in juli vorig jaar, samen met ondersteuning voor Windows Server 2003, het moederproduct.
Het nieuws baart beveiligingsprofessionals zorgen, aangezien uit enquêtes van webservers blijkt dat IIS 6.0 nog steeds wordt gebruikt door miljoenen openbare websites. Het is ook mogelijk dat een groot aantal bedrijven binnen hun organisatie nog steeds webtoepassingen op Windows Server 2003 en IIS 6.0 draaien. Aanvallers kunnen de fout daarom gebruiken om zijwaartse bewegingen uit te voeren als ze toegang krijgen tot bedrijfsnetwerken.
Voorafgaand aan de publicatie op GitHub waren slechts enkele aanvallers op de hoogte van de kwetsbaarheid - tot voor kort. Nu zijn er aanwijzingen dat veel aanvallers nu toegang hebben tot de ongepatchte fout. Beveiligingsleverancier Trend Micro biedt de volgende verklaring voor de kwetsbaarheid:
Een externe aanvaller kan misbruik maken van dit beveiligingslek in de IIS WebDAV-component met een vervaardigd verzoek dat gebruikmaakt van de PROPFIND-methode. Succesvol misbruik kan resulteren in een denial of service-voorwaarde of het uitvoeren van willekeurige code in de context van de gebruiker die de applicatie uitvoert. Volgens de onderzoekers die deze fout ontdekten, werd deze kwetsbaarheid in juli of augustus 2016 in het wild uitgebuit. De kwetsbaarheid werd op 27 maart aan het publiek bekendgemaakt. of-concept (PoC) code.
Trend Micro merkte op dat Web Distributed Authoring and Versioning (WebDAV) een uitbreiding is van het standaard Hypertext Transfer Protocol waarmee gebruikers documenten op een server kunnen maken, wijzigen en verplaatsen. De extensie biedt ondersteuning voor verschillende aanvraagmethoden, zoals PROPFIND. Het bedrijf raadt aan om de WebDAV-service uit te schakelen op IIS 6.0-installaties om het probleem te verhelpen.
- IIS 6-webserver
- microsoft
