Ieri Microsoft ha pubblicato un advisory di sicurezza in cui conferma la presenza, nelle versioni 5.x e 6.0 di Internet Information Services (IIS), di una vulnerabilità nell’estensione WebDAV.
Tale falla è potenzialmente sfruttabile da malintenzionati per accedere in modo anonimo ad aree protette di un sito web, bypassando in questo modo il sistema di autenticazione del server. Microsoft sottolinea tuttavia come, nella configurazione predefinita di IIS, WebDAV sia disattivato e l’account anonymous non possa accedere in scrittura al file system remoto.
“Una vulnerabilità legata all’elevazione dei privilegi interessa il modo in cui l’estensione WebDAV di IIS gestisce le richieste HTTP”, si legge nell’advisory. “Un aggressore potrebbe sfruttare questa vulnerabilità creando una speciale richiesta HTTP che, una volta elaborata dal server, gli consente di guadagnare l’accesso ad aree che generalmente richiedono l’autenticazione”.
Microsoft, che afferma di non essere a conoscenza di attacchi che utilizzano questa falla, si è detta al lavoro su una soluzione al problema: la patch potrebbe essere rilasciata con i bollettini di sicurezza di giugno o, a seconda della gravità della situazione, in anticipo rispetto al tradizionale ciclo mensile dei rilasci.