IIS 6 sarebbe esposto a gravi rischi relativi alla sicurezza a causa di una vulnerabilità recentemente rilevata e confermata ufficialmente da Microsoft; Secunia ha classificato la falla associando ad essa un livello di criticità giudicato moderato.
La vulnerabilità sarebbe insità nella modalità in cui le estensioni WebDav di IIS gestiscono le richieste inviate tramite protocollo HTTP, attraverso di esse sarebbe infatti possibile acquisire privilegi di amministrazione grazie ai quali prendere il controllo completo di un sistema.
In pratica, un utente malintenzionato potrebbe lanciare una richiesta al Web server appositamente confezionata per aggirare la procedura necessaria per accedere a percorsi che in alternativa sarebbero accessibili soltanto ad un utente autenticato come amministrazione.
Il pericolo non è dato tanto dalla gravità della falla quanto dalla diffusione di questo tipo di Web server, in pratica tutte le installazioni di IIS 6 espongono le relative postazioni al rischio di upload non autorizzati dagli utilizzatori e i propri file all’accesso da parte di utenti malintenzionati.
