IIS 6.0 servisindeki WebDAV ScStoragePathFromUrl fonksiyonundan kaynaklı Buffer Overflow zafiyeti kullanılarak sisteminize ve ilişkili sistemlere erişilebilir.
Saldırganın sisteme kolaylıkla izin vermesini sağlayan bu zafiyet Microsoft tarafından kapatılmamaktadır.
Bunu nedeni IIS 6.0’ın çalıştığı Windows 2003 Server işletim sistem desteğinin kalkmış olması; https://support.microsoft.com/tr-tr/lifecycle/search?alpha=Windows%20Server%202003%20R2
Zaafiyetin exploit’i yayınlandığından dolayı şayet envanterinizde Windows 2003 Sunucu var, IIS servisi ve WebDAV bileşeni çalışmaktaysa; WebDAV’ı kapatarak, sunucu işletim sisteminizi en kısa zamanda Upgrade etmeniz önerilir.
CVSS Score (v 3.0) > 9.8 Critical
CVSS Score (v 2.0) > 10.0 High
Kaynak:
- https://www.us-cert.gov/ncas/alerts/TA14-310A
- https://nvd.nist.gov/vuln/detail/CVE-2017-7269#vulnDescriptionTitle
- https://github.com/edwardz246003/IIS_exploit
STANDART REFERANS: ISO 27001:2013
- A.12.6.1
- A.14.2.5
- A.16.1.4
- A.18.2.3