Microsoft Internet Information Services (IIS) 6.0 se ve afectado por una vulnerabilidad de desbordamiento de búfer que está siendo explotada de forma activa y que no será corregida por estar fuera de soporte. Una vez más la importancia de mantener el software actualizado.

El 15 de junio de 2015, hace ya más de año y medio, que Microsoft finalizó el soporte para el sistema operativo Windows Server 2003, que incluía el servidor web Information Services (IIS) 6.0. Como ya sabemos el fin de soporte significa que aunque el software sigue funcionando ya no recibe actualizaciones, por lo que en caso de aparecer una vulnerabilidad grave, como es el caso, los usuarios se quedan desprotegidos.

El fallo concretamente reside en la función ScStoragePathFromUrl del servicio WebDAV (Web Distributed Authoring and Versioning). Con CVE-2017-7269 consiste en una validación incorrecta de una cabecera 'IF' de gran tamaño (que provoca el desbordamiento de búfer) en una petición PROPFIND y podría permitir a un atacante remoto la ejecución de código arbitrario.

Según los investigadores que han encontrado el fallo la vulnerabilidad puede estar explotándose de forma activa desde julio o agosto del año pasado. Todo indica que en la actualidad otros atacantes están creando código malicioso basado en la prueba de concepto original.

Los fallos en WebDAV no son nuevos, desde el principio fue una tecnología que causo múltiples problemas y riesgos. Web Distributed Authoring and Versioning (WebDAV) es una extensión del protocolo http que permite la colaboración remota y la administración de contenidos web. WebDAV permite editar y manejar ficheros y atributos a través de web (lo que ya de por sí lo convierte en un potencial problema de seguridad). WebDAV extiende el conjunto de cabeceras y métodos del estándar http para incluir métodos como COPY, LOCK, MKCOL, PROPFIND, UNLOCK, etc.

Aunque en la actualidad no son muchos los sitios con IIS 6.0, "haberlos haylos". Según W3Tech representan el 1,3% de todos los servidores web. Aunque otras fuentes, como BuitWith eleva ese porcentaje al 2,3%, que se cifra en más de 8 millones de sitios web.

Como contramedida, la única solución posible pasa por desactivar WebDAV en los servidores IIS 6.0. Este problema no afecta a las versiones actuales de IIS. En cualquier caso, la recomendación pasa por actualizar a un sistema más moderno y soportado por el fabricante, que siempre podrá proporcionar actualizaciones para solventar las vulnerabilidades.

Más información:

IIS 6.0 Vulnerability Leads to Code Execution

http://blog.trendmicro.com/trendlabs-security-intelligence/iis-6-0-vulnerability-leads-code-execution/

Usage statistics and market share of Microsoft-IIS version 6 for websites

https://w3techs.com/technologies/details/ws-microsoftiis/6/all

Websites using IIS 6

https://trends.builtwith.com/Web-Server/IIS-6

una-al-dia (14/03/2001) Parche para el problema de IIS 5.0 con WebDAV

http://unaaldia.hispasec.com/2001/03/parche-para-el-problema-de-iis-50-con.html

una-al-dia (17/05/2009) Grave vulnerabilidad en IIS. De vuelta a fallos de principios de década

http://unaaldia.hispasec.com/2009/05/grave-vulnerabilidad-en-iis-de-vuelta.html

Millions of Websites Affected by IIS 6.0 Zero-Day

http://www.securityweek.com/millions-websites-affected-iis-60-zero-day

Antonio Ropero

[email protected]

Twitter: @aropero