Microsoft IIS 6 Web服务器中的数百万个网站受到未分割缺陷的影响

已发布概念验证漏洞，用于Microsoft Internet信息服务6.0中的未括在一起的漏洞，该版本的Web服务器的版本不再支持但仍然广泛使用。

exproit允许攻击者在运行IIS 6.0的Windows服务器上执行恶意代码，其中包含运行该应用程序的用户的权限。对此版本的IIS的扩展支持于2015年7月结束，同时支持其父产品Windows Server 2003。

即便如此，独立的Web服务器调查表明IIS 6.0仍然可以为数百万公共网站提供权力。此外，许多公司仍可能在他们的公司网络内的Windows Server 2003和IIS 6.0上运行Web应用程序，因此如果通过其他方式访问此类网络，此漏洞可能会帮助攻击者执行横向移动。

有证据表明，这种IIS脆弱性由于去年至少或8月以来的有限数量的攻击者而闻名。但是，本周早些时候发布了在Github上的漏洞利用使其可以访问更多的黑客。

“其他威胁演员现在处于基于原始概念证明（PoC）代码的恶意代码的阶段，”趋势科技的研究人员在周三的博客文章中表示。

根据Exproit的作者，漏洞是IIS 6.0 WebDAV服务的ScstoragePathFromURL函数中的缓冲区溢出。它可以通过特制的Propfind请求进行利用。

Web分布式创作和版本控制（WebDAV）是标准超文本传输​​协议（HTTP）的扩展，允许用户在服务器上创建，更改和移动文档。扩展支持多种请求方法，包括Procfind，用于检索资源的属性。

自从Microsoft获取“T补丁这种漏洞，可能的缓解是禁用IIS 6.0安装上的WebDAV服务。安全公司Actos Security还为此漏洞开发了一个免费的“MicroPatch” - 可以在不重新启动受影响的服务器甚至IIS进程的情况下应用的非官方补丁。

但是，最好的行动方案是完全将受影响的网站迁移到较新的IIS和Windows服务器版本，因为可能存在其他漏洞，这也影响了这个平台并获得了修补的奖励。

Web Analytics公司Netcraft的三月调查显示，在运行Windows Server 2003的超过300,000个Web服务器上仍托管大约185,000个网站。