La publicación de un exploit del tipo “prueba de concepto” muestra que el servidor web Microsoft Internet Information services 6.0 (IIS 6.0) adolece de una vulnerabilidad que permite a atacantes la ejecución de código malicioso en los servidores que lo utilizan.
La combinación de IIS con Windows Server 2003 que aún se usa extensamente en muchas compañías, puede incluso extender el acceso de los atacantes a los servidores al aprovechar la vulnerabilidad.
Los autores del descubrimiento del exploit explican que la vulnerabilidad reside en un desbordamiento de buffer en una función del servicio WebDAV (Una extensión para servidores del protocolo HTTP). Una petición PROPFIND especialmente construida para explotar la vulnerabilidad, se puede usar para obtener las propiedades de algún recurso del servidor.
IIS 6.0 es una versión de servidor web que ya no recibe soporte de Microsoft (el soporte extendido finalizó el julio de 2015), por lo que la compañía no tiene previsto liberar ningún parche para solventar el problema. Esto no es una buena noticia, porque se estima que aún millones de sitios web públicos funcionan con este servidor.
Una manera temporal de mitigar el problema puede ser deshabilitar el servicio WebDAV en los servidores que tengan instalado IIS 6, aunque esto podría traer problemas colaterales.
La solución más permanente, sin duda sería en todo caso migrar los servidores a las versiones más recientes de IIS, lo cual puede ser un trabajo masivo que lleve tiempo.
La vulnerabilidad era poco conocida desde mediados de 2016. La publicación del exploit ha hecho que se difunda bastante, dando oportunidad a diversos atacantes para que diseñen modos de aprovecharla, y restando tiempo para que las compañías que usan IIS 6 puedan migrar.
Solución creada por ACROS Security
Una solución que puede ser muy útil, es ofrecida por la firma ACROS Security, que ofrece un microparche no oficial a través de su herramienta 0PATCH para resolver la vulnerabilidad. Afirman que es el único parche que existe para este problema. ACROS trabaja en desarrollar microparches para vulnerabilidades puntuales, con la esperanza de reducir el tiempo entre la aparición de la vulnerabilidad y la aplicación de un remedio. En este caso, el fin del soporte para Windows Server 2003 podría implicar que esta sea la única solución que veremos.