با انتشار آنلاین یک Exploit که از سری آسیبپذیریهای Zero-Day میباشد و در Microsoft IIS 6.0 مشاهده میشود، ریسک حمله به وبسایتهای مبتنی بر این نسخهی وبسرور افزایش یافته است.
آسیبپذیری موجود در Microsoft Internet Information Services 6.0 که به صورت Patch نشده باقی مانده، به صورت عمومی انتشار یافته است و با اینکه این نسخه از وبسرور درحالحاضر توسط مایکروسافت پشتیبانی نمیشود، همچنان از کاربرد وسیعی برخوردار است.
این Exploit به مهاجمان اجازه میدهد که از دسترسی کاربران برای فعالسازی برنامههای کاربردی بر روی نسخههای ویندوز سرور که IIS 6.0 بر روی آنها میباشد، به منظور اجرای کدهای مخرب خود استفاده نمایند و این در حالی است که پشتیبانی از IIS 6.0 و ویندوز سرور 2003 در ژوئیه 2015 پایان یافته است.
بر اساس آمارها نسخه IIS 6.0 هنوز در میلیونها وبسایت عمومی کاربرد دارد؛ علاوه بر اینکه ممکن است بسیاری از شرکتها در شبکههای سازمانی خود همچنان به استفاده از برنامههای کاربردیِ تحت وب برروی ویندوز سرور 2003 و نسخه IIS 6.0 ادامه دهند. بنابراین در صورتی که مهاجمان به هر طریقی به این نوع شبکهها دسترسی یابند، می توانند اقدامات بعدی را برای نفوذ دنبال نمایند.
نقص موجود در این نسخهی IIS، از سال گذشته تاکنون تنها توسط بخش کوچکی از مهاجمان شناسایی شده اما به نظر میرسد که انتشار Exploit آن برروی GitHub، دسترسی تعداد زیادی از مهاجمان را به آن امکانپذیر سازد.
سازندهی این Exploit معتقد است که آسیبپذیری فوق در حقیقت یک سربارِ بافر از عملکرد ScStoragePathFromUrl در سرویس IIS 6.0 WebDAV به شمار میآید که از طریق درخواست جعلیِ PROPFIND، امکان Exploit نمودن آن را فراهم میکند.
Web Distributed Authoring and Versioning یا به اختصار WebDAV را میتوان یک افزونه از پروتکل HTTP دانست که ایجاد، تغییر و جابجایی مستندات برروی سرور را میسر میسازد. این افزونه چند روش ارسال درخواست از جمله PROPFIND که برای بازیابی مشخصات منبع به کارمیرود را پشتیبانی میکند.
از آنجاییکه مایکروسافت به دلیل عدم پشتیبانی از این نسخهی IIS، آسیبپذیری مذکور را Patch نخواهد نمود، تنها راه موجود جهت کاهش خسارات احتمالی میتواند غیرفعال کردن سرویس WebDAV از نسخههای نصبشدهی IIS 6.0 باشد. موسسه امنیتی ACROS Security نیز یک Micropatch رایگان را توسعه داده است که به عنوان یک Patch غیررسمی، امکان استفاده از آن بدون راهاندازی مجدد سرور آلوده یا حتی بدون نیاز به فعالسازی IIS را فراهم مینماید. اما با توجه به اینکه احتمال وجود نقصهای تاثیرگذار و بدون Patch دیگر نیز در این نسخهها وجود دارد، توصیه میگردد که وبسایتهای آلودهشده به نسخههای جدیدتری از IIS و ویندوز سرور منتقل گردند.
موسسه تحقیقات وب Netcraft از وجود نزدیک به 185 میلیون وبسایت خبر داده است که هنوز توسط 300 هزار وبسرور بر روی ویندوز سرور 2003 سرویسدهی میکنند.
