El soporte de Microsoft para IIS 6.0 fue retirado en junio de 2015.
El sistema de servidor web Microsoft Internet Information Services (IIS) 6.0 tiene un fallo de seguridad ya divulgado que lo ha convertido en una vulnerabilidad día-cero por la falta de solución y que así quedará debido a que se trata de un producto retirado por Microsoft desde hace ya más de un año.
La vulnerabilidad (CVE-2017-7269) es de desbordamiento de búfer (buffer overflow) debido a una validación incorrecta de un encabezado ‘IF’ en una solicitud de PROPFIND. Podría ser explotada en el componente IIS WebDAV (Web Distributed Authoring and Versioning) para la colaboración remota y la administración de contenidos web.
El fallo día-cero ha sido objeto de ataques al menos desde julio o agosto de 2016. La explotación exitosa podría dar lugar a que el servidor web deje de funcionar o a que el atacante ejecute código de forma remota en el contexto del usuario que ejecuta la aplicación, según los investigadores de la Universidad de Tecnología Guangzhou del Sur de China que encontraron el fallo revelado el pasado 27 de marzo.
La vulnerabilidad de por sí crítica tiene una mayor importancia debido a que se trata de un producto cuyo soporte fue retirado por Microsoft hace más de un año. Es decir, ya no recibe actualizaciones de seguridad y este caso no será la excepción. IIS 6.0 era parte de Windows Server 2015, retirado en junio de 2015.
Utilizar software soportado es otro tema que cobra importancia y que las organizaciones deben analizar con responsabilidad antes de seguir utilizando software no soportado o desactualizado con riesgos de seguridad.
La prueba de concepto original podría ser utilizada por más atacantes para generar su propio código malicioso.
La recomendación para mitigar el riesgo de la vulnerabilidad es desactivar el servicio WebDAV en los servidores web IIS 6.0. Lo mejor es actualizar a una versión soportada de IIS.