Microsoft Internet Information
Services (IIS) 6.0 se ve afectado por una vulnerabilidad de desbordamiento de
búfer que está siendo explotada de forma activa y que no será corregida por
estar fuera de soporte. Una vez más la importancia de mantener el software
actualizado.
El 15 de junio de 2015, hace ya más de
año y medio, Microsoft finalizó el soporte para el sistema operativo Windows
Server 2003, que incluía el servidor web Information Services (IIS) 6.0. Como
ya sabemos el fin de soporte significa que aunque el software sigue funcionando
ya no recibe actualizaciones, por lo que en caso de aparecer una vulnerabilidad
grave, como es el caso, los usuarios se quedan desprotegidos.
Detalle de la
vulnerabilidad
• El fallo
concretamente reside en la función ScStoragePathFromUrl del servicio WebDAV
(Web Distributed Authoring and Versioning). Con CVE-2017-7269 consiste en una
validación incorrecta de una cabecera 'IF' de gran tamaño (que provoca el
desbordamiento de búfer) en una petición PROPFIND y podría permitir a un
atacante remoto la ejecución de código arbitrario.
• Según los
investigadores que han encontrado el fallo la vulnerabilidad puede estar
explotándose de forma activa desde julio o agosto del año pasado. Todo indica
que en la actualidad otros atacantes están creando código malicioso basado en
la prueba de concepto original.
• Los fallos en WebDAV
no son nuevos, desde el principio fue una tecnología que causo múltiples
problemas y riesgos. Web Distributed Authoring and Versioning (WebDAV) es una
extensión del protocolo http que permite la colaboración remota y la
administración de contenidos web. WebDAV permite editar y manejar ficheros y atributos
a través de web (lo que ya de por sí lo convierte en un potencial problema de
seguridad). WebDAV extiende el conjunto de cabeceras y métodos del estándar
http para incluir métodos como COPY, LOCK, MKCOL, PROPFIND, UNLOCK, etc.
• Aunque en la
actualidad no son muchos los sitios con IIS 6.0, "haberlos haylos".
Según W3Tech representan el 1,3% de todos los servidores web. Aunque otras
fuentes, como BuitWith eleva ese porcentaje al 2,3%, que se cifra en más de 8
millones de sitios web.
Recomendación
• Como contramedida, la
única solución posible pasa por desactivar WebDAV en los servidores IIS 6.0.
Este problema no afecta a las versiones actuales de IIS. En cualquier caso, la
recomendación pasa por actualizar a un sistema más moderno y soportado por el
fabricante, que siempre podrá proporcionar actualizaciones para solventar las
vulnerabilidades.
Más información:
• IIS 6.0 Vulnerability
Leads to Code Execution http://blog.trendmicro.com/trendlabs-security-intelligence/iis-6-0-vulnerability-leads-code-execution/
• Usage statistics and
market share of Microsoft-IIS version 6 for websites https://w3techs.com/technologies/details/ws-microsoftiis/6/all
• Websites using IIS 6 https://trends.builtwith.com/Web-Server/IIS-6
• Millions of Websites
Affected by IIS 6.0 Zero-Day http://www.securityweek.com/millions-websites-affected-iis-60-zero-day
Fuente: Hispasec