Desbordamiento de búfer en IIS 6.0 / CVE-2017–7269

Microsoft Internet Information Services (IIS) 6.0 se ve afectado por una vulnerabilidad de desbordamiento de búfer que está siendo explotada de forma activa y que no será corregida por estar fuera de soporte. Una vez más está presente la importancia de mantener el software actualizado.

Desde el 2015, Microsoft finalizó el soporte para el sistema operativo Windows Server 2003, que incluía el servidor web Information Services (IIS) 6.0.

El fin del soporte significa que aunque el software sigue funcionando ya no recibe actualizaciones por lo que, en caso de aparecer una vulnerabilidad grave como la mencionada anteriormente, los usuarios quedan desprotegidos.

Según los investigadores que han encontrado el fallo la vulnerabilidad CVE-2017–7269 puede estar explotándose de forma activa desde julio o agosto del año pasado. Todo indica que, en la actualidad, otros atacantes están creando código malicioso basado en la prueba de concepto original.

Web Distributed Authoring and Versioning (WebDAV) es una extensión del protocolo http que permite la colaboración remota y la administración de contenidos web.

Los fallos en WebDAV no son nuevos, WebDAV permite editar y manejar ficheros y atributos a través de la web (lo que ya de por sí lo convierte en un potencial problema de seguridad).

Aunque en la actualidad no son muchos los sitios con que deberían tener IIS 6.0, según W3Tech representan el 1,3% de todos los servidores web, aunque otras fuentes como BuitWith eleva ese porcentaje al 2,3%, que se cifra en más de 8 millones de sitios web.

Conociendo estas cifras en Guayoyolabs nos interesó conocer cuáles de estos servidores IIS 6.0 expuestos a internet, podrían pertenecer a organizaciones de países de América del Sur.

La búsqueda comprende específicamente los siguientes países: Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, Guyana, Paraguay, Perú, Surinam, Uruguay y Venezuela.

Vemos que se encuentran más de 14 mil servidores web IIS 6.0 expuestos en la región y aunque esta búsqueda es muy básica, nos demuestra lo fácil que sería para un atacante encontrar un objetivo vulnerable, para tratar de explotar esta vulnerabilidad.

Distribución por países

Como contramedida, la única solución posible pasa por desactivar WebDAV en los servidores IIS 6.0. Este problema no afecta a las versiones actuales de IIS. En cualquier caso, la recomendación es actualizar a un sistema más moderno y soportado por el fabricante, que siempre podrá proporcionar actualizaciones para solventar las vulnerabilidades.

Más información:

http://app.howlermonkey.io/cve/?id=CVE-2017-7269