Vulnerabilità nel vecchio IIS 6.0 mette a rischio migliaia di server

Windows Server 2003 è un sistema operativo ormai non più supportato da quasi due anni. Eppure migliaia di server ancora lo utilizzano. Una vulnerabilità recentemente venuta a galla permette di eseguire codice dannoso in modalità remota.

Windows Server 2003, com’è noto, non è più supportato da Microsoft ormai da circa 20 mesi. Eppure, come molto spesso accade (si pensi all'”immortale” Windows XP), diverse aziende continuano ancor’oggi a utilizzare il sistema operativo.
Il fatto che Windows Server 2003 non sia più supportato, implica che Microsoft non rilascia più alcun aggiornamento di sicurezza (vedere anche l’articolo Fine supporto di Windows Server 2003 più vicino che pubblicammo quasi due anni fa).

Il problema è che almeno dall’estate 2016 sembra essere venuta a galla una vulnerabilità in IIS 6.0, server web integrato in Windows Server 2003.
La falla di sicurezza consente di eseguire codice arbitrario sui sistemi Windows Server 2003 che eseguono anche le estensioni WebDAV insieme con IIS 6.0.
Nei giorni scorsi, il codice exploit che consente di sfruttare il problema è stato pubblicato su GitHub da parte di due ricercatori indipendenti.
Il rischio, concreto, è che la vulnerabilità scoperta in IIS 6.0 possa essere sfruttata per condurre attacchi su vasta scala.Stando ai dati di Shodan sarebbero ancor’oggi operative, e pubblicamente raggiungibili, circa 600.000 macchine Windows Server 2003 a livello mondiale.
Almeno il 10% di esse utilizzerebbero WebDAV e sarebbero quindi direttamente aggredibili.

In questa pagina vengono forniti maggiori dettagli sulla natura del problema, oltre una patch non ufficiale che permette di risolvere la vulnerabilità.

Disattivando il supporto WebDAV, estensione che permette agli utenti la gestione remota, in forma collaborativa, dei file presenti un server remoto, si può egualmente mettere in sicurezza il server.

La “soluzione principe”, comunque, è ovviamente abbandonare Windows Server 2003.

Autore: IlSoftware.it