Der er blevet opdaget en alvorlig sårbarhed, som befinder sig i den populære webserver Microsoft Internet Information Services (IIS).
Sårbarheden kan dateres helt tilbage til april 2008, men der er endnu ikke frigivet en rettelse af Microsoft, hvilket betyder, at millioner af webservere er sårbare overfor sikkerhedsproblemet, der findes i version 6.0 og tidligere. Det oplyser sikkerhedsfirmaet CSIS.
Microsoft IIS 7.5 er ikke ramt af sårbarheden.
Microsoft IIS er en af de mest benyttede websoftware-pakker, og den anvendes af mange store websider til at levere webindhold til sidens besøgende.
Alt bliver til ASP
Sårbarheden i IIS medfører, at samtlige fil-endelser, herunder også eksekverbar skadelig software, kan afvikles som en Active Server Page-fil (ASP), der er Microsofts kodesprog til design af websider.
Det betyder i praksis, at it-kriminelle kan afvikle fjernbetjeningsværktøjer på servere med den sårbare software.
Med et eksternt kald kan man få adgang til webserveren med mulighed for at udføre kommandoer og i værste fald overtage styringen af den.
Ved at udnytte denne sårbarhed kan en angriber således omgå den indbyggede fil-verificering i ISS og kompromittere webserveren.
Yderligere oplysninger kan findes i dette PDF-dokument.
