Nuova vulnerabilità 0-day per Microsoft IIS 6.0

 

Proto: N010417. 

Con la presente Yoroi desidera comunicarLe che è stato recentemente pubblicato il bollettino CVE-2017-7269 riguardante la scoperta di una nuova vulnerabilità 0-day per il web server Microsoft Internet Information Services (IIS) versione 6.0: tale versione del WebServer non è attualmente più supportata dal produttore.

La vulnerabilità presente nel componente WebDAV per macchine Windows Server 2003 con IIS versione 6.0 (sia a 32-bit che a 64-bit) permette ad un eventuale attaccante remoto non autenticato l’esecuzione di comandi arbitrari come utente privilegiato. WebDAV è una estensione del protocollo HTTP sviluppata da Microsoft per abilitare alcune operazioni di web authoring (come l’applicativo SharePoint). La problematica affligge solo la versione 6.0 e non quelle più recenti di Microsoft Internet Information Services.

Il Vendor non ha al momento rilasciato alcun bollettino di sicurezza al riguardo, ne ha fornito indicazioni sulla risoluzione della problematica. Ciò nonostante sono stati pubblicati strumenti in grado di sfruttare questa vulnerabilità i quali possono facilmente essere utilizzati da attaccanti remoti allo scopo di ottenere accessi abusivi o causare disservizio. (Rif. https://github.com/edwardz246003/IIS_exploit). Qualora non sia possibile un pianificare un aggiornamento dei servizi a versioni non vulnerabili si consiglia di eseguire almeno uno dei seguenti workaround in attesa del rilascio di patch ufficiali da parte del produttore:

  • Patching manuale del servizio, come indicato in https://0patch.blogspot.it/2017/03/0patching-immortal-cve-2017-7269.html
  • Disabilitazione o rimozione delle funzionalità di WebDAV tramite l’apposito pannello manager per IIS:
    1. Connessione al pannello di management IIS.
    2. Navigare in ‘Manager → Machine → Web Services Extension
    3. Controllare l’abilitazione di WebDAV dalla voce di menù:
 

Nonostante le sonde Yoroi siano in grado di rilevare questo tipo di attacco, si suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MATP (Managed Advanced Threat Protection).

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index