El pasado jueves, el investigador en seguridad Nikolaos Rangos publicó los detalles de una vulnerabilidad detectada en la versión 6 de Internet Information Services de Microsoft, y que se creía ya resuelta. En su nota explicaba que enviando al servidor una petición http especialmente manipuladas pudo ver y subir archivos al equipo. El ataque aprovecha el agujero para que el software de Microsoft procese tokens Unicode.

Este pasado lunes, el CERT (Computer Emergency Response Team) de Estados Unidos advirtió que la vulnerabilidad estaba siendo utilizada para perpetrar ataques online.

Por su parte, Microsoft ha dicho a través de un comunicado que no tenía constancia de este tipo de ataques, pero que estaba investigando las afirmaciones de Rangos. “Estemos trabajando en una recomendación de seguridad para dar a los clientes algunos consejos”.

La brecha afecta a los usuarios de IIS 6 que han activado los protocolos WebDAV (Web-based Distributed Authoring and Versioning), utilizados para compartir documentos a través de Internet. El investigador de seguridad independiente Thierry Zoller, quien ha confirmado los hallazgos de Rangos, explica que la vulnerabilidad proporciona a los atacantes la forma de ver, sin autorización, los archivos protegidos de un servidor, así como de subir archivos.

Zoller señala, no obstante, que él no ha encontrado la forma de utilizar esta vulnerabilidad para ejecutar software sin autorización en un servidor IIS, y asegura que IIS 5 e IIS 7 no aparentan ser vulnerables al ataque pero que podría afectar a otros productos de Microsoft que utilizan tecnología WebDAV. Su recomendación es “desactivar temporalmente WebDAV y esperar al parche de Microsoft”.

También Cisco se ha hecho eco de la brecha publicando una alerta de seguridad en su web en la que “recomienda a los administradores de sitios que alojen información confidencial en servidores IIS y utilicen WebDAV poner medidas efectivas inmediatamente porque el código del exploit se ha hecho público”.