Voor de zoveelste keer problemen door verouderde software

Deze keer is het Microsofts Internet Information Services 6.0 dat voor de voorspelbare problemen zorgt. In een onderdeel daarvan zit een fout geconfigureerde buffer waarmee een aanvaller storingen kan uitlokken en ook code binnen kan smokkelen. Het probleem is al sinds juli of augustus vorig jaar in bepaalde kringen bekend, schrijft Trend Micro op zijn TrendLabs Security Intelligence Blog. En sinds 27 maart ligt de informatie erover op straat, zodat je mag verwachten dat het aantal pogingen om er misbruik van te maken snel zal stijgen.

Het probleem met dit lek is, dat Microsoft het niet zal dichten. IIS 6.0 maakt onderdeel uit van Windows Server 2003, en dat wordt al een jaar en 8 maanden niet meer onderhouden door Microsoft. Dat Microsoft het onderhoud in juli 2015 zou staken, kan ook niet als een verrassing zijn gekomen. Microsodft kondigt dat jaren van tevoren aan.

Desalniettemin zijn er op dit moment waarschijnlijk wereldwijd nog zo'n 185 miljoen websites in bedrijf die draaien met IIS 6.0. Dat stelt althans NetCraft, dat daar onderzoek naar heeft gedaan. Dat is bijna een kwart van de websites die draaien met Microsoft-software, en ruwweg10 procent van alle websites die Netcraft vond. Die zijn waarschijnlijk lang niet allemaal kwetsbaar voor het probleem, omdat lang niet alle websites de kwetsbare functie in IIS 6.0 gebruiken. Acros Security denkt dat het in ieder geval om 60.000 websites gaat.

Daarnaast draait een onbekend aantal bedrijven nog intern webapplicaties op deze verouderde software. Daarmee hebben ze dus nu een aantrekkelijke vervolgstap in huis voor hackers die erin slagen op hun netwerk te komen.

De beste methode om van dit probleem af te komen, is het overstappen op een modernere versie van Windows Server. Alternatief is om de WebDAV-functionaliteit uit te schakelen - want daarin zit het lek. Als dat niet mogelijk is kan men gebruik maken van een patch die het 0patch-team van Acros Security heeft ontwikkeld.