Nyupptäckt sårbarhet i IIS 6.0
Mer än 8 miljoner webbplatser kan vara sårbar för en nyligen identifierad säkerhetsbrist i Internet Information Services (IIS) 6.0. Sårbarheten har utnyttjats på Internet sedan Juli 2016 och identifierades ”in the wild”.
Den sårbara funktionen heter ScStoragePathFromUrl och är en del av WebDAV:
Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with ”If: <http://” in a PROPFIND request
Säkerhetsbuggen identifierades av Zhiniang Peng samt Chen Wu vid South China University of Technology Guangzhou, Kina.
Enligt tjänsten BuiltWith så IIS används IIS på 13.8% av alla webbsajter samt IIS 6.0 versionen på 2.3% av alla webbsajter vilket motsvarar cirka 8.3 miljoner sajter.
Behöver Er organisation hjälp med cybersäkerhet? Kontakta Triop AB >
På Github så kan du hitta följande exploit som demonstrerar sårbarheten genom att starta upp kalkylatorn i Windows, calc.exe:
https://raw.githubusercontent.com/edwardz246003/IIS_exploit/master/exploit.py
Givetvis ska inte IIS 6.0 användas då detta är en mycket gammal version, men troligtvis så kan det hjälpa att stänga av WebDAV för att förhindra att sårbarheten utnyttjas.
Och här finnes en Snort-signatur (källa):
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"WEB-MISC IIS v6 WebDAV ScStoragePathFromUrl overflow attempt"; flow:to_server,established; content:"PROPFIND"; nocase; http_method; content:"|0a|If|3a|"; nocase; http_raw_header; isdataat:1000,relative; content:!"|0A|"; http_raw_header; within:1000; reference:cve,2017-7269; reference:url,github.com/ edwardz246003/IIS_exploit; classtype:web-application-attack; sid:1; rev:1;)