Due ricercatori cinesi della South China University of Technology hanno scoperto una vulnerabilità zero day nel IIS 6.0 che permette l’esecuzione di codice arbitrario da remoto, compromettendo totalmente il server.
La vulnerabilità CVE-2017-7269 è relativa ad un problema di buffer overflow nella funzione ScStoragePathFromUrl che potrebbe esser sfruttata per eseguire codice arbitrario. La versione che soffre del problema è solo la 6.0 che è distribuita insieme a Windows Server 2003.
Se non abbiamo la possibilità di aggiornare la versione IIS in uso, possiamo valutare se disabilitare il servizio WebDav nei server ove è installato la versione 6.0